Verkeersspiegeling configureren met een ingekapselde REMOTE Switched Port Analyzer (ERSPAN)
Gebruik een ingekapselde Remote Switched Port Analyzer (ERSPAN) om invoerinterfaces via een IP-netwerk te spiegelen naar de bewakingsinterface van uw OT-sensor bij het beveiligen van externe netwerken met Defender for IoT.
De bewakingsinterface van de sensor is een promiscue interface en heeft geen specifiek toegewezen IP-adres. Wanneer ERSPAN-ondersteuning is geconfigureerd, worden ERSPAN-nettoladingen die zijn ingekapseld met GRE-tunnel-inkapseling geanalyseerd door de sensor.
Gebruik ERSPAN-inkapseling wanneer het nodig is om bewaakt verkeer uit te breiden naar laag 3-domeinen. ERSPAN is een eigen cisco-functie en is alleen beschikbaar op specifieke routers en switches. Zie de Cisco-documentatie voor meer informatie.
Notitie
Dit artikel bevat richtlijnen op hoog niveau voor het configureren van verkeerspiegeling met ERSPAN. Specifieke implementatiedetails variëren afhankelijk van uw leverancier van apparatuur.
ERSPAN-architectuur
ERSPAN-sessies omvatten een bronsessie en een doelsessie die zijn geconfigureerd op verschillende switches. Tussen de bron- en doelswitches wordt verkeer ingekapseld in GRE en kan het worden gerouteerd via laag 3-netwerken.
Bijvoorbeeld:
ERSPAN transporteert gespiegeld verkeer via een IP-netwerk met behulp van het volgende proces:
- Een bronrouter kapselt het verkeer in en verzendt het pakket via het netwerk.
- Op de doelrouter wordt het pakket gedecapsuleerd en verzonden naar de doelinterface.
ERSPAN-bronopties bevatten elementen zoals:
- Ethernetpoorten en poortkanalen
- VLAN's; alle ondersteunde interfaces in het VLAN zijn ERSPAN-bronnen
- Infrastructuurpoortkanalen
- Satellietpoorten en hostinterfacepoortkanalen
Tip
Wanneer u ERSPAN configureert, raden we u aan uw ontvangende router te gebruiken als de bestemming van de GRE-tunnel (Generic Routing EnCapsulation).
ERSPAN configureren op uw OT-netwerksensor
Voor nieuw geïnstalleerde OT-netwerksensoren is ERSPAN- en GRE-headerstripping standaard uitgeschakeld. Als u ondersteuning voor ERSPAN wilt inschakelen, moet u uw ERSPAN-interfaces configureren en vervolgens het RCDCAP-onderdeel inschakelen om uw bewakingsprocessen opnieuw te starten.
ERSPAN-ondersteuning wordt geconfigureerd in het scherm Erspan monitorinterfaces selecteren, dat wordt weergegeven tijdens uw eerste software-installatie op het apparaat. Bijvoorbeeld:
Als u dit scherm later wilt openen, meldt u zich via SSH aan bij uw sensor als de cyberx_host gebruiker en voert u de volgende opdracht uit:
sudo dpkg-reconfigure iot-sensor
De installatiewizard wordt gestart en u kunt de interfaces selecteren die u ERSPAN-verkeer wilt ontvangen.
Voltooi de wizard om uw wijzigingen toe te passen.
Zie Ot-bewakingssoftware installeren op OT-sensoren voor meer informatie.
Voorbeeldconfiguratie op een Cisco-switch
De volgende code toont een voorbeelduitvoer ifconfig
voor ERSPAN die is geconfigureerd op een Cisco-switch:
monitor session 1 type erspan-source
description ERSPAN to D4IoT
erspan-id 32 # required, # between 1-1023
vrf default # required
destination ip 172.1.2.3 # IP address of destination
source interface port-channel1 both # Port(s) to be sniffed
filter vlan 1 # limit VLAN(s) (optional)
no shut # enable
monitor erspan origin ip-address 172.1.2.1 global
Zie CLI-opdrachtreferentie van OT-netwerksensoren voor meer informatie.
Volgende stappen
Zie voor meer informatie: