Configurer la mise en miroir avec un port SPAN de commutateur
Cet article fait partie d’une série d’articles décrivant le chemin de déploiement pour la supervision OT avec Microsoft Defender pour IoT.
Configurez un port SPAN sur votre commutateur pour mettre en miroir le trafic local des interfaces sur le commutateur vers une autre interface sur le même commutateur.
Cet article fournit des exemples de processus et de procédures de configuration d’un port SPAN, à l’aide de l’interface de ligne de commande Cisco ou de l’interface graphique utilisateur, pour le commutateur Cisco 2960 avec 24 ports exécutant IOS.
Important
Cet article sert uniquement d’exemple de guide et non pas d’instructions strictes. Les ports de mise en miroir des autres systèmes d’exploitation Cisco et des autres marques de commutateurs sont configurés différemment. Pour plus d’informations, consultez la documentation de votre commutateur.
Prérequis
Avant de commencer, assurez-vous de bien comprendre votre plan de supervision réseau avec Defender pour IoT et les ports SPAN que vous souhaitez configurer.
Pour plus d’informations, consultez les méthodes de mise en miroir de trafic pour la surveillance OT.
Exemple de configuration de port SPAN (Cisco 2960) avec l’interface CLI
Les commandes suivantes montrent un exemple de processus de configuration d’un port SPAN sur un Cisco 2960 via l’interface CLI :
Cisco2960# configure terminal
Cisco2960(config)# monitor session 1 source interface fastehernet 0/2 - 23 rx
Cisco2960(config)# monitor session 1 destination interface fastethernet 0/24
Cisco2960(config)# end
Cisco2960# show monitor session 1
Cisco2960# running-copy startup-config
Exemple de configuration de port SPAN (Cisco 2960) avec l’interface graphique
Cette procédure décrit les étapes générales de configuration d’un port SPAN sur un Cisco 2960 via l’interface graphique. Pour plus d’informations, consultez la documentation Cisco pertinente.
À partir de l’interface graphique de configuration du commutateur :
- Entrez le mode de configuration globale.
- Configurez les 23 premiers ports en tant que source de session, en mettant en miroir uniquement les paquets RX.
- Configurez le port 24 comme destination de la session.
- Revenez au mode EXEC privilégié.
- Vérifiez la configuration de la mise en miroir des ports.
- Enregistrez la configuration.
Exemple de configuration de port SPAN avec plusieurs réseaux locaux virtuels (Cisco 2960) avec l’interface CLI
Defender pour IoT peut effectuer un monitoring des réseaux VLAN configurés dans votre réseau sans aucune configuration supplémentaire, tant que le commutateur réseau est configuré pour envoyer des balises VLAN à Defender pour IoT.
Par exemple, les commandes suivantes doivent être configurées sur un commutateur Cisco pour permettre le monitoring des réseaux VLAN dans Defender pour IoT :
Surveiller la session : les commandes suivantes configurent votre commutateur pour envoyer les réseaux locaux virtuels au port SPAN.
monitor session 1 source interface Gi1/2
monitor session 1 filter packet type good Rx
monitor session 1 destination interface fastEthernet1/1 encapsulation dot1q
Surveiller le port trunk F.E. Gi1/1 : les commandes suivantes configurent votre commutateur pour prendre en charge les réseaux locaux virtuels configurés sur le port de jonction :
interface GigabitEthernet1/1
switchport trunk encapsulation dot1q
switchport mode trunk
Valider la mise en miroir du trafic
Après configuration de la mise en miroir du trafic, essayez de recevoir un échantillon du trafic enregistré (fichier PCAP) à partir du port SPAN du commutateur (ou miroir).
Un exemple de fichier PCAP vous aidera à :
- Valider la configuration du commutateur
- Vérifier que le trafic transitant par votre commutateur est pertinent pour la supervision
- Identifier la bande passante et un nombre estimé d’appareils détectés par le commutateur
Utilisez une application d’analyseur de protocole réseau, telle que Wireshark, pour enregistrer un exemple de fichier PCAP pendant quelques minutes. Par exemple, connectez un ordinateur portable à un port où vous avez configuré la supervision du trafic.
Vérifiez que des paquets de monodiffusion sont présents dans le trafic d’enregistrement. Le trafic Unicast est le trafic envoyé d’une adresse à une autre.
Si la majeure partie du trafic est constitué de messages ARP, votre configuration de mise en miroir du trafic n’est pas correcte.
Vérifiez que vos protocoles OT sont présents dans le trafic analysé.
Par exemple :
Déployer avec des passerelles unidirectionnelles/diodes de données
Vous pouvez déployer Defender pour IoT avec des passerelles unidirectionnelles, également connues sous le nom de diodes de données. Les diodes de données offrent un moyen sécurisé de surveiller les réseaux, car elles n’autorisent le flux de données que dans une seule direction. Cela signifie que les données peuvent être surveillées sans compromettre la sécurité du réseau, car les données ne peuvent pas être renvoyées dans la direction opposée. Des exemples de solutions de diodes de données sont Waterfall, Owl Cyber Defense ou Hirschmann.
Si des passerelles unidirectionnelles sont nécessaires, nous vous recommandons de déployer vos diodes de données sur le trafic SPAN vers le port de surveillance du capteur. Par exemple, utilisez une diode de données pour surveiller le trafic à partir d’un système sensible, tel qu’un système de contrôle industriel, tout en gardant le système complètement isolé du système de surveillance.
Placez vos capteurs OT à l’extérieur du périmètre électronique et faites en sorte qu’ils reçoivent le trafic de la diode. Dans ce scénario, vous pourrez gérer vos capteurs Defender pour IoT à partir du cloud, en les mettant automatiquement à jour avec les packs de veille des menaces les plus récents.