Verkeerspiegeling configureren met een Hyper-V vSwitch
Dit artikel is een in een reeks artikelen waarin het implementatiepad voor OT-bewaking met Microsoft Defender voor IoT wordt beschreven.
In dit artikel wordt beschreven hoe u de Promiscuous-modus gebruikt in een Hyper-V-VSwitch-omgeving als tijdelijke oplossing voor het configureren van verkeerspiegeling, vergelijkbaar met een SPAN-poort. Een SPAN-poort op uw switch spiegelt lokaal verkeer van interfaces op de switch naar een andere interface op dezelfde switch.
Zie Verkeer spiegelen met virtuele switches voor meer informatie.
Vereisten
Voordat u begint:
Zorg ervoor dat u inzicht hebt in uw plan voor netwerkbewaking met Defender for IoT en de SPAN-poorten die u wilt configureren.
Zie Verkeersspiegelingsmethoden voor OT-bewaking voor meer informatie.
Zorg ervoor dat er geen exemplaar van een virtueel apparaat wordt uitgevoerd.
Zorg ervoor dat u Span controleren hebt ingeschakeld op de gegevenspoort van uw virtuele switch en niet op de beheerpoort.
Zorg ervoor dat de SPAN-configuratie van de gegevenspoort niet is geconfigureerd met een IP-adres.
Nieuwe virtuele Hyper-V-switch maken om het gespiegelde verkeer door te sturen naar de VIRTUELE machine
Een nieuwe virtuele switch maken met PowerShell
New-VMSwitch -Name vSwitch_Span -NetAdapterName Ethernet -AllowManagementOS:$true
Hierin:
| Parameter | Description |
|---|---|
| vSwitch_Span | Naam van virtuele SPAN-switch toegevoegd |
| Ethernet | Naam van fysieke adapter |
Meer informatie over het maken en configureren van een virtuele switch met Hyper-V
Een nieuwe virtuele switch maken met Hyper-V-beheer
Open the Virtual Switch Manager.
Selecteer in de lijst met virtuele switches de optie Nieuwe virtuele netwerkswitch>Extern als het toegewezen type netwerkadapter voor spanned.
Selecteer virtuele Switch maken.
Selecteer extern netwerk in het gebied Verbindingstype en zorg ervoor dat de optie Beheerbesturingssysteem toestaan om deze netwerkadapter te delen is geselecteerd. Voorbeeld:
Selecteer OK.
Een virtuele SPAN-interface koppelen aan de virtuele switch
Gebruik Windows PowerShell of Hyper-V Manager om een virtuele SPAN-interface te koppelen aan de virtuele switch die u eerder hebt gemaakt.
Als u PowerShell gebruikt, definieert u de naam van de zojuist toegevoegde adapterhardware als Monitor. Als u Hyper-V-beheer gebruikt, wordt de naam van de zojuist toegevoegde adapterhardware ingesteld op Network Adapter.
Een virtuele SPAN-interface koppelen aan de virtuele switch met PowerShell
Selecteer de zojuist toegevoegde virtuele SPAN-switch die u eerder hebt gemaakt en voer de volgende opdracht uit om een nieuwe netwerkadapter toe te voegen:
ADD-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 -Name Monitor -SwitchName vSwitch_SpanSchakel poortspiegeling in voor de geselecteerde interface als de bereikbestemming met de volgende opdracht:
Get-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 | ? Name -eq Monitor | Set-VMNetworkAdapter -PortMirroring DestinationHierin:
Parameter Description VK-C1000V-LongRunning-650 CPPM VA-naam vSwitch_Span Naam van virtuele SPAN-switch toegevoegd Controle Zojuist toegevoegde adapternaam Als u gereed bent, selecteert u OK.
Een virtuele SPAN-interface koppelen aan de virtuele switch met Hyper-V-beheer
Selecteer netwerkadapter onder de hardwarelijst van Hyper-V-beheer.
Selecteer vSwitch_Span in het veld Virtuele switch.
Selecteer Geavanceerde functies in de lijst Hardware, onder de vervolgkeuzelijst Netwerkadapter. Selecteer In de sectie Poortspiegeling de optie Bestemming als de spiegelingsmodus voor de nieuwe virtuele interface.
Selecteer OK.
Microsoft NDIS capture-extensies inschakelen met PowerShell
Schakel ondersteuning in voor Microsoft NDIS Capture Extensions voor de virtuele switch die u eerder hebt gemaakt.
Microsoft NDIS capture-extensies inschakelen voor uw nieuwe virtuele switch:
Enable-VMSwitchExtension -VMSwitchName vSwitch_Span -Name "Microsoft NDIS Capture"
Microsoft NDIS capture-extensies inschakelen met Hyper-V-beheer
Schakel ondersteuning in voor Microsoft NDIS Capture Extensions voor de virtuele switch die u eerder hebt gemaakt.
Microsoft NDIS capture-extensies inschakelen voor uw nieuwe virtuele switch:
Open Virtual Switch Manager op de Hyper-V-host.
Vouw in de lijst Virtuele switches de naam
vSwitch_Spanvan de virtuele switch uit en selecteer Extensies.Selecteer Microsoft NDIS Capture in het veld Switch Extensions.
Selecteer OK.
De spiegelingsmodus van de switch configureren
Configureer de spiegelingsmodus op de virtuele switch die u eerder hebt gemaakt, zodat de externe poort wordt gedefinieerd als de bron voor spiegeling. Dit omvat het configureren van de virtuele Hyper-V-switch (vSwitch_Span) om verkeer dat naar de externe bronpoort wordt geleverd door te sturen naar een virtuele netwerkadapter die is geconfigureerd als de bestemming.
Als u de externe poort van de virtuele switch wilt instellen als de bronspiegelmodus, voert u het volgende uit:
$ExtPortFeature=Get-VMSystemSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings"
$ExtPortFeature.SettingData.MonitorMode=2
Add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName vSwitch_Span -VMSwitchExtensionFeature $ExtPortFeature
Hierin:
| Parameter | Description |
|---|---|
| vSwitch_Span | Naam van de virtuele switch die u eerder hebt gemaakt |
| MonitorMode=2 | Bron |
| MonitorMode=1 | Bestemming |
| MonitorMode=0 | Geen |
Voer de volgende opdracht uit om de status van de bewakingsmodus te controleren:
Get-VMSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings" -SwitchName vSwitch_Span -ExternalPort | select -ExpandProperty SettingData
| Parameter | Description |
|---|---|
| vSwitch_Span | Naam van virtuele SPAN-switch toegevoegd |
VLAN-instellingen configureren voor de monitoradapter (indien nodig)
Als de Hyper-V-server zich in een ander VLAN bevindt dan het VLAN waarvan het gespiegelde verkeer afkomstig is, stelt u de monitoradapter in om verkeer van de gespiegelde VLAN's te accepteren.
Gebruik deze PowerShell-opdracht om de monitoradapter in staat te stellen het bewaakte verkeer van verschillende VLAN's te accepteren:
Set-VMNetworkAdapterVlan -VMName VK-C1000V-LongRunning-650 -VMNetworkAdapterName Monitor -Trunk -AllowedVlanIdList 1010-1020 -NativeVlanId 10
Hierin:
| Parameter | Description |
|---|---|
| VK-C1000V-LongRunning-650 | CPPM VA-naam |
| 1010-1020 | VLAN-bereik van waaruit IoT-verkeer wordt gespiegeld |
| 10 | Systeemeigen VLAN-id van de omgeving |
Meer informatie over de PowerShell-cmdlet Set-VMNetworkAdapterVlan .
Verkeerspiegeling valideren
Nadat u verkeerspiegeling hebt geconfigureerd, probeert u een voorbeeld van opgenomen verkeer (PCAP-bestand) te ontvangen van de switch SPAN- of mirrorpoort.
Een voorbeeld van een PCAP-bestand helpt u bij het volgende:
- De switchconfiguratie valideren
- Controleer of het verkeer dat via uw switch gaat relevant is voor bewaking
- De bandbreedte en het geschatte aantal apparaten identificeren dat door de switch is gedetecteerd
Gebruik een network protocol analyzer-toepassing, zoals Wireshark, om een paar minuten een PCAP-voorbeeldbestand op te nemen. Sluit bijvoorbeeld een laptop aan op een poort waar u verkeerscontrole hebt geconfigureerd.
Controleer of Unicast-pakketten aanwezig zijn in het opnameverkeer. Unicast-verkeer is verkeer dat van adres naar een ander wordt verzonden.
Als het grootste deel van het verkeer ARP-berichten is, is uw configuratie voor verkeersspiegeling niet juist.
Controleer of uw OT-protocollen aanwezig zijn in het geanalyseerde verkeer.
Voorbeeld:
