Verkeersspiegeling configureren met een ingekapselde REMOTE Switched Port Analyzer (ERSPAN)

Gebruik een ingekapselde Remote Switched Port Analyzer (ERSPAN) om invoerinterfaces via een IP-netwerk te spiegelen naar de bewakingsinterface van uw OT-sensor bij het beveiligen van externe netwerken met Defender for IoT.

De bewakingsinterface van de sensor is een promiscue interface en heeft geen specifiek toegewezen IP-adres. Wanneer ERSPAN-ondersteuning is geconfigureerd, worden ERSPAN-nettoladingen die zijn ingekapseld met GRE-tunnel-inkapseling geanalyseerd door de sensor.

Gebruik ERSPAN-inkapseling wanneer het nodig is om bewaakt verkeer uit te breiden naar laag 3-domeinen. ERSPAN is een eigen cisco-functie en is alleen beschikbaar op specifieke routers en switches. Zie de Cisco-documentatie voor meer informatie.

Notitie

Dit artikel bevat richtlijnen op hoog niveau voor het configureren van verkeerspiegeling met ERSPAN. Specifieke implementatiedetails variëren afhankelijk van uw leverancier van apparatuur.

ERSPAN-architectuur

ERSPAN-sessies omvatten een bronsessie en een doelsessie die zijn geconfigureerd op verschillende switches. Tussen de bron- en doelswitches wordt verkeer ingekapseld in GRE en kan het worden gerouteerd via laag 3-netwerken.

Bijvoorbeeld:

Diagram van verkeer gespiegeld van een lucht-gapped of industrieel netwerk naar een OT-netwerksensor met behulp van ERSPAN.

ERSPAN transporteert gespiegeld verkeer via een IP-netwerk met behulp van het volgende proces:

  1. Een bronrouter kapselt het verkeer in en verzendt het pakket via het netwerk.
  2. Op de doelrouter wordt het pakket gedecapsuleerd en verzonden naar de doelinterface.

ERSPAN-bronopties bevatten elementen zoals:

  • Ethernetpoorten en poortkanalen
  • VLAN's; alle ondersteunde interfaces in het VLAN zijn ERSPAN-bronnen
  • Infrastructuurpoortkanalen
  • Satellietpoorten en hostinterfacepoortkanalen

Tip

Wanneer u ERSPAN configureert, raden we u aan uw ontvangende router te gebruiken als de bestemming van de GRE-tunnel (Generic Routing EnCapsulation).

ERSPAN configureren op uw OT-netwerksensor

Voor nieuw geïnstalleerde OT-netwerksensoren is ERSPAN- en GRE-headerstripping standaard uitgeschakeld. Als u ondersteuning voor ERSPAN wilt inschakelen, moet u uw ERSPAN-interfaces configureren en vervolgens het RCDCAP-onderdeel inschakelen om uw bewakingsprocessen opnieuw te starten.

ERSPAN-ondersteuning wordt geconfigureerd in het scherm Erspan monitorinterfaces selecteren, dat wordt weergegeven tijdens uw eerste software-installatie op het apparaat. Bijvoorbeeld:

Schermopname van het scherm erspan monitor selecteren.

Als u dit scherm later wilt openen, meldt u zich via SSH aan bij uw sensor als de cyberx_host gebruiker en voert u de volgende opdracht uit:

sudo dpkg-reconfigure iot-sensor

De installatiewizard wordt gestart en u kunt de interfaces selecteren die u ERSPAN-verkeer wilt ontvangen.

Voltooi de wizard om uw wijzigingen toe te passen.

Zie Ot-bewakingssoftware installeren op OT-sensoren voor meer informatie.

Voorbeeldconfiguratie op een Cisco-switch

De volgende code toont een voorbeelduitvoer ifconfig voor ERSPAN die is geconfigureerd op een Cisco-switch:

monitor session 1 type erspan-source
description ERSPAN to D4IoT
erspan-id 32                              # required, # between 1-1023
vrf default                               # required
destination ip 172.1.2.3                  # IP address of destination
source interface port-channel1 both       # Port(s) to be sniffed
filter vlan 1                             # limit VLAN(s) (optional)
no shut                                   # enable

monitor erspan origin ip-address 172.1.2.1 global

Zie CLI-opdrachtreferentie van OT-netwerksensoren voor meer informatie.

Volgende stappen

Zie voor meer informatie: