Port-Mirror
- Autor : Tomáš Mokoš, Marek Brodec
Port-Mirror alebo zrkadlenie portov sa používa na sieťovom prepínači pre posielanie kópií sieťových paketov, ktoré je možné vidieť na jednom porte prepínača (alebo celej VLAN) pre monitorovanie siete pripojenej na inom porte prepínača. Port-Mirror sa bežne používa pre sieťové zariadenia, ktoré vyžadujú monitorovanie prevádzky v sieti, ako je napríklad systém detekcie narušenia, pasívna sonda alebo technológie real user management (RUM), ktorý sa používa na podporu riadenia výkonu aplikácií (APM).
V našom prípade nám katedra poskytla prepínač Cisco Catalyst 2960, ktorý sme nakonfigurovali tak, aby nám všetky dátové toky prechádzajúce rozhraním, ku ktorému sú pripojené zariadenia v laboratórií ďalej k Internetu, boli odzrkadlené na rozhranie, na ktorom je pripojený náš server so systémom Moloch. Z toho vyplýva, že aktuálne monitorujeme a archivujeme všetku prevádzku, ktorá prichádza alebo odchádza z laboratórií katedry.
Switch(config)#monitor session 1 source fa0/1 both
– Určuje interface zdroja fa 0/1 a parameter both určuje oba smery.
Switch(config)#monitor session 1 destination interface fa0/24
– Určuje cieľové rozhranie, na ktoré bude prevádzka zrkadlená.
Zdroje
- CRZP Komplexný systém pre detekciu útokov a archiváciu dát – Moloch