تعرفة المعمل التنظيمي في هايبر-V: درس إعداد

الدروس التعليمية
Hyper-V

التحقيق في المشاكل هو مهمة شائعة للمدمنين على الأنظمة التي يعملون بها مع الشبكات. ويوجد في المعدات الشبكية المحترفة ميزات للرصد والتحقيق في المشاكل ، مثلما تلك التسجيل المتكامل للمنابع. ويمكن أيضًا أن يكون التسجيل المتكامل للمنابع مفيدًا للتحقيق في الترددات الشبكية في البيئات الافتراضية، بما في ذلك الشبكات الافتراضية على مضيفات مايكروسوفت Hyper-V والتواصل بين المجموعات الافتراضية. يوضح هذا المدونة كيفية تكوين تسجيل المنابع لمايكروسوفت Hyper-V للتحقيق في التواصلات الشبكية في بيئة افتراضية.

مبادئ تعريف للتسجيل المتكامل

قبل أن نشرح كيفية تكوين التسجيل المتكامل، دعونا نتعرف على المبادئ الرئيسية والمبدأ العملي للتسجيل المتكامل والميزات الموجودة في تكوينات Hyper-V.

ما هو تسجيل المنابع؟

تسجيل المنابع هي الوظيفة التي تسمح لك بتكوين ترددات التواصل الشبكي لمنابع شبكية مصدر لموقع أخر للتحقيق في هذه الترددات. ويمكن أن يكون الماكينة حاسوب حقيقي أو مجموعة حوسبية افتراضية أو معدات شبكية مع منصة شبكية، وهكذا إلى أخره. المصدر الشبكي هو الماكينة التي يتم مراقبتها في هذا السياق. المنابع المراقبة يطلق عليها أيضًا تسمية منابع تسجيل. يطلق أيضًا على المنابع المراقبة تسمية (SPAN).

أنواع التسجيل المتكامل والمزايا

تمثال المعالجة الموضوع يمكن أن يكون محلي وعنصر بعيد ، وهذا يعتمد على وضع الاتصال بين الأنقاذات. في المعالجة المحلية للمنفذات ، يتم ربط المنفذ المصدر والمنفذ الهدف بنفس المعالجة. ويستخدم المعالجة العنصر بعيد في الحالات التي يتم ربط المنفذات المصدر والهدف بمعالجات مختلفة. يمكن استخدام تسمية الVLAN وتعبئة GRE للمعالجة العنصر بعيد لتحميل الترافيك الشبكي إلى المنفذ المراقب والجهاز.

فائدة المعالجة الموضوع هي قدرت التحليل والتصحيح المتعلقة بالمحادثات الشبكية دون تأثير على معالجة الأجهزة الشبكية الفعالة. يمكن للمشرفين تحليل المرور لتحديد أحد الهجمات عبر الشبكة والمصدر الخاص بهذه الهجمات وتحسين أمن الشبكة. لا يتوجب تحديدًا تجميد مرور الترافيك مباشرة في نظام التشغيل الضيوف للآلة العاملة (وهذه الآلة قد تكون ورقة تجارية فعالة، على سبيل المثال) عند إستخدام المعالجة الموضوع.

تنبيه أن المعالجة الموضوع تستهلك بائع البيانات الشبكية الإضافية لتحميل الترافيك المعالجة، وقد تحتاج إعادة تفعيل هذه الميزة عندما يتوجب القيام بالتحليل الشبكي.

مقارنة بين المعالجة الموضوع وتوجيه المنفذ

فإن المعالجة الموضوع تختلف عن توجيه المنفذ لأن ترافيك الشبكي مثل البستيقات TCP أو بريمجات UDP، لا يمكن تعيينه في المعالجة الموضوع. يمكن تمثيل (تعكس) الترافيك ، ولكن لا يتم تغيير مصدر وهد

في إعادة توجيه المنافذ، يمكن تغيير وجهة حركة المرور (مثل حزم TCP أو مخططات UDP) بحيث تصل حزم معينة (أو وحدات بيانات بروتوكول أخرى) إلى عنوان IP ومنفذ آخر في شبكات IP. تُستخدم إعادة توجيه المنافذ مع ترجمة عناوين الشبكة (NAT) للتواصل بين الشبكات. لا يتم إنشاء نسخة من حركة المرور الأصلية.

تكرار المنافذ في Hyper-V

يمكنك استخدام وظيفة تكرار المنافذ في Hyper-V لتحليل حركة المرور في الشبكات الافتراضية التي تتصل بها الأجهزة الافتراضية عبر المحولات الافتراضية. تحتاج إلى تحديد جهاز افتراضي وجهة وتثبيت برنامج لالتقاط حركة المرور مثل Wireshark لتحليلها. يمكنك استخدام أنظمة كشف التسلل (IDS) المتاحة لهذا الغرض.

تشبه ميزة تكرار المنافذ في Hyper-V تكرار المنافذ في الأجهزة، ولكنها تنفذ على مستوى المحول الافتراضي في Hyper-V. يتم استخدام قدرات توسيع المحول وقوائم التحكم في الوصول (ACLs) على المحول الافتراضي لـ Hyper-V لتحديد قواعد إعادة التوجيه والشم.

يعمل تكرار المنافذ فقط داخل حدود مضيف Hyper-V واحد. إذا كانت الأجهزة الافتراضية موجودة على مضيفات Hyper-V مختلفة (على سبيل المثال، في مجموعة تجاوز الفشل، بعد نقل جهاز افتراضي من مضيف إلى آخر)، فلا يمكن استخدام تكرار المنافذ في Hyper-V. في هذه الحالة، تحتاج إلى تكوين جهاز افتراضي وجهة إضافي لتحليل الشبكة على مضيف Hyper-V الثاني الذي تم نقل الجهاز الافتراضي المصدر إليه.

التحضير لتكوين تكرار المنافذ

يجب أن تتعرف على المتطلبات لتكوين تكرار المنافذ في Hyper-V.

المتطلبات وظروف الإعداد

تعاليم تكوين معاينة المنافذ في بيئة Hyper-V:

  • Windows Server 2012 R2 (أو أحدث) بHyper-V والوصول الإداري. يمكن استخدام Windows 10 أو أعلى كخلفية ما يتمكن من الاستخدام كخلفية عميل.
  • منافذ افتراضية في مضيف Hyper-V.
  • عقد من المجموعات الافتراضية التي يتم تمييزها (تكوين) عن تمييز المجموعات الافتراضية المصدرة إلى المجموعة الافتراضية الهدف.

قائمة الأجهزة والبرمجيات

يتوجب تثبيت مستشعر التrafيك (محلل التrafيك) أو نظام كشف الاختراقات في المجموعة الافتراضية الهدف. أمثلة على هذه الأدوات هي Wireshark ومشاهد الشبكة من مايكروسوفت وEttercap وSmartSniff.

خطوات التكوين

لدينا مجموعتان من المجموعات البينية في مضيف Hyper-V:

  • Wind0ws-VM – مجموعة المصدر (192.168.101.215)
  • Win-VM-Dest – مجموعة الهدف (192.168.101.212)

يتم تكوين مضيف Hyper-V في Windows Server 2019. تكوين أخرى للإصدارات المدعومة من Windows هو متطابق.

تكوين منافذ افتراضية

يمكنك استخدام منافذ افتراضية موجودة بالفعل أو بناء منافذ جديدة. إذا كان لا يوجد منافذ افتراضية في مضيف Hyper-V، قم ببناء منافذ افتراضية جديدة. لإنشاء منافذ افتراضية، قم بما يلي:

  1. افتح مدير المجالات الفائقة، وانقر باليد اليسرى على المضيف الفائق، ثم انقر فى مدير المناورات الافتراضية من قائمة المناورات.

  2. حدد نوع المناورة الافتراضية وانقر فى إنشاء مناورة افتراضية. وفى هذه الحالة سنستخدم vSwitch0 وهو مناورة خارجية (شبكة الجسم). انقر فى جيد لتخزين الإعدادات وإغلاق النافذة.

تكوين المجال المصدر

بمجرد إنشاء المناورة الافتراضية المحددة، يمكنك تكوين المجال المصدر الذي تريد مراقبته.

  1. لفتح إعدادات المجال المصدر فى مدير المجالات الفائقة، انقر باليد اليسرى على اسم المجال ثم انقر فى الإعدادات من قائمة المناورات.

  2. فى نافذة إعدادات المجال، تغير التوجيه إلى مناورة الشبكة العيادية> خصائص متقدمة.
  3. في قسم المعكسة السلكية، قم بتحديد المصدر بواسطة نموذج القائمة المنسدة. هذه العملية تمكنك من تعديل معكسة البوارز الحيper-V لمناقشة البوارز التي يتصل بها البوارز الحالي للمجال الافتراضي الذي يتصل به. انقر على OK لحفظ الإعدادات.

  4. تذكر اسم المناقش الافتراضي الذي تم اتصال المناقش الافتراضي المصدر به. الميزة هي أنه يمكنك تكوين أكثر من مجال واحد للتحقيق في تنسيق التداخلات لجميع المجالات الافتراضية على المجال الافتراضي المستقبلي.

المرحلة القادمة هي تكوين المجال الافتراضي المستقبلي الذي سيتم تمكينه من تمكين التداخلات (التكاثر).

تكوين المجال الافتراضي المستقبلي

الممارسة الموصولة هي إنشاء معدة تواصل إضافية على المجال الافتراضي المستقبلي وتعطيل جميع الخدمات التواصلية لهذه المعدة للتحقيق الدقيق أكثر. هذا النهج يسمح لك بحصول تسجيل كامل للتداخلات التواصلية بعد تعطيل الخدمات التواصلية الغير ضرورية والبروتوكولات.

  1. إغلاق المجال الافتراضي المستقبلي إذا كان المجال الافتراضي في حالة التشغيل.
  2. لفتح إعدادات المجال الافتراضي للمجال الافتراضي المستقبلي، قم بالنقر اليسرى على أسم المجال الافتراضي في منتصف المدير الجهاز الافتراضي Hyper-V والتقاء بالإعدادات.
  3. قم بنقر إضافة 硬件 في الجانب الأيسر من نافذة إعدادات الماحولية، حدد ممر الشبكة، ثم اضغط إضافة

  4. حدد ممر الشبكة الافتراضي الذي سيكون متصل بالممر الشبكي الثاني للماحولية الافتراضية. يجب أن يكون نفس الممر الافتراضي الذي متصل بالماحولية الأولى (المصدر). في حالتنا، هذا هو vSwitch0. اضغط OK لتحفظ الإعدادات وإغلاق النافذة.

  5. افتح معلومات الماحولية للماحولية الموجهة مرة أخرى.
  6. حدد الممر الشبكي الثاني المنشئ للتنسيق الجماعي للتنقل والتشخيص التقني (في قائمة أجهزة الماحولية الافتراضية في الجانب الأيسر). ثم انتقل إلى ممر الشبكة> خصائص متقدمة.
  7. في قسم تنسيق الممر، حدد الهدف ما يلي أن يكون المتقدم للاستقبال للتنقل الشبكي المعكس. اضغط OK لإتمام العملية.

  8. شغل الماحوليات.
  9. تواصل بالمجالد الذي تم إنشاؤه للاستبيان وتحليل الترددات (مع Hyper-V VMConnect أو RDP).

  10. افتح المركز التعاملي للشبكة والمشاركة في المجالد التابع للويندوز المقصود. انقر في تغيير إعدادات المسمار.
  11. اختر المسمار التاني المنشور للتحليل التردداتي (يمكنك تغيير تسمية هذا المسمار إلى LAN2-SPAN للسهولة).
  12. انقر باليد اليسرى على المسمار واختر خصائص.

حاليًا، يمكنك تثبيت وإعداد برمجيات تحليل الترددات الشبكية، مثل WireShark، على المجالد المقصود.

تثبيت محلل الترددات

  1. قوم بتحميل وتثبيت Wireshark على المجالد المقصود. تعمل العملية التثبيتية بسهولة بواسطة المعالج البصري المفتوح الخاص — يمكنك استخدام الإعدادات الافتراضية المسموعة.
  2. انشأ واجر Wireshark على المجالد المقصود.
  3. انقر مرة أكثر على مُقارن الشبكية المختلف للتسجيل الشبكي وتحليل الترافيك الشبكية (LAN2-SPAN) في نافذة Wireshark.

  4. الآن يمكنك رؤية نشاط الشبكة للمجهود المصدر (IP مجهود المصدر هو 192.168.101.215). دعونا نبني بالمجهود المصدر.
  5. يمكننا رؤية أوامر ICMP والردود إلى/من 142.251.208.110 الذي هو عنوان IP مضيف google.com في هذه اللحظة.

  6. لتأخير أكثر ، يمكنك تفعيل فريلتر ، على سبيل المثال ، حدد ICMP.

هذا مثال بسيط. يمكنك مراقبة وتحليل أنشطة شبكية أخرى باستخدام بروتوكولات أخرى.

PowerShell

يسمح للنظام العام Windows Server أيضًا بتكوين وإدارة تسجيل المناطق الشبكية للHyper-V في PowerShell.

لتمكين التسجيل الشبكي على المجهود المصدر والمجهود الهدف، قم بتنفيذ الأوامر بالتوالي:

Set-VMNetworkAdapter -VMName Wind0ws-VM -PortMirroring Source

تعيين متصل الشبكة للمجالد -VMName Win-VM-Dest -PortMirroring Destination

لتعطيل مirroring المناخل للمجالد:

تعيين متصل الشبكة للمجالد -VMName Wind0ws-VM -PortMirroring None

لتفقد إعدادات مirroring المناخل للمجالد:

(Get-VMNetworkAdapter -VMName Wind0ws-VM).PortMirroringMode

(Get-VMNetworkAdapter -VMName Win-VM-Dest).PortMirroringMode

يمكنك استخدام الأوامر التالية لعرض معلومات المساعدة:

Get-Help Set-VMNetworkAdapter

Get-Help Set-VMNetworkAdapter -full

Get-Help Set-VMNetworkAdapter -detailed

Get-Help Set-VMNetworkAdapter -examples

قد تكون الأوامر التالية مفيدة للضبط مirroring المناخل:

Add-VMNetworkAdapter – اضافة متصل شبكي افتراضي جديد للمجالد

Get-NetAdapter – عرض قائمة بالمتصلين الشبكيين للمجالد

Rename-Netadapter – تغيير أسم المتصل الشبكي الافتراضي للمجالد

الخلاصة

يمكنك تكوين مكافحة بوارت هايبر-V بسهولة في واجهة مستخدم البوارت هايبر-V أو بواسطة PowerShell. إتبع التطويرات وتذكر القيود، مثل موقع مصدر وهدف المجالات الخاصة بالمجالات الخاصة بـ Hyper-V في مضيف واحد من هايبر-V. قد تحتاج إلى تكوين مجالات أخرى مع أداة تحليل الترددات على مضافات Hyper-V في مجموعة توزيع الفشل. Wireshark هي أداة تحليل الترددات واحدة من الأدوات المرادة والشهيرة، لكن يمكنك استخدام أدوات أخرى إذا كان ذلك من الضروري.

Source:
https://www.nakivo.com/blog/hyper-v-port-mirroring/