Configurar o espelhamento com uma porta SPAN do switch
Este artigo é um de uma série de artigos que descrevem o caminho de implantação para monitoramento de OT com o Microsoft Defender for IoT.
Configure uma porta SPAN no switch para espelhar o tráfego local de interfaces no switch para uma interface diferente no mesmo switch.
Este artigo fornece exemplos de processos e procedimentos de configuração para configurar uma porta SPAN, usando a Cisco CLI ou GUI, para um switch Cisco 2960 com 24 portas executando IOS.
Importante
Este artigo destina-se apenas como exemplo de orientação e não como instruções. As portas espelhadas em outros sistemas operacionais Cisco e outras marcas de switch são configuradas de forma diferente. Para obter mais informações, consulte a documentação do switch.
Pré-requisitos
Antes de começar, certifique-se de entender seu plano de monitoramento de rede com o Defender for IoT e as portas SPAN que deseja configurar.
Para obter mais informações, consulte Métodos de espelhamento de tráfego para monitoramento de OT.
Exemplo de configuração de porta SPAN da CLI (Cisco 2960)
Os comandos a seguir mostram um processo de exemplo para configurar uma porta SPAN em um Cisco 2960 via CLI:
Cisco2960# configure terminal
Cisco2960(config)# monitor session 1 source interface fastehernet 0/2 - 23 rx
Cisco2960(config)# monitor session 1 destination interface fastethernet 0/24
Cisco2960(config)# end
Cisco2960# show monitor session 1
Cisco2960# running-copy startup-config
Exemplo de configuração de porta SPAN GUI (Cisco 2960)
Este procedimento descreve as etapas de alto nível para configurar uma porta SPAN em um Cisco 2960 por meio da GUI. Para obter mais informações, consulte a documentação relevante da Cisco.
A partir da GUI de configuração do switch:
- Entre no modo de configuração global.
- Configure as primeiras 23 portas como uma origem de sessão, espelhando apenas pacotes RX.
- Configure a porta 24 para ser um destino de sessão.
- Retorne ao modo EXEC privilegiado.
- Verifique a configuração do espelhamento da porta.
- Guardar a configuração.
Exemplo de configuração de porta SPAN da CLI com várias VLANs (Cisco 2960)
O Defender for IoT pode monitorar várias VLANs configuradas em sua rede sem qualquer configuração extra, desde que o switch de rede esteja configurado para enviar tags VLAN para o Defender for IoT.
Por exemplo, os seguintes comandos devem ser configurados em um switch Cisco para suportar o monitoramento de VLANs no Defender for IoT:
Monitorar sessão: os comandos a seguir configuram seu switch para enviar VLANs para a porta SPAN.
monitor session 1 source interface Gi1/2
monitor session 1 filter packet type good Rx
monitor session 1 destination interface fastEthernet1/1 encapsulation dot1q
Monitor Trunk Port F.E. Gi1/1: Os comandos a seguir configuram seu switch para suportar VLANs configuradas na porta de tronco:
interface GigabitEthernet1/1
switchport trunk encapsulation dot1q
switchport mode trunk
Validar o espelhamento de tráfego
Depois de configurar o espelhamento de tráfego, tente receber uma amostra de tráfego gravado (arquivo PCAP) do SPAN do switch ou da porta espelhada.
Um arquivo PCAP de exemplo irá ajudá-lo a:
- Validar a configuração do switch
- Confirme se o tráfego que passa pelo seu comutador é relevante para a monitorização
- Identificar a largura de banda e um número estimado de dispositivos detetados pelo switch
Use um aplicativo analisador de protocolo de rede, como o Wireshark, para gravar um arquivo PCAP de amostra por alguns minutos. Por exemplo, conecte um laptop a uma porta onde você configurou o monitoramento de tráfego.
Verifique se os pacotes Unicast estão presentes no tráfego de gravação. Tráfego unicast é o tráfego enviado de endereço para outro.
Se a maior parte do tráfego for de mensagens ARP, sua configuração de espelhamento de tráfego não está correta.
Verifique se seus protocolos OT estão presentes no tráfego analisado.
Por exemplo:
Implante com gateways/diodos de dados unidirecionais
Você pode implantar o Defender for IoT com gateways unidirecionais, também conhecidos como diodos de dados. Os diodos de dados fornecem uma maneira segura de monitorar redes, pois eles só permitem que os dados fluam em uma direção. Isso significa que os dados podem ser monitorados sem comprometer a segurança da rede, já que os dados não podem ser enviados de volta na direção oposta. Exemplos de soluções de diodo de dados são Waterfall, Owl Cyber Defense ou Hirschmann.
Se forem necessários gateways unidirecionais, recomendamos implantar seus diodos de dados no tráfego SPAN que vai para a porta de monitoramento do sensor. Por exemplo, use um diodo de dados para monitorar o tráfego de um sistema sensível, como um sistema de controle industrial, mantendo o sistema completamente isolado do sistema de monitoramento.
Coloque seus sensores OT fora do perímetro eletrônico e peça-lhes que recebam tráfego do diodo. Nesse cenário, você poderá gerenciar seus sensores Defender for IoT a partir da nuvem, mantendo-os atualizados automaticamente com os pacotes de inteligência de ameaças mais recentes.