Cisco Port mirroring

De BlaxWiki
Aller à la navigationAller à la recherche

Commandes[modifier]

fb-ar1#show monitor
 No SPAN configuration is present in the system.


Session SPAN[modifier]

monitor session 1 source interface Fa3/11 rx
monitor session 1 destination interface Fa3/12

Session RSPAN[modifier]

Avec RSPAN le dump peut se faire à travers plusieurs switchs, via un VLAN spécial.

Sur le switch source : 

vlan 100
 remote-span

monitor session 1 source Fa3/11 rx
monitor session 1 destination remote vlan 100

Sur le switch destination : 

monitor session 1 source remote vlan 100
monitor session 1 destination Fa3/12

Session ERSPAN[modifier]

Sur le switch source : 

monitor session 1 type erspan-source
  description ...
  source Fa3/11 rx
  ! only VLAN 155 for a source port that is a trunk
  filter 155
  destination
    ip address 2.2.2.2
    erspan-id 1
  origin ip address 1.1.1.1

Sur le switch destination : 

monitor session 1 type erspan-destination
  description ...
  destination Fa3/12
  source
    ip address 2.2.2.2
    erspan-id 1

Remarques[modifier]

  • Attention, seulement deux sessions source peuvent être configurées sur un switch (détruire les sessions avec no monitor session all).
  • Configurer le port de sortie comme un trunk pour voir l'encapsulation VLAN dans le dump (mais pas d'encapsulation VLAN dans le mode ERSPAN).
  • Vérifier que le port destination est bien réservé pour SPAN, le trafic sur ce port sera interrompu.
  • Pendant que la session est configurée, le port destination apparaît comme up/down, ce qui génère une alarme.

Cependant, on garde le monitoring sur le port, pour que le port soit disponible le jour où on configure une session.

Dump sur backup-router[modifier]

Exemple : une attaque est détectée sur port 2/8 de fb-ar1.

On veut pouvoir faire un tcpdump sur backup-router pour connaître les IP responsables.

Le port 3/12 sur le 6500 est utilisé comme mirror port.

L'interface fxp2 sur backup-router est réservé pour le traffic venant du port Foundry 3/12 de fb-ar1. L'interface fxp2 de backup-router et le port 3/12 sont reliés par un câble droit (déjà fait normalement).

Configurer le port suspect pour envoyer le traffic vers backup-router : 

monitor session 1 source interface Fa2/8 rx
monitor session 1 destination interface Fa3/12

On peut maintenant lancer un tcpdump sur fxp2 de backup-router.

Attention, les paquets arrivent du 6500 avec un tag VLAN (même quand le port mirroring destination n'est pas configuré en trunk), donc tcpdump ne fonctionnera correctement que si une interface VLAN est créée sur backup-router : 

vconfig add fxp2 199
ifconfig vlan199 up
tcpdump -n -i vlan199 host 212.43.199.76

Si l'attaque vient de l'extérieur vers une machine hébergée, il faut null router les IP attaquées.

Si l'attaque vient d'une machine hébergée et est dirigée vers l'extérieur, il faut ajouter une accesss list sur l'interface du Foundry pour bloquer l'attaque.

Par exemple, si on veut bloquer tous les paquets avec IP source 212.43.248.166 venant sur l'interface 2/8 : 

conf t
no ip access-list extended dos
ip access-list extended dos
 deny ip host 212.43.248.166 any
 permit ip any any

interface f2/8
  ip access-group dos in

On peut aussi appliquer une limitation de bande passante.

Récupérée de « https://wiki.blaxeen.com/index.php?title=Cisco_Port_mirroring&oldid=521 »