次の方法で共有

スイッチ SPAN ポートを使用してミラーリングを構成する

  • [アーティクル]

この記事は、Microsoft Defender for IoT を使用した OT 監視のデプロイ パスについて説明するシリーズ記事の 1 つです。

Diagram of a progress bar with Network level deployment highlighted.

スイッチ上のインターフェイスから同じスイッチ上の別のインターフェイスにローカル トラフィックをミラーリングするようにスイッチの SPAN ポートを設定します。

この記事では、IOS を実行する 24 ポートの Cisco 2960 スイッチに対して、Cisco CLI または GUI を使用して、SPAN ポートを設定するサンプルの構成プロセスおよび手順を示します。

重要

この記事は、あくまでサンプルのガイダンスであり、手順として意図されていません。 他の Cisco オペレーティング システムや他のスイッチ ブランドのミラー ポートは、別の方法で構成されています。 詳細については、スイッチのドキュメントを参照してください。

前提条件

開始する前に、Defender for IoT を使用したネットワーク監視の計画と、構成する SPAN ポートについて理解していることを確認してください。

詳細については、OT モニタリングのためのトラフィック ミラーリング方法に関するページを参照してください

サンプルの CLI SPAN ポート設定 (Cisco 2960)

次のコマンドは、CLI を使用して Cisco 2960 で SPAN ポートを設定するためのサンプル プロセスを示しています。

Cisco2960# configure terminal
Cisco2960(config)# monitor session 1 source interface fastehernet 0/2 - 23 rx
Cisco2960(config)# monitor session 1 destination interface fastethernet 0/24
Cisco2960(config)# end
Cisco2960# show monitor session 1
Cisco2960# running-copy startup-config

サンプルの GUI SPAN ポート設定 (Cisco 2960)

この手順では、GUI を使用して Cisco 2960 で SPAN ポートを設定する手順の概要について説明します。 詳細については、関連する Cisco のドキュメントを参照してください。

スイッチの設定 GUI から:

  1. グローバル構成モードに入ります。
  2. 最初の 23 個のポートをセッション ソースとして構成し、RX パケットのみをミラーリングします。
  3. ポート 24 をセッション発信先として構成します。
  4. 特権 EXEC モードに戻ります。
  5. ポート ミラーリングの構成を確認します。
  6. 構成を保存します。

複数の VLAN を使用した CLI による SPAN ポート設定の例 (Cisco 2960)

Defender for IoT では、ネットワークに構成された複数の VLAN を追加の構成なしで監視できますが、そのためには、Defender for IoT に VLAN タグを送信するようにネットワーク スイッチが構成されている必要があります。

たとえば、Defender for IoT で VLAN の監視をサポートするには、Cisco スイッチで次のコマンドを構成する必要があります。

セッションを監視: 次のコマンドは SPAN ポートに VLAN を送信するようにスイッチを設定します。

monitor session 1 source interface Gi1/2
monitor session 1 filter packet type good Rx
monitor session 1 destination interface fastEthernet1/1 encapsulation dot1q

トランク ポート F.E. Gi1/1 を監視: 次のコマンドは、トランク ポートに設定された VLAN をサポートするようにスイッチを設定します。

interface GigabitEthernet1/1
switchport trunk encapsulation dot1q
switchport mode trunk

トラフィック ミラーリングを検証する

トラフィック ミラーリングを構成したら、スイッチの SPAN (またはミラー) ポートから記録されたトラフィック (PCAP ファイル) のサンプルの受信を試みます。

サンプルの PCAP ファイルは、次の場合に役立ちます。

  • スイッチの構成を検証する
  • スイッチを通過するトラフィックが監視に関連していることを確認する
  • スイッチによって検出されたデバイスの帯域幅と推定数を特定する

  1. Wireshark などのネットワーク プロトコル アナライザー アプリケーションを使用して、サンプル PCAP ファイルを数分間記録します。 たとえば、トラフィック監視を構成したポートにノート PC を接続します。

  2. 記録するトラフィックにユニキャスト パケットがあることを確認します。 ユニキャスト トラフィックは、アドレスから別のアドレスに送信されるトラフィックです。

    ほとんどのトラフィックが ARP メッセージの場合は、トラフィック ミラーリングの構成が正しくありません。

  3. 分析されたトラフィックに OT プロトコルが存在することを確認します。

    次に例を示します。

    Screenshot of Wireshark validation.

一方向ゲートウェイ/データ ダイオードを使用してデプロイする

データ ダイオードとも呼ばれる一方向ゲートウェイを使用して Defender for IoT をデプロイできます。 データ ダイオードではデータの流れが一方向に制限されるため、安全な方法でネットワークを監視できます。 つまり、データを反対方向に送り返すことができないため、ネットワークのセキュリティを損なうことなくデータを監視できます。 データ ダイオード ソリューションの例には、WaterfallOwl Cyber DefenseHirschmann などがあります。

一方向ゲートウェイが必要な場合は、センサー監視ポートに送信される SPAN トラフィックにデータ ダイオードをデプロイすることをお勧めします。 たとえば、データ ダイオードを使用して、産業用制御システムなどの機密性の高いシステムからのトラフィックを監視し、同時にシステムを監視システムから完全に分離された状態に維持します。

OT センサーは電子境界の外側に配置し、ダイオードからトラフィックを受信するようにします。 このシナリオでは、クラウドから Defender for IoT センサーを管理し、最新の脅威インテリジェンス パッケージを使用して自動的にセンサーを更新できるようになります。

次のステップ

« Defender for IoT に OT センサーをオンボードする

クラウド管理用の OT センサーをプロビジョニングする »