Настройка зеркало с помощью порта SPAN коммутатора
Эта статья содержит одну из нескольких статей, описывающих путь развертывания для мониторинга OT с помощью Microsoft Defender для Интернета вещей.
Настройте порт SPAN на коммутаторе, чтобы зеркало локальный трафик из интерфейсов на коммутаторе к другому интерфейсу в том же коммутаторе.
В этой статье приведены примеры процессов и процедур конфигурации для настройки порта SPAN с помощью интерфейса командной строки Cisco или ГРАФИЧЕСКОго интерфейса для коммутатора Cisco 2960 с 24 портами, работающими под управлением IOS.
Важно!
Эта статья предназначена только в качестве примера руководства, а не в качестве инструкций. Зеркальные порты в других операционных системах Cisco и других торговых марках коммутаторов настраиваются по-другому. Дополнительные сведения см. в документации по коммутатору.
Необходимые компоненты
Перед началом работы убедитесь, что вы понимаете план мониторинга сети с помощью Defender для Интернета вещей и порты SPAN, которые необходимо настроить.
Дополнительные сведения см. в разделе "Методы зеркало трафика" для мониторинга OT.
Пример конфигурации порта CLI SPAN (Cisco 2960)
В следующих командах показан пример процесса настройки порта SPAN в Cisco 2960 через CLI:
Cisco2960# configure terminal
Cisco2960(config)# monitor session 1 source interface fastehernet 0/2 - 23 rx
Cisco2960(config)# monitor session 1 destination interface fastethernet 0/24
Cisco2960(config)# end
Cisco2960# show monitor session 1
Cisco2960# running-copy startup-config
Пример конфигурации порта GUI SPAN (Cisco 2960)
В этой процедуре описаны высокоуровневые шаги по настройке порта SPAN в Cisco 2960 через графический интерфейс. Дополнительные сведения см. в соответствующей документации по Cisco.
Из графического интерфейса конфигурации коммутатора:
- Введите глобальный режим конфигурации.
- Настройте первые 23 порта в качестве источника сеанса, зеркало только пакеты RX.
- Настройте порт 24 как назначение сеанса.
- Вернитесь в режим "privileged EXEC".
- Проверьте конфигурацию зеркалирования портов.
- Сохраните конфигурацию.
Пример конфигурации порта CLI SPAN с несколькими виртуальными локальными сетями (Cisco 2960)
Defender для Интернета вещей может отслеживать несколько виртуальных ЛС, настроенных в сети без дополнительной настройки, если сетевой коммутатор настроен для отправки тегов виртуальной локальной сети в Defender для Интернета вещей.
Например, следующие команды должны быть настроены для коммутатора Cisco в целях поддержки мониторинга виртуальных ЛС в Defender для Интернета вещей:
Мониторинг сеанса. Следующие команды настраивают параметр для отправки виртуальных ЛС в порт SPAN.
monitor session 1 source interface Gi1/2
monitor session 1 filter packet type good Rx
monitor session 1 destination interface fastEthernet1/1 encapsulation dot1q
Мониторинг магистрального порта F.E. Gi1/1: следующие команды настраивают переключатель для поддержки виртуальных ЛС, настроенных на магистральном порту:
interface GigabitEthernet1/1
switchport trunk encapsulation dot1q
switchport mode trunk
Проверка зеркало трафика
После настройки трафика зеркало выполните попытку получить образец записанного трафика (PCAP-файл) из коммутатора или порта зеркало.
Пример PCAP-файла поможет вам:
- Проверка конфигурации коммутатора
- Убедитесь, что трафик, проходящий через коммутатор, относится к мониторингу
- Определение пропускной способности и предполагаемое количество устройств, обнаруженных коммутатором
Используйте приложение анализатора сетевого протокола, например Wireshark, для записи примера PCAP-файла в течение нескольких минут. Например, подключите ноутбук к порту, где вы настроили мониторинг трафика.
Проверьте, имеются ли в записи трафика одноадресные пакеты. Одноадресный трафик — это трафик, отправляемый из адреса в другой.
Если большая часть трафика — это сообщения ARP, то конфигурация зеркало трафика не является правильной.
Убедитесь, что протоколы OT присутствуют в проанализированном трафике.
Например:
Развертывание с помощью однонаправленных шлюзов и диодов данных
Вы можете развернуть Defender для Интернета вещей с однонаправленными шлюзами, также называемыми диодами данных. Диоды данных обеспечивают безопасный способ мониторинга сетей, так как они позволяют передавать данные только в одном направлении. Это означает, что данные можно отслеживать без ущерба для безопасности сети, так как данные нельзя отправлять обратно в противоположном направлении. Примерами решений для диодов данных являются Каскад, Wl Cyber Defense или Хиршманн.
Если требуются однонаправленные шлюзы, рекомендуется развернуть диоды данных на трафике SPAN, переходя на порт мониторинга датчика. Например, используйте диод данных для мониторинга трафика из конфиденциальной системы, например промышленной системы управления, при этом система мониторинга полностью изолирована от системы мониторинга.
Поместите датчики OT за пределы электронного периметра и получите трафик от диода. В этом сценарии вы сможете управлять датчиками Defender для Интернета вещей из облака, сохраняя их автоматическое обновление с помощью последних пакетов аналитики угроз.