Port Mirroring in Hyper-V: Ein Einrichtungshandbuch

Tutorials
Hyper-V

Beseitigung von Problemen ist eine alltägliche Aufgabe von Systemadministratoren, die mit Netzwerken befasst sind. Professionelle Netzwerkeinrichtungen verfügen normalerweise über Features für Überwachung und Fehlerdiagnose, wie z.B. Portüberwachung. Portüberwachung kann auch zur Analyse des Netzwerkverkehrs in virtuellen Umgebungen hilfreich sein, einschließlich von virtuellen Netzwerken auf Microsoft Hyper-V-Hosts und der Kommunikation zwischen VMs. In diesem Blogbeitrag wird erklärt, wie man Portüberwachung für Microsoft Hyper-V einrichtet, um Netzwerkkommunikationen in einer virtuellen Umgebung zu analysieren.

Wichtige Konzepte von Portüberwachung

Bevor wir erklären, wie man Portüberwachung einrichtet, lassen Sie uns die wichtigen Konzepte, den Arbeitsprinzip und bestehende Features der Hyper-V-Konfiguration erkunden.

Was ist Portüberwachung?

Portüberwachung ist die Funktionalität, die es Ihnen ermöglicht, den Netzwerkverkehr eines Quellrechners zu einer Netzwerkfrequenz (Adapter) eines Zweitrechners zu duplizieren, um diesen Verkehr weiterhin zu analysieren. Ein Rechner kann ein physisches Gerät, virtuelles Gerät, Netzwerkgerät mit Netzwerkschnittstelle usw. sein. Ein Quellrechner ist der Rechner, dessen Netzwerkverkehr in diesem Zusammenhang überwacht wird. Der Quellfrequenz wird auch als gespiegelte Frequenz bezeichnet und die Zieldatenfrequenz wird auch als beobachtete Frequenz bezeichnet. Portüberwachung wird auch als Switched Port Analyzer (SPAN) bezeichnet.

Arten und Vorteile

Portüberwachung kann lokal und remote ablaufen, je nach der Verbindungsmethode zwischen den Ports. Für lokale Portüberwachung sind der Quell- und Zielnetzwerksport auf dem gleichen Switch verbunden. Remote Portüberwachung wird verwendet, wenn die Quell- und Zielports auf verschiedenen Switches verbunden sind. VLAN Tagging und GRE Encapsulation können für die Remote-Portüberwachung verwendet werden, um das Netzwerkverkehr auf dem überwachten Port und Gerät zu übertragen.

Der Vorteil von Portüberwachung besteht darin, dass man Netzwerkkommunikation analysieren und fehlerbeheben kann, ohne das Verarbeiten von arbeitenden Netzwerkgeräten zu beeinflussen. Administratoren können Verkehr analysieren, um mögliche Angriffe über das Netz zu erkennen, den Angriffsquellpunkt zu entdecken und die Netzsicherheit zu verbessern. Es ist nicht notwendig, Netzwerkverkehr direkt in einem Gastbetriebssystem eines arbeitenden Maschines (das kann z.B. ein Produktions-VM sein) aufzunehmen, wenn man Portüberwachung verwendet.

Beachten Sie, dass Portüberwachung zusätzlichen Netzwerkbandbreite für die Übertragung des abgeschirmten Verkehrs in Anspruch nimmt, und Sie müssen diese Funktion bei Bedarf aktivieren, wenn Sie Netzwerkanalyse durchführen müssen.

Portüberwachung vs. Portweiterleitung

Portüberwachung unterscheidet sich von Portweiterleitung, da der Netzwerkverkehr, wie z.B. TCP-Pakete oder UDP-Datagramme, in Portüberwachung nicht umgelenkt werden kann. Der Verkehr kann kopiert (dupliziert) werden, aber die Quelle und das Ziel für die ursprüngliche Verkehrsrichtung bleiben unverändert. Eine Kopie des ursprünglichen Verkehrs wird an das Zieldestination gesendet, um analysiert zu werden.

Beim Portweiterleitung kann der Verkehr (wie z.B. TCP-Pakete oder UDP-Datagramme) Ziel verändert werden, und bestimmte Pakete (oder andere Protokolldatenblöcke) können an eine andere IP-Adresse und Port in IP-Netzen gelangen. Portweiterleitung wird mit der Netzwerkadressübertragung (NAT) verwendet, um Kommunikation zwischen Netzwerken zu ermöglichen. Es wird kein Kopie des ursprünglichen Verkehrs erstellt.

Port Mirroring in Hyper-V

Sie können das Port Mirroring-Feature in Hyper-V verwenden, um den Verkehr in den virtuellen Netzen zu analysieren, zu denen virtuelle Maschinen über virtuelle Switches verbunden sind. Sie müssen ein Ziel-VM definieren und Traffic-Capturing-Software wie Wireshark für die Verkehrsanalyse installieren. Sie können andere verfügbare Intrusion Detection Systems (IDS) für diesen Zweck verwenden.

Das Hyper-V-Port Mirroring-Feature ähnelt dem Hardware-Port Mirroring, wird jedoch auf dem Hyper-V-Virtuellen Switch-Niveau implementiert. Switchextensionsfunktionen und Port ACLs (Zugriffslisten) werden auf einem Hyper-V-Virtuellen Switch verwendet, um Regeln für die Weiterleitung und den Verkehrsabhörverfahren zu setzen.

Port Mirroring funktioniert nur innerhalb der Grenzen eines einzigen Hyper-V-Hosts. Wenn virtuelle Maschinen auf verschiedenen Hyper-V-Hosts platziert sind (z.B. in einem Failover-Cluster, nach der VM-Migration von einem Host zu einem anderen), kann Hyper-V Port Mirroring nicht verwendet werden. In diesem Fall müssen Sie ein zusätzliches Ziel-VM für die Netzwerkanalyse auf dem zweiten Hyper-V-Host einrichten, zu dem das Quell-VM migriert wurde.

Vorbereitung auf die Port Mirroring-Konfiguration

Sie sollten sich mit den Anforderungen für die Hyper-V-Port Mirroring-Konfiguration vertraut machen.

Voraussetzungen und Setupbedingungen

Nachfolgend finden Sie die Anforderungen zur Konfiguration des Portmirrors in einem Hyper-V-Umfeld:

  • Windows Server 2012 R2 (oder neuer) mit Hyper-V und administrativer Zugriff. Windows 10 oder höher kann als Client-OS verwendet werden.
  • Ein virtueller Switch auf dem Hyper-V-Host.
  • Mindestens zwei virtuelle Maschinen, um Datenverkehr von der Quell-VM zu der Ziel-VM zu spiegeln (duplizieren).

Hardware- und Software-Checkliste

Es ist erforderlich, einen Datenverkehrs-Sniffer (Traffic Analyzer) oder ein Intrusion Detection System auf der Ziel-VM zu installieren. Beispiele für solche Tools sind Wireshark, Microsoft Network Monitor, Ettercap und SmartSniff.

Konfigurationsschritte

Wir haben zwei Windows-VM auf einem Hyper-V-Host:

  • Wind0ws-VM – Quell-VM (192.168.101.215)
  • Win-VM-Dest – Ziel-VM (192.168.101.212)

Ein Hyper-V-Host ist auf Windows Server 2019 konfiguriert. Die Konfiguration für andere unterstützte Windows-Versionen ist identisch.

Konfiguration eines virtuellen Switches

Sie können ein vorhandenes virtuelles Switch verwenden oder einen neuen virtuellen Switch erstellen. Wenn es auf dem Hyper-V-Host kein virtuelles Switch gibt, erstellen Sie einen neuen virtuellen Switch. Um einen virtuellen Switch zu erstellen, führen Sie die folgenden Schritte aus:

  1. Öffne den Hyper-V-Manager, klicke mit der rechten Maustaste auf den Hyper-V-Host und wähle im Kontextmenü Virtuellen Switch-Manager.

  2. Wähle einen virtuellen Switch-Typ und klicke auf Virtuellen Switch erstellen. Hierfür verwende ich vSwitch0, ein externer Switch (bridge-netzwerk). Klicke auf OK, um die Einstellungen zu speichern und das Fenster zu schließen.

Quell-VM einrichten

Sobald der virtuelle Switch bereit ist, kann die Quell-VM eingerichtet werden, deren Datenverkehr du verfolgen möchtest.

  1. Um die Einstellungen der Quell-VM im Hyper-V-Manager zu öffnen, klicke mit der rechten Maustaste auf den Namen der VM und wähle Einstellungen im Kontextmenü.

  2. In dem Fenster mit den VM-Einstellungen gehe zu Netzwerkadapter>Erweiterte Einstellungen.
  3. In der Port Mirroring-Sektion wählen Sie Quelle als Spiegelmodus aus dem Dropdown-Menü. Dieser Schritt aktiviert den Hyper-V-Port-Spiegelung für den Port des angeschlossenen virtuellen Switches, zu dem der aktuelle Port der VM verbunden ist. Drücken Sie OK, um die Einstellungen zu speichern.

  4. Den Namen des virtuellen Switches merken, zu dem der virtuelle Netzwerkschlüssel der Quell-VM verbunden ist. Der Vorteil besteht darin, dass Sie mehr als eine Quell-VM konfigurieren können, um den Verkehr aller VMs auf der Zield VM zu analysieren.

Der nächste Schritt besteht darin, die Zieldarstellungsmachine zu konfigurieren, zu der die Netzwerkverkehrsspiegelung erfolgen soll (dupliziert).

Konfigurieren der Zieldarstellungsmachine

Die empfohlene Praxis besteht darin, auf der Zieldarstellungsmachine einen zusätzlichen Netzwerkschlüssel zu erstellen und alle Netzwerkdienste für diesen Netzwerkschlüssel zu deaktivieren, um eine präzisere Analyse zu ermöglichen. Dieser Ansatz ermöglicht es Ihnen, den vollständigen Datensatz des Netzwerkverkehrs zu erhalten, nachdem Sie unerforderliche Netzwerkdienste und Protokolle deaktiviert haben.

  1. Beenden Sie die Zieldarstellungsmachine, wenn die VM ausgeführt wird.
  2. Um die Einstellungen der Zieldarstellungsmachine zu öffnen, klicken Sie mit der rechten Maustaste auf den Namen der VM in Hyper-V Manager und wählen Sie Einstellungen aus.
  3. Klicken Sie auf Hardware hinzufügen im linken Bereich des Fensters der VM-Einstellungen, wählen Sie Netzwerkadapter und klicken Sie auf Hinzufügen.

  4. Wählen Sie den virtuellen Switch, zu dem der zweite virtuelle Netzwerkadapter angeschlossen werden soll. Dies muss der gleiche virtuelle Switch sein, wie der der ersten (Quell-)VM angeschlossen ist. In unserem Fall ist das vSwitch0. Klicken Sie auf OK, um die Einstellungen zu speichern und das Fenster zu schließen.

  5. Öffnen Sie erneut die VM-Einstellungen der Ziel-VM.
  6. Wählen Sie den zweiten virtuellen Netzwerkadapter, der für die Port-Mirroring und die Netzwerkverkehrsdiagnose erstellt wurde (im linken Bereich der Liste der VM-Hardware) und gehen Sie zu Netzwerkadapter > Erweiterte Eigenschaften.
  7. In der Port-Mirroring-Abschnitt, wählen Sie Ziel als den Abbildungsmodus, um das abgebildete Netzwerkverkehr zu empfangen. Klicken Sie auf OK.

  8. Starten Sie die VM.
  9. Verbinden Sie sich mit der Ziel-VM, die für den Empfang und die Analyse des Datenverkehrs erstellt wurde (mit Hyper-V VMConnect oder RDP).

  10. Öffnen Sie Netzwerk- und Freigabecenter in der Ziel-Windows-VM. Klicken Sie auf Adaptereinstellungen ändern.
  11. Wählen Sie den zweiten Netzwerkadapter aus, der für die Verkehrsanalyse erstellt wurde (Sie können diesen Adapter der Einfachheit halber in LAN2-SPAN umbenennen).
  12. Klicken Sie mit der rechten Maustaste auf den Netzwerkadapter und wählen Sie Eigenschaften.

Jetzt können Sie Software zur Analyse des Netzwerkverkehrs, wie WireShark, auf der Ziel-VM installieren und konfigurieren.

Installation eines Traffic-Analyzers

  1. Laden Sie Wireshark herunter und installieren Sie es auf der Ziel-VM. Der Installationsprozess ist einfach im GUI-Assistenten – Sie können die Standardeinstellungen verwenden.
  2. Starten Sie Wireshark auf der Ziel-VM.
  3. Doppelklicken Sie auf die Netzwerkschnittstelle, die speziell für Portmirroring und Netzwerkverkehrsanalyse (LAN2-SPAN) erstellt wurde, im Wireshark-Fenster.

  4. Nun können Sie die Netzwerkaktivität der Quell-VM (die IP-Adresse der Quell-VM ist 192.168.101.215) sehen. Lassen Sie uns ping google.com auf der Quell-VM ausführen.
  5. Wir können die ICMP-Anfragen und -Antworten zwischen 142.251.208.110, die derzeit die IP-Adresse des google.com-Hosts ist, sehen.

  6. Für mehr Convenience können Sie einen Filter aktivieren, z.B. wählen Sie ICMP.

Das ist ein grundlegendes Beispiel. Sie können andere Netzwerkaktivitäten mit anderen Protokollen überwachen und analysieren.

PowerShell

Der Windows Server Betriebssystem erlaubt es Ihnen auch, Hyper-V Portmirroring in PowerShell zu konfigurieren und zu verwalten.

Um Portmirroring für Quell- und Ziel-VM zu aktivieren, führen Sie die entsprechenden Befehle aus:

Set-VMNetworkAdapter -VMName Wind0ws-VM -PortMirroring Source

Set-VMNetworkAdapter -VMName Win-VM-Dest -PortMirroring Destination

Portmiroterung für eine VM deaktivieren:

Set-VMNetworkAdapter -VMName Wind0ws-VM -PortMirroring None

Portmiroterungseinstellungen für VMs prüfen:

(Get-VMNetworkAdapter -VMName Wind0ws-VM).PortMirroringMode

(Get-VMNetworkAdapter -VMName Win-VM-Dest).PortMirroringMode

Sie können die folgenden Befehle verwenden, um Hilfeinformationen anzuzeigen:

Get-Help Set-VMNetworkAdapter

Get-Help Set-VMNetworkAdapter -full

Get-Help Set-VMNetworkAdapter -detailed

Get-Help Set-VMNetworkAdapter -examples

Die folgenden Befehle können hilfreich sein, um Portmiroterung zu konfigurieren:

Add-VMNetworkAdapter – eine neue virtuelle Netzadapter für eine VM hinzufügen

Get-NetAdapter – eine Liste der Netzadapter für eine VM anzeigen

Rename-Netadapter – den Namen eines virtuellen Netzadapters einer VM ändern

Schlussfolgerung

Die Einrichtung von Hyper-V-Port-Mirroring kann bequem über die grafische Benutzeroberfläche des Hyper-V-Managers oder mit PowerShell erfolgen. Befolgen Sie die Anforderungen und beachten Sie die Einschränkungen, wie z.B. die Lage der Quell- und Zieldateien von VM auf einem einzigen Hyper-V-Host. Es kann notwendig sein, zusätzliche Zieldateien mit einem Verkehrsanalyse-Tool auf Hyper-V-Hosts in einem Failover-Cluster zu konfigurieren. Wireshark ist ein bequemes und beliebtes Tool zur Verkehrsanalyse, aber Sie können auch andere Tools verwenden, wenn erforderlich.

Source:
https://www.nakivo.com/blog/hyper-v-port-mirroring/