Ik hoop dat iemand mij kan helpen met een uitdaging die ik heb:
Mijn uitdaging is dat ik een sensor geplaatst heb op mijn netwerk die mijn OT netwerk moet gaan monitoren. Wat ik ook doe, ik zie alle apparaten op mijn gehele netwerk en niet alleen mijn OT apparaten.
Mijn idee was als volgt: Ik gebruik 1 switch voor mijn productie netwerk en 1 switch voor mijn OT netwerk. Binnen Unifi kan je echter alleen 1 poort op mirror zetten dus ik dacht "dan sluit ik de 2e switch op de mirror switch en ga die poort dan monitoren. Op de 2e switch sluit ik al mijn OT apparaten op aan". Echter blijf ik alles zien op beide switches.
Mijn setup is als volgt:
- Unifi Gateway Fiber
- Unifi USW Ultra 60 W (switch1)
- Unifi USW Ultra (switch2)
Hier mijn huidige topology;
:strip_exif()/f/image/n9Wx1vWtqxToSeyyJTqUqHzb.png?f=user_large)
Ik heb vervolgens 2 netwerken aangemaakt en beide netwerken in de zone "OT Zone" geplaatst. Als source heb ik voor alle destinations "OT Zone" op block all gezet:
:strip_exif()/f/image/ILDrXpOWsLBlh9lEMUvj5akQ.png?f=user_large)
Vervolgens heb ik poort 5 op switch1 op mirror gezet en daarbij poort 7 aangegeven als mirror. Op poort 7 van switch1 zit dan switch2:
:strip_exif()/f/image/95KR7tcosciRRcfGdjgGXWad.png?f=user_large)
Qua monitoring gebruik ik een mini PC met 2 NIC's en Microsoft Defender for IoT. 1 NIC is mijn management NIC en die is aangesloten op poort 4 van switch1 en de monitoring NIC is aangesloten op poort 5 van switch1.
Ik had verwacht dat al het verkeer van switch2 gemonitord wordt via poort 5 omdat daar poort 7 is opgegeven als mirror. Als dat niet werkt is 1 ding, maar waarom zie ik alle apparaten terwijl ik een netwerk heb ingesteld, een zone heb aangemaakt met block all naar alle andere zones en zelfs port isolation op alle OT poorten heb gezet?
Ik heb een video gevonden waarbij de zones worden uitgelegd en ik had verwacht dat dit niet zone overstijgend zou zijn, maar dat is het dus wel. AI komt met een TAP of een switch met SPAN mogelijkheden, maar ik wil het graag proberen met mijn huidige setup als dat kan.
Waarom zie ik ook het verkeer op switch1 met deze configuratie?
Bedankt!
Mijn uitdaging is dat ik een sensor geplaatst heb op mijn netwerk die mijn OT netwerk moet gaan monitoren. Wat ik ook doe, ik zie alle apparaten op mijn gehele netwerk en niet alleen mijn OT apparaten.
Mijn idee was als volgt: Ik gebruik 1 switch voor mijn productie netwerk en 1 switch voor mijn OT netwerk. Binnen Unifi kan je echter alleen 1 poort op mirror zetten dus ik dacht "dan sluit ik de 2e switch op de mirror switch en ga die poort dan monitoren. Op de 2e switch sluit ik al mijn OT apparaten op aan". Echter blijf ik alles zien op beide switches.
Mijn setup is als volgt:
- Unifi Gateway Fiber
- Unifi USW Ultra 60 W (switch1)
- Unifi USW Ultra (switch2)
Hier mijn huidige topology;
Ik heb vervolgens 2 netwerken aangemaakt en beide netwerken in de zone "OT Zone" geplaatst. Als source heb ik voor alle destinations "OT Zone" op block all gezet:
Vervolgens heb ik poort 5 op switch1 op mirror gezet en daarbij poort 7 aangegeven als mirror. Op poort 7 van switch1 zit dan switch2:
Qua monitoring gebruik ik een mini PC met 2 NIC's en Microsoft Defender for IoT. 1 NIC is mijn management NIC en die is aangesloten op poort 4 van switch1 en de monitoring NIC is aangesloten op poort 5 van switch1.
Ik had verwacht dat al het verkeer van switch2 gemonitord wordt via poort 5 omdat daar poort 7 is opgegeven als mirror. Als dat niet werkt is 1 ding, maar waarom zie ik alle apparaten terwijl ik een netwerk heb ingesteld, een zone heb aangemaakt met block all naar alle andere zones en zelfs port isolation op alle OT poorten heb gezet?
Ik heb een video gevonden waarbij de zones worden uitgelegd en ik had verwacht dat dit niet zone overstijgend zou zijn, maar dat is het dus wel. AI komt met een TAP of een switch met SPAN mogelijkheden, maar ik wil het graag proberen met mijn huidige setup als dat kan.
Waarom zie ik ook het verkeer op switch1 met deze configuratie?
Bedankt!
:strip_exif()/f/image/WsIlLZqZ6CebZBmEoi293piP.png?f=user_large)
:strip_exif()/f/image/vQOFHvXQ6f7eQsJV7KuJ1V1A.png?f=user_large)