Configurare il mirroring del traffico ERSPAN (legacy) con un commutatore Cisco
Questo articolo è uno di una serie di articoli che descrivono il percorso di distribuzione per il monitoraggio OT con Microsoft Defender per IoT.
Questo articolo fornisce indicazioni generali per la configurazione del mirroring del traffico ERSPAN (Encapsulated Remote Switched Port Analyzer) per un commutatore Cisco.
È consigliabile usare il router ricevente come destinazione del tunnel GRE (Generic Routing Encapsulation).
Prerequisiti
Prima di iniziare, assicurarsi di comprendere il piano per il monitoraggio della rete con Defender per IoT e le porte SPAN da configurare.
Per altre informazioni, vedere Metodi di mirroring del traffico per il monitoraggio OT.
Configurare il commutatore Cisco
Il codice seguente mostra un esempio di output ifconfig per ERSPAN configurato in un commutatore Cisco:
monitor session 1 type erspan-source
description ERSPAN to D4IoT
erspan-id 32 # required, # between 1-1023
vrf default # required
destination ip 172.1.2.3 # IP address of destination
source interface port-channel1 both # Port(s) to be sniffed
filter vlan 1 # limit VLAN(s) (optional)
no shut # enable
monitor erspan origin ip-address 172.1.2.1 global
Per altre informazioni, vedere Informazioni di riferimento sui comandi dell'interfaccia della riga di comando dai sensori di rete OT.
Convalidare il mirroring del traffico
Dopo aver configurato il mirroring del traffico, provare a ricevere un esempio di traffico registrato (file PCAP) dal commutatore SPAN o dalla porta di mirroring.
Un file PCAP di esempio consente di:
- Convalidare la configurazione del commutatore
- Verificare che il traffico che attraversa il commutatore sia rilevante per il monitoraggio
- Identificare la larghezza di banda e un numero stimato di dispositivi rilevati dal commutatore
Usare un'applicazione di analisi di protocolli di rete, ad esempio Wireshark, per registrare un file PCAP di esempio per alcuni minuti. Ad esempio, connettere un portatile a una porta in cui è stato configurato il monitoraggio del traffico.
Verificare che nel traffico di registrazione siano presenti pacchetti Unicast. Il traffico Unicast è il traffico inviato da un indirizzo a un altro.
Se la maggior parte del traffico è costituita da messaggi ARP, la configurazione del mirroring del traffico non è corretta.
Verificare che i protocolli OT siano presenti nel traffico analizzato.
Ad esempio:
Configurare ERSPAN legacy nell'interfaccia della riga di comando
Importante
Non è consigliabile usare versioni legacy del software perché ciò potrebbe causare problemi di sicurezza per il sistema. Se si usa ancora la versione legacy, l'utente deve eseguire comandi specifici dell'interfaccia della riga di comando descritti in questa sezione.
Effettuare la configurazione tramite l'interfaccia della riga di comando
Usare questa procedura per configurare le impostazioni di installazione iniziali seguenti tramite l'interfaccia della riga di comando:
- Accesso alla console del sensore e configurazione di una password utente dell'amministratore
- Definizione dei dettagli di rete per il sensore
- Definizione delle interfacce da monitorare
Legacy dell'interfaccia della riga di comando
Per configurare un'interfaccia di tunneling ERSPAN legacy nell'interfaccia della riga di comando, è necessario usare una riga di codice adattata. Questo codice garantisce che l'opzione ERSPAN legacy sia disponibile nella configurazione guidata del sensore dell'interfaccia della riga di comando.
Un nuovo ERPSAN legacy può essere configurato solo se è configurata un'interfaccia esistente.
Per configurare ERSPAN legacy:
Accedere al sensore usando un'interfaccia dell'interfaccia della riga di comando con un utente cyberx o amministratore.
Digitare
ERSPAN=1 python3 -m cyberx.config.configure.
Selezionare LegacyErspan e assegnare un'interfaccia.
Seleziona Salva.