Mirroring auf Extreme Networks Switches

Der Einsatz eines IDS ist aus Sicherheitsüberlegungen heraus aus heutigen Unternehmensnetzwerken kaum mehr wegzudenken. Beim Einsatz eines hybriden oder eines netzwerkbasierten IDS kann die Integration in das Netzwerk auf verschiedenen Wegen erfolgen:

- mittels eines TAP

- durch den Einsatz eines HUBs

- durch das Spiegeln des Netzwerkverkehrs auf einen anderen Switchport

Die zuletzt aufgeführte Variante kann auf Extreme Networks Switches einfach umgesetzt werden. Wichitg ist jedoch eine sehr genaue Planung wo das/ die IDS eingesetzt werden sollen, d.h. welche Daten sie analysieren sollen. Zwar ist die Bedrohung aus dem Internet nach wie vor vorhanden und gefährlich- ein oftmals übersehener, bzw. ignorierter Angriffsvektor sitzt jedoch im internen Netzwerk.

Im folgenden Beispiel soll am Port 26 des Slot 1 eines Stacks das Intrusion Detection System angeschlossen werden.

Alle Daten, die den Port 25 des Slot 2 passieren, sollen an diesen Port kopiert werden.

Einrichtung eines Port- Mirrorings

 
* Slot-1 sw100.1 # enable mirroring to port 1:26
   
WARNING: This command will remove VLAN membership from the monitor port.
         Do you want to continue? (y/N) Yes
* Slot-1 sw100.2 # configure mirroring add port 2:25

Anzeigen der aktuellen Mirroring Konfiguration

* Slot-1 sw100.3 # sh mirroring
Mirror port: 1:26 is up
Number of Mirroring filters:1
Mirror Port configuration:        
Port number 2:25 in all vlans
   
Wie hier detailliert zu sehen ist werden alle Daten, egal für oder von welchem VLAN, die Port 2.25 passieren, an Port 1:26 gespiegelt.

Löschen eines Port- Mirrorings

 
* Slot-1 sw100.4 # configure mirroring delete port 2:25
  Lässt man sich nach der Ausführung dieses Kommandos erneut die Konfiguration anzeigen so ist deutlich zu sehen, dass keine Quelle mehr für das Mirroring existiert:
* Slot-1 sw100.5 # sh mirroring  Mirror port: 1:26 is up  Number of Mirroring filters:0

Einrichten eines VLAN Mirrorings

Sinnigerweisse ist es bei Extreme Networks Switches auch möglich sämtlichen Traffic innerhalb eines VLANs, egal auf welchem Port und welchem Slot eines Stacks dieses konfiguriert ist, spiegeln zu lassen. Im folgenden Beispiel  ist der Name des zu spiegelnden VLANs VLAN001.
Die Einrichtung ist stark ähnlich der Einrichtung des Port- Mirrorings:  
* Slot-1 sw100.6 # configure mirroring add vlan "VLAN001"
  In der Konfigurationsübersicht sieht das dann so aus:  
* Slot-1 sw100.7 # sh mirroring
Mirror port: 1:26 is up
Number of Mirroring filters:1
Mirror Port configuration:        All ports in vlan VLAN001
Egal welche der beiden Varianten man einsetzt: Sofort nach der Änderung der Konfiguration werden die Daten an den Mirror- Port (1:26) gesendet.