Configurer la mise en miroir du trafic ERSPAN (hérité) avec un commutateur Cisco
Cet article fait partie d’une série d’articles décrivant le chemin de déploiement pour la supervision OT avec Microsoft Defender pour IoT.
Cet article fournit des instructions générales sur la configuration de la mise en miroir du trafic ERSPAN (Encapsulated Remote Switched Port Analyzer) pour un commutateur Cisco.
Nous vous recommandons d’utiliser votre routeur de réception comme destination de tunnel d’encapsulation de routage générique.
Prérequis
Avant de commencer, assurez-vous de bien comprendre votre plan de supervision réseau avec Defender pour IoT et les ports SPAN que vous souhaitez configurer.
Pour plus d’informations, consultez les méthodes de mise en miroir de trafic pour la surveillance OT.
Configurer le commutateur Cisco
Le code suivant montre un exemple de sortie ifconfig pour ERSPAN configuré sur un commutateur Cisco :
monitor session 1 type erspan-source
description ERSPAN to D4IoT
erspan-id 32 # required, # between 1-1023
vrf default # required
destination ip 172.1.2.3 # IP address of destination
source interface port-channel1 both # Port(s) to be sniffed
filter vlan 1 # limit VLAN(s) (optional)
no shut # enable
monitor erspan origin ip-address 172.1.2.1 global
Pour plus d’informations, consultez Guide de référence des commandes CLI à partir de capteurs réseau OT.
Valider la mise en miroir du trafic
Après configuration de la mise en miroir du trafic, essayez de recevoir un échantillon du trafic enregistré (fichier PCAP) à partir du port SPAN du commutateur (ou miroir).
Un exemple de fichier PCAP vous aidera à :
- Valider la configuration du commutateur
- Vérifier que le trafic transitant par votre commutateur est pertinent pour la supervision
- Identifier la bande passante et un nombre estimé d’appareils détectés par le commutateur
Utilisez une application d’analyseur de protocole réseau, telle que Wireshark, pour enregistrer un exemple de fichier PCAP pendant quelques minutes. Par exemple, connectez un ordinateur portable à un port où vous avez configuré la supervision du trafic.
Vérifiez que des paquets de monodiffusion sont présents dans le trafic d’enregistrement. Le trafic Unicast est le trafic envoyé d’une adresse à une autre.
Si la majeure partie du trafic est constitué de messages ARP, votre configuration de mise en miroir du trafic n’est pas correcte.
Vérifiez que vos protocoles OT sont présents dans le trafic analysé.
Par exemple :
Configurer ERSPAN hérité dans l’interface CLI
Important
Nous vous déconseillons d’utiliser des versions héritées du logiciel, car cela peut entraîner des problèmes de sécurité pour votre système. Si vous utilisez toujours la version héritée, l’utilisateur doit exécuter des commandes CLI spécifiques décrites dans cette section.
Configurer l’installation via l’interface CLI
Utilisez cette procédure pour configurer les paramètres d’installation initiale suivants via l’interface CLI :
- Connexion à la console du capteur et définition d'un nouveau mot de passe utilisateur administrateur
- Définition des détails réseau pour votre capteur
- Définition des interfaces que vous souhaitez surveiller
Interface CLI (héritage)
Pour configurer une interface de tunneling ERSPAN héritée dans l’interface CLI, vous devez utiliser une ligne de code adaptée. Ce code garantit que l’option ERSPAN hérité est disponible dans l’Assistant Configuration du capteur CLI.
Un nouvel ERPSAN hérité ne peut être configuré que si vous disposez d’une interface existante configurée.
Pour configurer l’ERSPAN hérité :
Connectez-vous à votre capteur à l’aide d’une interface CLI avec un utilisateur cyberx ou administrateur.
Tapez
ERSPAN=1 python3 -m cyberx.config.configure.
Sélectionnez LegacyErspan et attribuez une interface.
Sélectionnez Enregistrer.