Configurar o espelhamento de tráfego ERSPAN (herdado) com um comutador Cisco
Este artigo faz parte de uma série de artigos que descrevem o caminho de implantação para monitoramento de OT com o Microsoft Defender para IoT.
Este artigo fornece diretrizes de alto nível para configurar o espelhamento de tráfego do (ERSPAN) do analisador da porta alternada remota encapsulado para um comutador Cisco.
Recomendamos usar o roteador de recebimento como o destino de túnel GRE (encapsulamento de roteamento genérico).
Pré-requisitos
Antes de começar, certifique-se de entender seu plano de monitoramento de rede com o Defender para IoT e as portas SPAN que deseja configurar.
Para obter mais informações, consulte Métodos de espelhamento de tráfego para monitoramento de OT.
Configurar o comutador Cisco
O seguinte código mostra uma saída de exemplo ifconfig para o ERSPAN configurado em um comutador cisco:
monitor session 1 type erspan-source
description ERSPAN to D4IoT
erspan-id 32 # required, # between 1-1023
vrf default # required
destination ip 172.1.2.3 # IP address of destination
source interface port-channel1 both # Port(s) to be sniffed
filter vlan 1 # limit VLAN(s) (optional)
no shut # enable
monitor erspan origin ip-address 172.1.2.1 global
Para mais informações, confira Referência de comando da CLI de sensores de rede OT.
Validar o espelhamento de tráfego
Após configurar o espelhamento de tráfego, tente receber um exemplo de tráfego gravado (arquivo PCAP) do comutador SPAN ou da porta de espelhamento.
Uma amostra de arquivo PCAP ajudará você a:
- Validar a configuração de comutador
- Confirmar se o tráfego que passa pelo comutador é relevante para o monitoramento
- Identificar a largura de banda e um número estimado de dispositivos detectados pelo comutador
Use um aplicativo analisador de protocolo de rede, como o Wireshark, para registrar um arquivo PCAP de exemplo por alguns minutos. Por exemplo, conecte um laptop a uma porta em que você configurou o monitoramento de tráfego.
Verifique se os pacotes unicast estão presentes no tráfego de gravação. O tráfego Unicast é o tráfego enviado do endereço para outro.
Se a maior parte do tráfego for de mensagens ARP, a configuração de espelhamento de tráfego não estará correta.
Verifique se os protocolos de OT estão presentes no tráfego analisado.
Por exemplo:
Configurar o ERSPAN herdado na CLI
Importante
Não recomendamos o uso de versões herdadas do software, pois isso pode causar problemas de segurança para seu sistema. Se você ainda estiver usando a versão herdada, o usuário precisará executar comandos específicos da CLI discutidos nesta seção.
Configurar a instalação por meio da CLI
Use este procedimento para definir as seguintes configurações iniciais por meio da CLI:
- Entrar no console do sensor e definir uma nova senha do usuário administrador
- Definição de detalhes de rede para o sensor
- Definição das interfaces que você deseja monitorar
CLI Herdada
Para configurar uma interface de túnel ERSPAN herdada na CLI, você precisa usar uma linha de código adaptada. Esse código garante que a opção ERSPAN herdada esteja disponível no assistente de configuração do sensor da CLI.
Um novo ERPSAN herdado só poderá ser configurado se você tiver uma interface existente configurada.
Para configurar o ERSPAN herdado:
Faça logon no sensor usando uma interface da CLI com um usuário de cyberx ou administrador.
Digite
ERSPAN=1 python3 -m cyberx.config.configure.
Selecione LegacyErspan e atribua uma interface.
Selecione Salvar.