스위치 SPAN 포트로 미러링 구성
이 문서는 Microsoft Defender for IoT를 사용한 OT 모니터링의 배포 경로를 설명하는 일련의 문서 중 하나입니다.
스위치의 인터페이스에서 동일한 스위치의 다른 인터페이스로 로컬 트래픽을 미러링하도록 스위치의 SPAN 포트를 구성합니다.
이 문서에서는 IOS를 실행하는 24개 포트가 있는 Cisco 2960 스위치에 대해 Cisco CLI 또는 GUI를 사용하여 SPAN 포트를 구성하는 샘플 구성 프로세스 및 절차를 제공합니다.
Important
이 문서는 지침이 아닌 샘플 지침일 뿐입니다. 다른 Cisco 운영 체제와 기타 스위치 브랜드의 미러링 포트는 다르게 구성됩니다. 자세한 내용은 스위치 설명서를 참조하세요.
필수 조건
시작하기 전에 Defender for IoT 및 구성하려는 SPAN 포트를 사용하여 네트워크 모니터링 계획을 이해해야 합니다.
자세한 내용은 OT 모니터링을 위한 트래픽 미러링 방법을 참조하세요.
샘플 CLI SPAN 포트 구성(Cisco 2960)
다음 명령은 CLI를 통해 Cisco 2960에서 SPAN 포트를 구성하는 샘플 프로세스를 보여 줍니다.
Cisco2960# configure terminal
Cisco2960(config)# monitor session 1 source interface fastehernet 0/2 - 23 rx
Cisco2960(config)# monitor session 1 destination interface fastethernet 0/24
Cisco2960(config)# end
Cisco2960# show monitor session 1
Cisco2960# running-copy startup-config
샘플 GUI SPAN 포트 구성(Cisco 2960)
이 절차는 GUI를 통해 Cisco 2960에서 SPAN 포트를 구성하는 고급 단계를 설명합니다. 자세한 내용은 관련 Cisco 설명서를 참조하세요.
스위치의 구성 GUI에서:
- 전역 구성 모드로 들어갑니다.
- 처음 23개 포트를 세션 원본으로 구성하고 RX 패킷만 미러링합니다.
- 실제 포트 24를 세션 대상으로 구성합니다.
- 권한 있는 EXEC 모드로 돌아갑니다.
- 포트 미러링 구성을 확인합니다.
- 구성을 저장합니다.
여러 VLAN이 있는 샘플 CLI SPAN 포트 구성(Cisco 2960)
Defender for IoT는 VLAN 태그를 Defender for IoT에 보내도록 네트워크 스위치가 구성되어 있는 한 추가 구성 없이 네트워크에 구성된 여러 VLAN을 모니터링할 수 있습니다.
예를 들어, Defender for IoT에서 VLAN 모니터링을 지원하도록 Cisco 스위치에서 다음 명령을 구성해야 합니다.
모니터 세션: 다음 명령은 VLAN을 SPAN 포트로 보내도록 스위치를 구성합니다.
monitor session 1 source interface Gi1/2
monitor session 1 filter packet type good Rx
monitor session 1 destination interface fastEthernet1/1 encapsulation dot1q
모니터 트렁크 포트 F.E. Gi1/1: 다음 명령은 트렁크 포트에 구성된 VLAN을 지원하도록 스위치를 구성합니다.
interface GigabitEthernet1/1
switchport trunk encapsulation dot1q
switchport mode trunk
트래픽 미러링 유효성 검사
트래픽 미러링을 구성한 후 스위치 SPAN 또는 미러 포트에서 기록된 트래픽 샘플(PCAP 파일)을 수신해 봅니다.
샘플 PCAP 파일은 다음을 수행하는 데 도움이 됩니다.
- 스위치 구성의 유효성 검사
- 스위치를 통과하는 트래픽이 모니터링과 관련 있는지 확인
- 스위치에서 검색된 대역폭 및 예상 디바이스 수 식별
Wireshark 같은 네트워크 프로토콜 분석기 애플리케이션을 사용하여 몇 분 동안 샘플 PCAP 파일을 기록합니다. 예를 들어 트래픽 모니터링을 구성한 포트에 노트북을 연결합니다.
유니캐스트 패킷이 기록 트래픽에 있는지 확인합니다. 유니캐스트 트래픽은 주소에서 다른 주소로 전송되는 트래픽입니다.
대부분의 트래픽이 ARP 메시지인 경우 트래픽 미러링 구성이 올바르지 않습니다.
OT 프로토콜이 분석된 트래픽에 있는지 확인합니다.
예시:
단방향 게이트웨이/데이터 다이오드를 사용하여 배포
데이터 다이오드라고도 하는 단방향 게이트웨이를 사용하여 Defender for IoT를 배포할 수 있습니다. 데이터 다이오드는 데이터가 한 방향으로만 흐르도록 허용하므로 네트워크를 모니터링하는 안전한 방법을 제공합니다. 이는 데이터가 반대 방향으로 다시 전송될 수 없기 때문에 네트워크 보안을 손상시키지 않고 데이터를 모니터링할 수 있음을 의미합니다. 데이터 다이오드 솔루션의 예로는 Waterfall, Owl Cyber Defense 또는 Hirschmann이 있습니다.
단방향 게이트웨이가 필요한 경우 센서 모니터링 포트로 이동하는 SPAN 트래픽에 데이터 다이오드를 배포하는 것이 좋습니다. 예를 들어, 데이터 다이오드를 사용하여 업계 제어 시스템과 같은 중요한 시스템의 트래픽을 모니터링하는 동시에 시스템을 모니터링 시스템으로부터 완전히 격리된 상태로 유지합니다.
OT 센서를 전자 경계 외부에 배치하고 다이오드에서 트래픽을 수신하도록 합니다. 이 시나리오에서는 클라우드에서 Defender for IoT 센서를 관리하고 최신 위협 인텔리전스 패키지로 자동 업데이트할 수 있습니다.