Cisco/HP Switch Mirror PORT Yapılandırma ve Coslat 5651 loglama
Bu makalemizde port mirror nedir, Cisco /HP Switch’lerde nasıl yapılandırılır ve Coslat üzerinde port mirror ile loglama nasıl yapılır konusundan bahsedeceğiz.
Port mirroring nedir?
Port Mirroring switch üzerinde belirlenen kaynaklardan (port veya vlan) gelen trafiğin bir kopyasının başka bir port üzerine aktarılması işlemidir. Genel olarak trafik izlemek için kullanılır. Bu sayede trafik analizi yapılabileceği gibi trafiğin loglanması da sağlanabilir.
Belirli bir porttan veya portlardan (Source port – interface, vlan olabilir) geçen (ingress/rx – giriş trafiği, Egress/tx çıkış trafiği) trafiğin başka bir porta yönlendirilmesi şeklinde çalışır. Bazı switchler birden fazla mirror yapılandırmasına izin vermektedir. Bu durumda her bir mirror yapılandırmasında belirlenen porta farklı kaynaklardan trafik yönlendirilebilir.
Bu makalede port mirror için örnekler CISCO ve HP switchler üzerinden anlatılacaktır . Genel olarak diğer marka modellerde de benzer yapılandırmalar kullanılır.
Cisco Switch Örnek Yapılandırma
Cisco Switch örnek yapılandırmasını komut satırı üzerinden yapacağız.
İlk örneğimizde, bir porttan gelen trafiği yönlendiriyoruz.
(24. porttan gelen trafiğin bir kopyasını 23. porta yönlendiriyoruz. )
Switch>enable
Switch#configure terminal
Switch(config)#monitor session 1 source interface fa 0/24
Switch(config)#monitor session 1 destination interface fa 0/23
Bu komutlar ile yönlendirmemizi yapmış oluyoruz. Cisco switchler genel olarak 4 sessiona kadar izin vermektedir. Bu sayede 4 farklı mirror yapılandırması yapılabilmektedir.
İkinci örneğimizde, birden fazla porttan gelen trafiği yönlendiriyoruz.
(24 ve 36 arasındaki portlardan gelen trafiğin bir kopyasını 23. porta yönlendiriyoruz. )
Switch>enable
Switch#configure terminal
Switch(config)#monitor session 1 source interface fa 0/24 – 36
Switch(config)#monitor session 1 destination interface fa 0/23
Son örneğimizde, Vlanlardan gelen trafiği yönlendiriyoruz.
(Vlan 10 ile 12 arası ve 15. vlandan gelen trafiğin bir kopyasını 23. porta yönlendiriyoruz. )
Switch>enable
Switch#configure terminal
Switch(config)#monitor session 1 source Vlan 10 – 12 , 15
Switch(config)#monitor session 1 destination interface fa 0/23
Bu örneklerimizde kaynak port veya vlanlar için hem gelen hem de giden trafiği yönlendirmiş olduk. Eğer tek taraflı bir yönlendirme istiyorsak, yani kaynak portta gelen veya kaynak porttan giden trafik için tx /rx parametrelerini kullanmamız gerekir. (tx – Transmitted traffic , rx- Received traffic)
Böyle bir durumda komutumuz aşağıdaki gibi olacaktır;
Switch(config)#monitor session 1 source Vlan 10 – 12 , 15 rx
Yapılandırmamızı kontrol etmek için aşağıdaki komuttan yardım alırız.
Switch#show monitor session all
Session 1
————-
Type : Local Session
Description : –
Source Ports :
Both :Fa0/24
Destination Ports :Fa0/23
Encapsulation :Native
Ingress :Disabled
Switch#
Yapılandırmamızı tamamdıktan sonra yapılan işlemler için ayarlarımızı kaydetmemiz gerekmektedir, aksi takdirde ilk elektrik kesilmesinde veya switchin yeniden başlatılması gibi bir durumda yapılandırmamız kaybolacaktır.
Switch(config)#do wr
Komutu ile ayarlar kaydedilir.
Hp Switch Örnek Yapılandırma
HP Switch yapılandırmamızı hem web arayüzden hem de komut satırından yapacağız.
İlk olarak HP Switch web arayüzüne giriş yapıyoruz.
Switch arayüzüne giriş yaptıktan sonra Device menüsü altında Port Mirroring bölüme geçiyoruz . Summary sekmesinde varsa önceki yapılandırmamızı görebiliriz.
Ardından Add sekmesine geçiyoruz. Bu sekmede ilk olarak Moirroring Group ID’yi belirliyoruz. Örneğimizde kullandığımız model HP Switch 1 adet port mirror desteklemektedir. Mirroring Group ID kısmına 1 yazıp Apply butonu ile ekliyoruz.
Grubumuzu ekledikten sonra Modify Port sekmesine tıklayıp Mirroing Group ID’den oluşturduğumuz Id yi seçiyoruz.
İlk olarak Port Type : Monitor Port seçimi ile mirror edilecek trafiğin hangi hedef porta iletileceğini seçiyoruz.
Port Type : Mirror Port ile ise dinlenilecek olan kaynak port veya portların seçimini yapıyoruz.
Her iki işlemi de tek tek gerçekleştirdikten sonra Apply ile uyguluyoruz.
Bu işlemlerden sonra genel yapılandırmayı kaydetmek için Save butonu ile yapılandırmayı kaydediyoruz. Aksi takdirde switch yeniden başlaması durumunda yapılandırma kaydedilmeyecektir.
Son olarak yaptığımız yapılandırmanın özetini Summary sekmesinde görülebilir.
HP Switchlerde Komut Satırından Mirror Yapılandırması için,console veya telnet ile komut satırına bağlanıyoruz.
İlk olarak mirroring-group tanımlıyoruz.
#mirroring-group 1 local
Burada dikkat edilmesi gereken nokta Cisco’dan farklı olarak yapılandırmak istediğimiz port altında monitor ve mirror seçimini yapmış olduğumuzdur.Bunun için ilk olarak trafiğin yönlendirileceği hedef port seçimini yapıyoruz.
#interface GigabitEthernet1/0/2
Daha sonra bu portu monitor port seçmek için aşağıdaki komutu kullanıyoruz.
#mirroring-group 1 monitor-port
Mirror port seçimi için ise yapılandırmak istediğimiz portların seçimini yapıyoruz.
#interfaces GigabitEthernet1/0/3
Bu portuda mirror olarak yapılandırmak için de aşağıdaki komutu kullanıyoruz.
#mirroring-group 1 mirroring-port both
Coslat ile Mirror Port Üzerinden 5651 Loglama
Coslat ile bu mirror yapılandırmasını kullanarak, yerel veya nitelikli imzalama kullanarak 5651 loglama yabilir. Ayrıca bu loglamada AD ile Entegrasyon sağlayabilir ve trafik bilgisinin içerisinde AD login bilgileri de eklenebilir.
Mirror port yapılandırmasını tamamladıktan sonra 5651 loglama için Coslat tarafında da bir kaç küçük ayarlama yapması gerekmektedir.
Burada Coslat’ın dinleme yapacağı portun, mirror yapılandırmasında hedef port olarak yapılandırdığımız porta takılı olması gerekmektedir.
Coslat Yapılandırması
Öncelikle Coslat’ın arayüzünden Arabirimler sekmesinin altından Yeni Arabirim sekmesi ile yeni bir arabirim ekliyoruz.
Açılan sayfada Ekle butonuna tıklayarak yeni arabirim ekliyoruz.
Cihaz üzerindeki var olan fiziksel port arayüze eklenmiş olacaktır. Kaydet dedikten sonra arabirimin adına tıklayarak arabirim yapılandırma sayfasına gidiyoruz.
Arabirimin aktif etmek için Arabirimi Etkinleştir kutucuğu işaretliyoruz.
Açıklama : Arabirim adıdır. İstediğimiz şekilde düzenleyebiliriz.
IPv4 Yapılandırma Türü : Sabit IPv4 seçiyoruz.
IPv4 Adresi : Mirror arabirimdeki ipmiz network üzerinde kullanmadığımız bir ip olmalıdır.Yapılanma tamamlandıktan sonra Kaydet butonuna basıyoruz.
Yapılandırmanın geçerli olabilmesi için kaydet butonuna bastıktan sonra sayfanın en üst kısmında çıkan Değişiklikleri Uygula butonu ile aktif ediyoruz.
Daha sonra dinlenecek portları belirlemek için, Sistem altında İmzalama Ayarları kısmına geliyoruz.
Açılan sayfada açtığımız MIRROR isimli arabirim üzerinde İzletmeyi Başlat kutucuğunu aktifleştiriyoruz.
Burada 5651 için dinlenecek portlar olarak aşağıdaki portları giriyoruz ;
TCP Port : 80,443
UDP Port ; 443
Birden fazla port girilecek ise boşluk bırakmadan virgül koyarak yazıyoruz.
Eğer mirror yapılandırmasından hedef porta gelecek trafik içerisinde birden fazla vlan yapısı da varsa oradan gelen logları da alabilmemiz için Vlan Etkinleştir kutucuğu da işaretliyoruz.
Ayarlar yapılandırıldıktan sonra Kaydet butonunu tıklıyoruz.
Ayrıca bu sayfada AD entegrasyonunu aktif edebilir. Bunun için Coslat AD Agent’ın AD’ye kurulması ve AD ayarlarını yapılandırmak gerekmektedir.
Coslat arayüzünde, mirror port arabiriminden gelen trafik kontrolü Kayıtlar → 5651 Kayıtları sayfasından yapabilir.
Loglar gelmeye başladıktan sonra Coslat varsayılan olarak yerel imzalama ile log kayıtlarını imzalayarak saklayacaktır.
Eğer nitelikli imzalama tercih edilirse, Sistem -> İmzalama Ayarları sayfasından Nitelikli İmzalama Periyodu sekmesine gelerek nitelikli imza satın alınan kurum bilgilerini girerek aktif edebilir.