Bagikan melalui

Mengonfigurasi pencerminan dengan port SPAN switch

  • Artikel

Artikel ini adalah satu dari serangkaian artikel yang menjelaskan jalur penyebaran untuk pemantauan OT dengan Pertahanan Microsoft untuk IoT.

Diagram of a progress bar with Network level deployment highlighted.

Konfigurasikan port SPAN pada sakelar Anda untuk mencerminkan lalu lintas lokal dari antarmuka pada sakelar ke antarmuka yang berbeda pada sakelar yang sama.

Artikel ini menyediakan contoh proses dan prosedur konfigurasi untuk mengonfigurasi port SPAN, menggunakan Cisco CLI atau GUI, untuk sakelar Cisco 2960 dengan 24 port yang menjalankan IOS.

Penting

Artikel ini hanya dimaksudkan sebagai panduan sampel dan bukan sebagai instruksi. Cerminkan port pada sistem operasi Cisco lainnya dan merek switch lainnya dikonfigurasi secara berbeda. Untuk informasi selengkapnya, lihat dokumentasi pengalihan Anda.

Prasyarat

Sebelum memulai, pastikan Anda memahami rencana untuk pemantauan jaringan dengan Defender for IoT, dan port SPAN yang ingin Anda konfigurasi.

Untuk informasi selengkapnya, lihat Metode pencerminan lalu lintas untuk pemantauan OT.

Contoh konfigurasi port CLI SPAN (Cisco 2960)

Perintah berikut menunjukkan proses sampel untuk mengonfigurasi port SPAN pada Cisco 2960 melalui CLI:

Cisco2960# configure terminal
Cisco2960(config)# monitor session 1 source interface fastehernet 0/2 - 23 rx
Cisco2960(config)# monitor session 1 destination interface fastethernet 0/24
Cisco2960(config)# end
Cisco2960# show monitor session 1
Cisco2960# running-copy startup-config

Contoh konfigurasi port GUI SPAN (Cisco 2960)

Prosedur ini menjelaskan langkah-langkah tingkat tinggi untuk mengonfigurasi port SPAN pada Cisco 2960 melalui GUI. Untuk informasi selengkapnya, lihat dokumentasi Cisco yang relevan.

Dari GUI konfigurasi switch:

  1. Masukkan mode konfigurasi global.
  2. Konfigurasikan 23 port pertama sebagai sumber sesi, hanya mencerminkan paket RX.
  3. Mengonfigurasikan port 24 untuk menjadi tujuan sesi.
  4. Kembali ke mode EXEC istimewa.
  5. Verifikasi konfigurasi pencerminan port.
  6. Simpan konfigurasi.

Contoh konfigurasi port CLI SPAN dengan beberapa VLAN (Cisco 2960)

Defender untuk IoT dapat memantau beberapa VLAN yang dikonfigurasi di jaringan Anda tanpa konfigurasi tambahan, selama sakelar jaringan dikonfigurasi untuk mengirim tag VLAN ke Defender untuk IoT.

Contohnya, perintah berikut harus dikonfigurasi pada switch Cisco untuk mendukung pemantauan VLAN di Defender untuk IoT:

Sesi pemantauan: Perintah berikut mengonfigurasi sakelar Anda untuk mengirim VLAN ke port SPAN.

monitor session 1 source interface Gi1/2
monitor session 1 filter packet type good Rx
monitor session 1 destination interface fastEthernet1/1 encapsulation dot1q

Pantau Trunk Port F.E. Gi1/1: Perintah berikut mengonfigurasi sakelar Anda untuk mendukung VLAN yang dikonfigurasi pada port batang:

interface GigabitEthernet1/1
switchport trunk encapsulation dot1q
switchport mode trunk

Memvalidasi pencerminan lalu lintas

Setelah mengonfigurasi pencerminan lalu lintas, lakukan upaya untuk menerima sampel lalu lintas yang direkam (file PCAP) dari SPAN switch atau port cermin.

Contoh file PCAP akan membantu Anda:

  • Memvalidasi konfigurasi pengalihan
  • Konfirmasikan bahwa lalu lintas yang melalui switch Anda relevan untuk pemantauan
  • Mengidentifikasi bandwidth dan perkiraan jumlah perangkat yang terdeteksi oleh sakelar

  1. Gunakan aplikasi penganalisis protokol jaringan, seperti Wireshark, untuk merekam sampel file PCAP selama beberapa menit. Misalnya, sambungkan laptop ke port tempat Anda mengonfigurasi pemantauan lalu lintas.

  2. Periksa apakah paket Unicast ada di lalu lintas rekaman. Lalu lintas Unicast dikirim dari alamat ke alamat lain.

    Jika sebagian besar lalu lintas adalah pesan ARP, konfigurasi pencerminan lalu lintas Anda tidak benar.

  3. Verifikasi bahwa protokol OT Anda ada dalam lalu lintas yang dianalisis.

    Misalnya:

    Screenshot of Wireshark validation.

Menyebarkan dengan gateway/dioda data unidirectional

Anda dapat menyebarkan Defender for IoT dengan gateway searah, juga dikenal sebagai dioda data. Dioda data menyediakan cara yang aman untuk memantau jaringan karena hanya memungkinkan data mengalir ke satu arah. Ini berarti data dapat dipantau tanpa mengorbankan keamanan jaringan, karena data tidak dapat dikirim kembali ke arah yang berlawanan. Contoh solusi diode data adalah Waterfall, Owl Cyber Defense, atau Hirschmann.

Jika gateway searah diperlukan, sebaiknya sebarkan dioda data Anda pada lalu lintas SPAN yang masuk ke port pemantauan sensor. Misalnya, gunakan dioda data untuk memantau lalu lintas dari sistem sensitif, seperti sistem kontrol industri, sambil menjaga sistem tetap terisolasi sepenuhnya dari sistem pemantauan.

Tempatkan sensor OT Anda di luar perimeter elektronik dan minta mereka menerima lalu lintas dari diode. Dalam skenario ini, Anda akan dapat mengelola sensor Defender for IoT dari cloud, membuatnya tetap diperbarui secara otomatis dengan paket inteligensi ancaman terbaru.

Langkah berikutnya

« Sensor OT Onboard ke Defender untuk IoT

Memprovisikan sensor OT untuk manajemen cloud »