Зеркалирование портов на CISCO для снифинга
Снифинг трафика может потребоваться для глубокого анализа данных в сети. Иногда проще проводить анализ трафика не на маршрутизаторе, а на стороннем компьютере с большим объёмом оперативной памяти, мощными вычислительными ресурсами и ёмкими накопителями для хранения больших объёмов данных. Ранее у меня был проект по сбору NetFlow на Python который выполнял роль коллектора Netflow траффика, а анализ производился с использованием PHP. Но я с этим наигрался и пришел к выводу о том, что у данного проекта много минусов и недостатков. Как минимум основная проблема в том, что при работе в сети на удалённых точках роутер часто перезагружается и не запоминает IP-адреса компьютеров. На самом деле — это тоже не проблема если организовать хранение данных DHCP на флешке, а не в оперативной памяти. Вторая проблема — это малое количество идентификационной информации об отслеживаемых компьютерах. Для большой сети со сложной корпоративной политикой этого не достаточно и требуется глубокий анализ трафика для реализации всех хотелок службы безопасности.
Собственно настало время когда мне потребовалось зеркалировать трафик на моих роутерах. Это делается в несколько этапов.
enable conf t ip traffic-export profile MIRROR1 mode export bidirectional interface GigabitEthernet0/1/0 mac-address aaaa.bbbb.cccc exit interface GigabitEthernet0/0 ip traffic-export apply MIRROR1 exit
И так, как это читается? Сначала создаётся профиль для экспорта данных, в моём случае он будет называться MIRROR1, в нём настраивается порт в который будут передаваться данные и MAC-адреc устройства которому назначаются зеркальные данные. В идеальных условиях этот порт должен выделяться в монопольное пользование устройству которое будет анализировать трафик. Ещё надо указать направление снифинга: bidirectional (двухсторонний, Enable bidirectional traffic export), incoming (входящий, Configure incoming IP traffic export) или outgoing (исходящий, Configure outgoing IP traffic export).
После создания профиля его можно прикрепить к интерфейсу который необходимо зеркалировать в наш порт. Это пример работы с роутером. В моём примере в роутере стоит HWIC-карта на один из портов которой зеркалируется трафик локальной сети. Профиль трафик-экспорта можно прикрепить к любому интерфейсу или VLAN.
Так как речь идёт о предприятиях, то для высвобождения ресурсов роутера, лучше использовать свитч для зеркалирования данных. Но там это делается несколько иначе, в моём случае используется свитч Catalist.
conf t monitor session 1 source interface fastethernet 0/1 monitor session 1 source interface fastethernet 0/2 monitor session 1 source interface fastethernet 0/3 monitor session 1 source interface fastethernet 0/4 monitor session 1 source interface fastethernet 0/5 monitor session 1 destination interface GigabitEthernet 0/1
Тут всё просто, создаём правило мониторинга и перечисляем какие порты входят в группу прослушиваемых (указываем интересующие порты для более качественной выборки) и указываем порт в который будет копироваться вся информация из входящих портов.
Оставлю здесь в качестве небольшой шпаргалки, чтобы потом не вспоминать.
Отредактировано:2022-11-30 08:58:09