تحدثنا مسبقا عن أنظمة الـ IDS وتعلمنا شيء مميزا يختص فيه هذا النوع من الأنظمة وهو أنعزاله وعمله بشكل مستقل عن الشبكة فهو لايؤثر على آداء الشبكة ولا على سرعتها فهو يأخذ نسخة من الترافيك الذي يمر عبر الشبكة ويقوم بفحصه بشكل منفرد ومن دون التأثير على الشبكة لكن لنطرح اليوم هذا السؤال كيف نقوم بتوصيل نسخة من الترافيك إلى هذا النظام؟.
بداية أتمنى من الجميع مشاهدة التدوينة السابقة حول المقارنة التى طرحتها بين أنظمة IPS & IDS فهي مدخلنا لفهم موضوع اليوم, فعندما نتحدث عن انظمة كشف التطفل IDS يخطر على بالنا شيء واحد وهو الكشف فقط Detection وذلك من خلال أرسال نسخة كاملة من الترافيك الذي يعبر السويتش إلى أحد المنافذ الموجودة معه من اجل تحليلها والكشف عن وجود فايروسات أو ملفات تجسس أو أي شيء آخر لكن كيف نقوم بعملية أرسال الترافيك في أجهزة سيسكو ؟ سيسكو طورت خاصية جميلة جدا وهامة وهي SPAN أو Switched Port Analyzer وظيفة هذه الخاصية هي نقل هذا الترافيك من وإلى من خلال تحديد المصدر والهدف والمصدر قد يكون منفذ واحد او عدة منافذ أو Vlan أما الهدف فيمكن أن يكون على نفس السويتش أو على سويتش آخر وهو موضوع آخر يدعى RSPAN وهو نقل الترافيك إلى مكان معين موجود على سويتش آخر وهذه صورة للتوضيح.
الأستفادة الثانية التى نحصل عليها أيضا من هذه الخاصية هي تسجيل المكالمات على مستوى الـ VOIP فنحن نستطيع أن نرسل هذا الترافيك إلى مكان معين بهدف تسجيل جميع المكالمات التى تحدث في الشبكة.
وسوف نقوم بعمل مثال بسيط للتوضيح
Cisco'sSW(config)#monitor session 1 source interface fe0/0
SW(config)#monitor session 1 source interface fe0/1
SW(config)#monitor session 1 destination interface fe0/2
أما بالنسبة لأعدادت الـ RSPAN فهي تختلف قليلا لكن الفكرة واحدة وهي تحديد المصدر والهدف لكن الهدف هنا يكون Vlan معينة ومخصصة على الجهاز الأول تنقل الترافيك إلى السويتش الثاني والذي يحوي نظام تحليل البيانات وكشف الفيروسات والأعدادت على الشكل الآتي
Cisco'sSW1 (config)# vlan 200
SW1 (config-vlan)#monitor vlan
SW1 (config-vlan)# exit
SW1(config)#monitor session 1 source interface fe0/0
SW1 (config)#monitor session 1 destination remote vlan 200
أما على السويتش الثاني فالأعدادات على الشكل الآتي
Cisco'sSW2 (config)# monitor session 1 source remote vlan 200
SW2 (config)# monitor session 1 destination interface fastEthernet0/5
وطبعا هذه كانت أعدادات بسيطة لهذه الخاصية فهي تملك الكثير من الخيارات التى تسمح لنا بالتحكم بشكل أكبر بالمصادر وبفلترتها وعلى عدة مستويات وهناك نقاط كثيرة لم أوضحها وسوف اتركها لتدوينة آخرى وخصوصا أن وجدت أن الأطالة في التدوينة قد يملل القارئ أتمنى أن تكونوا قد أستفدتوا ولاتنسونا من دعواتكم ودمتم بود.
