Delen via

Spiegeling configureren met een switch SPAN-poort

  • Artikel

Dit artikel is een in een reeks artikelen waarin het implementatiepad voor OT-bewaking met Microsoft Defender voor IoT wordt beschreven.

Diagram of a progress bar with Network level deployment highlighted.

Configureer een SPAN-poort op uw switch om lokaal verkeer van interfaces op de switch te spiegelen naar een andere interface op dezelfde switch.

Dit artikel bevat voorbeeldconfiguratieprocessen en procedures voor het configureren van een SPAN-poort, met behulp van de Cisco CLI of GUI, voor een Cisco 2960-switch met 24 poorten waarop IOS wordt uitgevoerd.

Belangrijk

Dit artikel is alleen bedoeld als voorbeeldrichtlijnen en niet als instructies. Spiegelpoorten op andere Cisco-besturingssystemen en andere switchmerken worden anders geconfigureerd. Zie uw switchdocumentatie voor meer informatie.

Vereisten

Voordat u begint, moet u ervoor zorgen dat u begrijpt wat uw plan is voor netwerkbewaking met Defender for IoT en de SPAN-poorten die u wilt configureren.

Zie Verkeersspiegelingsmethoden voor OT-bewaking voor meer informatie.

Voorbeeld van CLI SPAN-poortconfiguratie (Cisco 2960)

De volgende opdrachten tonen een voorbeeldproces voor het configureren van een SPAN-poort op een Cisco 2960 via CLI:

Cisco2960# configure terminal
Cisco2960(config)# monitor session 1 source interface fastehernet 0/2 - 23 rx
Cisco2960(config)# monitor session 1 destination interface fastethernet 0/24
Cisco2960(config)# end
Cisco2960# show monitor session 1
Cisco2960# running-copy startup-config

Voorbeeld-GUI SPAN-poortconfiguratie (Cisco 2960)

In deze procedure worden de stappen op hoog niveau beschreven voor het configureren van een SPAN-poort op een Cisco 2960 via de GUI. Zie de relevante Cisco-documentatie voor meer informatie.

Vanuit de configuratie-GUI van de switch:

  1. Voer de globale configuratiemodus in.
  2. Configureer de eerste 23 poorten als sessiebron, waarbij alleen RX-pakketten worden gespiegeld.
  3. Configureer poort 24 als een sessiebestemming.
  4. Ga terug naar de bevoegde EXEC-modus.
  5. Controleer de configuratie van poortspiegeling.
  6. Sla de configuratie op.

Voorbeeld van CLI SPAN-poortconfiguratie met meerdere VLAN's (Cisco 2960)

Defender for IoT kan meerdere VLAN's bewaken die in uw netwerk zijn geconfigureerd zonder extra configuratie, zolang de netwerkswitch is geconfigureerd voor het verzenden van VLAN-tags naar Defender for IoT.

De volgende opdrachten moeten bijvoorbeeld worden geconfigureerd op een Cisco-switch ter ondersteuning van VLAN's in Defender for IoT:

Monitorsessie: met de volgende opdrachten configureert u uw switch om VLAN's naar de SPAN-poort te verzenden.

monitor session 1 source interface Gi1/2
monitor session 1 filter packet type good Rx
monitor session 1 destination interface fastEthernet1/1 encapsulation dot1q

Trunk Port F.E. Gi1/1 bewaken: met de volgende opdrachten configureert u uw switch om VLAN's te ondersteunen die zijn geconfigureerd op de trunkpoort:

interface GigabitEthernet1/1
switchport trunk encapsulation dot1q
switchport mode trunk

Verkeerspiegeling valideren

Nadat u verkeerspiegeling hebt geconfigureerd, probeert u een voorbeeld van opgenomen verkeer (PCAP-bestand) te ontvangen van de switch SPAN- of mirrorpoort.

Een voorbeeld van een PCAP-bestand helpt u bij het volgende:

  • De switchconfiguratie valideren
  • Controleer of het verkeer dat via uw switch gaat relevant is voor bewaking
  • De bandbreedte en het geschatte aantal apparaten identificeren dat door de switch is gedetecteerd

  1. Gebruik een network protocol analyzer-toepassing, zoals Wireshark, om een paar minuten een PCAP-voorbeeldbestand op te nemen. Sluit bijvoorbeeld een laptop aan op een poort waar u verkeerscontrole hebt geconfigureerd.

  2. Controleer of Unicast-pakketten aanwezig zijn in het opnameverkeer. Unicast-verkeer is verkeer dat van adres naar een ander wordt verzonden.

    Als het grootste deel van het verkeer ARP-berichten is, is uw configuratie voor verkeersspiegeling niet juist.

  3. Controleer of uw OT-protocollen aanwezig zijn in het geanalyseerde verkeer.

    Voorbeeld:

    Screenshot of Wireshark validation.

Implementeren met unidirectionele gateways/gegevensdioden

U kunt Defender for IoT implementeren met unidirectionele gateways, ook wel gegevensdioden genoemd. Gegevensdioden bieden een veilige manier om netwerken te bewaken, omdat ze alleen gegevens in één richting laten stromen. Dit betekent dat gegevens kunnen worden bewaakt zonder de beveiliging van het netwerk in gevaar te brengen, omdat gegevens niet in omgekeerde richting kunnen worden verzonden. Voorbeelden van gegevensdiode-oplossingen zijn Waterval, Uil Cyber Defense of Azure-

Als er unidirectionele gateways nodig zijn, raden we u aan om uw gegevensdioden te implementeren op het SPAN-verkeer dat naar de sensorbewakingspoort gaat. Gebruik bijvoorbeeld een gegevensdiode om verkeer van een gevoelig systeem, zoals een industrieel controlesysteem, te bewaken, terwijl het systeem volledig geïsoleerd blijft van het bewakingssysteem.

Plaats uw OT-sensoren buiten de elektronische perimeter en laat ze verkeer ontvangen van de diode. In dit scenario kunt u uw Defender for IoT-sensoren vanuit de cloud beheren, zodat ze automatisch worden bijgewerkt met de nieuwste bedreigingsinformatiepakketten.

Volgende stappen

« OT-sensoren onboarden bij Defender for IoT

OT-sensoren inrichten voor cloudbeheer »