Configurar la creación de reflejo del tráfico de ERSPAN (heredado) con un conmutador Cisco
Este artículo forma parte de una serie de artículos que describen la ruta de acceso de implementación para la supervisión de OT con Microsoft Defender para IoT.
En este artículo se proporcionan instrucciones de alto nivel para configurar el analizador de puertos conmutado remoto encapsulado (ERSPAN) de creación de reflejo del tráfico para un conmutador Cisco.
Se recomienda usar el enrutador receptor como destino de túnel de encapsulación de enrutamiento genérico (GRE).
Requisitos previos
Antes de empezar, asegúrese de comprender el plan de supervisión de red con Defender para IoT y qué puertos SPAN desea configurar.
Para más información, consulte Métodos de creación de reflejo del tráfico para la supervisión de OT.
Configurar el conmutador de Cisco
El código siguiente muestra una salida de ejemplo ifconfig para ERSPAN configurado en un conmutador cisco:
monitor session 1 type erspan-source
description ERSPAN to D4IoT
erspan-id 32 # required, # between 1-1023
vrf default # required
destination ip 172.1.2.3 # IP address of destination
source interface port-channel1 both # Port(s) to be sniffed
filter vlan 1 # limit VLAN(s) (optional)
no shut # enable
monitor erspan origin ip-address 172.1.2.1 global
Para más información, vea Referencia de los comandos de la CLI desde sensores de red de OT.
Validar la creación de reflejo del tráfico
Después de configurar la creación de reflejo del tráfico, intente recibir un ejemplo de tráfico grabado (archivo PCAP) desde el puerto SPAN o reflejo del conmutador.
Un archivo PCAP de ejemplo le ayudará a:
- Validar la configuración del conmutador
- Confirmar que el tráfico que pasa por el conmutador es relevante para la supervisión
- Identificar el ancho de banda y una cantidad estimada de dispositivos detectados por el conmutador
Use una aplicación de analizador de protocolos de red, como Wireshark, para registrar un archivo PCAP de ejemplo durante unos minutos. Por ejemplo, conecte un portátil a un puerto en el que haya configurado la supervisión del tráfico.
Compruebe que los paquetes de unidifusión estén presentes en el tráfico de la grabación. El tráfico de unidifusión es el que se envía de una dirección a otra.
Si la mayor parte del tráfico son mensajes ARP, la configuración de creación de reflejo del tráfico no es correcta.
Compruebe que los protocolos de OT estén presentes en el tráfico analizado.
Por ejemplo:
Configuración de ERSPAN heredado en la CLI
Importante
No se recomienda usar versiones heredadas del software, ya que esto podría provocar problemas de seguridad para el sistema. Si sigue usando la versión heredada, el usuario debe ejecutar comandos específicos de la CLI descritos en esta sección.
Configuración a través de la CLI
Use este procedimiento para configurar las siguientes opciones de configuración inicial a través de la CLI:
- Inicio de sesión en la consola del sensor y establecimiento de una nueva contraseña del usuario de administrador
- Definir los detalles de red para el sensor
- Definir las interfaces que desea supervisar
CLI heredada
Para configurar una interfaz de tunelización de ERSPAN heredado en la CLI, debe usar una línea de código adaptada. Este código garantiza que la opción de ERSPAN heredado esté disponible en el asistente para configuración del sensor de la CLI.
Un nuevo ERPSAN heredado solo se puede configurar si tiene configurada una interfaz existente.
Para configurar ERSPAN heredado:
Inicie sesión en el sensor mediante una interfaz de la CLI con un usuario cyberx o administrador.
Escriba
ERSPAN=1 python3 -m cyberx.config.configure.
Seleccione LegacyErspan y asigne una interfaz.
Seleccione Guardar.