Freigeben über

Konfigurieren der Datenverkehrsspiegelung mit einem virtuellen Hyper-V-Switch

  • Artikel

Dieser Artikel gehört zu einer Reihe von Artikeln, in denen der Bereitstellungspfad für die OT-Überwachung mit Microsoft Defender for IoT beschrieben wird.

Diagramm einer Statusanzeige, wobei die Bereitstellung auf Netzwerkebene hervorgehoben ist.

In diesem Artikel wird beschrieben, wie der Promiscuous-Modus in einer Hyper-V Vswitch-Umgebung als Workaround für die Konfiguration der Datenverkehrsspiegelung verwendet werden kann, ähnlich wie bei einem SPAN-Port. Ein SPAN-Port in Ihrem Switch spiegelt den lokalen Datenverkehr von Schnittstellen auf dem Switch an eine Schnittstelle auf demselben Switch.

Weitere Informationen finden Sie unter Datenverkehrsspiegelung mit virtuellen Switches.

Voraussetzungen

Vorbereitungen:

  • Stellen Sie sicher, dass Sie Ihren Plan für die Netzwerküberwachung mit Defender for IoT und die SPAN-Ports, die Sie konfigurieren möchten, verstehen.

    Weitere Informationen finden Sie unter Datenverkehrsspiegelungsmethoden für die OT-Überwachung.

  • Stellen Sie sicher, dass keine Instanz eines virtuellen Geräts ausgeführt wird.

  • Stellen Sie sicher, dass Sie SPAN sicherstellen für den Datenport Ihres virtuellen Switch und nicht für den Verwaltungsport aktiviert haben.

  • Stellen Sie sicher, dass die SPAN-Konfiguration des Datenports nicht mit einer IP-Adresse konfiguriert ist.

Erstellen eines neuen virtuellen Hyper-V-Switches zum Weiterleiten des gespiegelten Datenverkehrs an den virtuellen Computer

Erstellen eines neuen virtuellen Switches mit PowerShell

New-VMSwitch -Name vSwitch_Span -NetAdapterName Ethernet -AllowManagementOS:$true

Hierbei gilt:

Parameter BESCHREIBUNG
vSwitch_Span Name des neu hinzugefügten virtuellen SPAN-Switches
Ethernet Name des physischen Adapters

Erfahren Sie, wie Sie einen virtuellen Switch mit Hyper-V erstellen und konfigurieren

Erstellen eines neuen virtuellen Switches mit Hyper-V-Manager

  1. Öffnen Sie den Manager für virtuelle Switches.

  2. Wählen Sie in der Liste Virtuelle Switches die Option Neuer virtueller Netzwerkswitch>Extern als Typ für den dedizierten übergreifenden Netzwerkadapter aus.

    Screenshot: Auswählen von „Neuer virtueller Netzwerkswitch“ und „Extern“ vor dem Erstellen des virtuellen Switches

  3. Wählen Sie Virtuellen Switch erstellen aus.

  4. Wählen Sie im Bereich Verbindungstyp die Option Externes Netzwerk aus, und vergewissern Sie sich, dass die Option Gemeinsames Verwenden dieses Netzwerkadapters für das Verwaltungsbetriebssystem zulassen aktiviert ist. Beispiel:

    Screenshot: Option „Externes Netzwerk“

  5. Klicken Sie auf OK.

Anfügen einer virtuellen SPAN-Schnittstelle an den virtuellen Switch

Sie können über Windows PowerShell oder den Hyper-V-Manager eine virtuelle SPAN-Schnittstelle an den zuvor erstellten virtuellen Switch anfügen.

Wenn Sie PowerShell verwenden, definieren Sie den Namen der neu hinzugefügten Adapterhardware als Monitor. Wenn Sie Hyper-V-Manager verwenden, wird der Name der neu hinzugefügten Adapterhardware auf Network Adapter festgelegt.

Hinzufügen einer virtuellen SPAN-Schnittstelle zum virtuellen Switch mit PowerShell

  1. Wählen Sie den neu hinzugefügten virtuellen SPAN-Switch aus, den Sie zuvor erstellt haben, und führen Sie den folgenden Befehl aus, um einen neuen Netzwerkadapter hinzuzufügen:

    ADD-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 -Name Monitor -SwitchName vSwitch_Span

  2. Aktivieren Sie mit dem folgenden Befehl die Portspiegelung für die ausgewählte Schnittstelle als SPAN-Ziel:

    Get-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 | ? Name -eq Monitor | Set-VMNetworkAdapter -PortMirroring Destination

    Hierbei gilt:

    Parameter BESCHREIBUNG
    VK-C1000V-LongRunning-650 Name der virtuellen CPPM-Appliance
    vSwitch_Span Name des neu hinzugefügten virtuellen SPAN-Switches
    Überwachen Name des neu hinzugefügten Adapters

  3. Wenn Sie fertig sind, wählen Sie OK.

Anfügen einer virtuellen SPAN-Schnittstelle an den virtuellen Switch mit Hyper-V-Manager

  1. Wählen Sie in der Liste Hardware des Hyper-V-Managers die Option Netzwerkadapter aus.

  2. Wählen Sie im Feld Virtueller Switch die Option vSwitch_Span aus.

    Screenshot: Auswählen der folgenden Optionen auf dem Bildschirm des virtuellen Switches

  3. Wählen Sie in der Liste Hardware in der Dropdownliste Netzwerkadapter die Option Erweiterte Features aus. Wählen Sie im Abschnitt Portspiegelung die Option Ziel als Spiegelungsmodus für die neue virtuelle Schnittstelle aus.

    Screenshot: Erforderliche Auswahl zum Konfigurieren des Spiegelungsmodus

  4. Wählen Sie OK aus.

Aktivieren der Microsoft NDIS-Aufzeichnungserweiterungen mit PowerShell

Aktivieren Sie die Unterstützung für Microsoft NDIS-Aufzeichnungserweiterungen für den virtuellen Switch, den Sie zuvor erstellt haben.

So aktivieren Sie die Microsoft NDIS-Aufzeichnungserweiterungen für den neuen virtuellen Switch

Enable-VMSwitchExtension -VMSwitchName vSwitch_Span -Name "Microsoft NDIS Capture"

Aktivieren der Microsoft NDIS-Aufzeichnungserweiterungen mit dem Hyper-V-Manager

Aktivieren Sie die Unterstützung für Microsoft NDIS-Aufzeichnungserweiterungen für den virtuellen Switch, den Sie zuvor erstellt haben.

So aktivieren Sie die Microsoft NDIS-Aufzeichnungserweiterungen für den neuen virtuellen Switch

  1. Öffnen Sie auf dem Hyper-V-Host den Manager für virtuelle Switches.

  2. Erweitern Sie in der Liste „Virtuelle Switches“ den Namen des virtuellen Switches (vSwitch_Span), und wählen Sie Erweiterungen aus.

  3. Wählen Sie im Feld „Switcherweiterungen“ die Option Microsoft NDIS-Aufzeichnung aus.

    Screenshot: Aktivieren von „Microsoft NDIS-Aufzeichnung“ durch Auswahl im Menü „Switcherweiterungen“

  4. Klicken Sie auf OK.

Konfigurieren des Spiegelungsmodus des Switch

Konfigurieren Sie den Spiegelungsmodus auf dem zuvor erstellten virtuellen Switch so, dass der externe Port als Spiegelungsquelle definiert ist. Dazu müssen Sie den virtuellen Hyper-V-Switch (vSwitch_Span) u. a. so konfigurieren, dass der gesamte Datenverkehr, der an den externen Quellport gesendet wird, an den virtuellen Netzwerkadapter weitergeleitet wird, den Sie als Ziel konfiguriert haben.

Um den externen Port des virtuellen Switch als Quellspiegelmodus festzulegen, führen Sie Folgendes aus:

$ExtPortFeature=Get-VMSystemSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings"
$ExtPortFeature.SettingData.MonitorMode=2
Add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName vSwitch_Span -VMSwitchExtensionFeature $ExtPortFeature

Hierbei gilt:

Parameter BESCHREIBUNG
vSwitch_Span Name des zuvor erstellten virtuellen Switches
MonitorMode=2 `Source`
MonitorMode=1 Destination
MonitorMode=0 Keine

Um den Status des Überwachungsmodus zu überprüfen, führen Sie Folgendes aus:

Get-VMSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings" -SwitchName vSwitch_Span -ExternalPort | select -ExpandProperty SettingData
Parameter BESCHREIBUNG
vSwitch_Span Name des neu hinzugefügten virtuellen SPAN-Switches

Konfigurieren von VLAN-Einstellungen für den Monitoradapter (falls erforderlich)

Wenn sich der Hyper-V-Server in einem anderen VLAN befindet als das VLAN, aus dem der gespiegelte Datenverkehr stammt, legen Sie den Monitoradapter so fest, dass Datenverkehr aus den gespiegelten VLANs akzeptiert wird.

Verwenden Sie diesen PowerShell-Befehl, um dem Monitoradapter die Annahme des überwachten Datenverkehrs aus verschiedenen VLANs zu ermöglichen:

Set-VMNetworkAdapterVlan -VMName VK-C1000V-LongRunning-650 -VMNetworkAdapterName Monitor -Trunk -AllowedVlanIdList 1010-1020 -NativeVlanId 10

Hierbei gilt:

Parameter BESCHREIBUNG
VK-C1000V-LongRunning-650 Name der virtuellen CPPM-Appliance
1010-1020 VLAN-Bereich, aus dem der IoT-Datenverkehr gespiegelt wird
10 Native VLAN-ID der Umgebung

Erfahren Sie mehr über das PowerShell-Cmdlet Set-VMNetworkAdapterVlan.

Überprüfen der Datenverkehrsspiegelung

Versuchen Sie nach der Konfiguration der Datenverkehrsspiegelung, eine Stichprobe des aufgezeichneten Datenverkehrs (PCAP-Datei) vom Switch-SPAN-Port oder Spiegelungsport zu erhalten.

Eine PCAP-Beispieldatei hilft Ihnen bei folgenden Punkten:

  • Überprüfen der Switchkonfiguration
  • Vergewissern, dass der Datenverkehr, der ihren Switch durchläuft, für die Überwachung relevant ist
  • Identifizieren der Bandbreite und einer geschätzten Anzahl von Geräten, die vom Switch erkannt wurden

  1. Verwenden Sie eine Netzwerkprotokollanalyseanwendung wie Wireshark, um für einige Minuten eine PCAP-Beispieldatei aufzuzeichnen. Verbinden Sie beispielsweise einen Laptop mit einem Port, an dem Sie die Datenverkehrsüberwachung konfiguriert haben.

  2. Überprüfen Sie, ob Unicast-Pakete im aufgezeichneten Datenverkehr vorhanden sind. Unicastdatenverkehr ist Datenverkehr, der von einer Adresse an eine andere gesendet wird.

    Wenn der größte Teil des Datenverkehrs ARP-Nachrichten ist, ist Ihre Konfiguration für die Datenverkehrsspiegelung nicht korrekt.

  3. Überprüfen Sie, ob Ihre OT-Protokolle im analysierten Datenverkehr vorhanden sind.

    Beispiel:

    Screenshot der Wireshark-Überprüfung.

Nächste Schritte

« Onboarding von OT-Sensoren mit Defender for IoT

Bereitstellen von OT-Sensoren für die Cloudverwaltung »