SPAN (Cisco Switched Port Analyzer)

Basit olarak istediğimiz network ağını analiz edebilmemiz için switch üzerinde kullanmamız gereken özelliktir. Cisco switch üzerinde SPAN özelliği ile Port mirroring veya port monitoring yaparak ağımızı analiz yapabiliriz.

Port Mirroring (Port aynalama)

İsminde anlayabileceğimiz gibi switch üzerinde bir portun aynalanmasıdır. Yani belirli bir porttan (Source port – interface, vlan olabilir) geçen (ingress – giriş trafiği, Egress çıkış trafiği) trafiğin başka bir porta kopyasını yönlendirilmesidir. Böyle bir özelliği hangi senaryolarda kullandığımıza bakalım.

 IDS (Intrusion Detection System) – IPS (Intrusion Prevention System) sistemlerinde kullanılması

Kısaca IDS ve IPS cihazları  bahsetmek gerekirse networkten gelen ve giden paketlerin içeriğine bakarak zararlı yazılım olup olmadığını tespit eden ve önleyen veya önlenmesi için gerekli aksiyonları alan cihazlardır.  IPS cihazları bütün paketi anlık olarak üstünden geçirerek (inline mode) bir saldırı olarak yorumladığı paketi hemen engelleyebilir. IDS cihazları ise paketin bir kopyasını üstüne alır ve  offline olarak (promiscious mode) inceler saldırı tespit ederse IPS cihazı gibi kendisi müdahale yaparak trafiği kesemez ama router veya firewall mesajlar göndererek dolaylı yollarla trafiği engeller. Bu algılama esnasında paketin bir kısmı hedef cihaza gitmiş olur. Bu cihazlar analizi Layer 3 ve Layer 4  katmanında yapabilirler.

Denetlenecek network trafiğin saldırı tespit ve saldırı önleme sistemlerine (IDS-IPS)  yönlendirilmesinde kullanılır

Konfigürasyon

Source port:

switch (config)# monitor session number source [ interface interface | vlan vlan ) ]

Destination port:

switch (config)# monitor session number destination [ interface interface | vlan vlan )

Rx : Alınan paketler

Tx : Gönderilen paketler

Both : hem gelen hem giden paketler

Show komutu:

show monitor

 

ÖR:

DMZ bölgesine gelen tehditlerin önlenmesi ve analiz edilmesi için switch üzerindeki Gig 0/1 portuna gelen ve giden paketlerin bir kopyasını Gig 0/2 portundaki IDS cihazına yönlendirmemiz gerekir. Switch üzerinde gereken konfigürasyonu yapalım.

  • Hangi porttaki trafiğin kopyalanacağını belirliyoruz. (Source)

Switch(config)#monitor session 1 source interface gigabitEthernet 0/1 both (Gelen ve giden paketlerin yollanması için both kullandık)

  • Trafiğin hangi porta yönlendirileceğini belirliyoruz. (Destination)

Switch(config)#monitor session 1 destination interface gigabitEthernet 0/2

interface yönlendirme yerine VLAN yönlendirmeside yapabiliriz. Yani vlan 10 vlan 20  gelen ve giden paketleri dinleyip yönlendirebiliriz.

Share