Mirroring de port dans Hyper-V : un guide de configuration

Tutoriels
Hyper-V

Le dépannage est une tâche courante pour les administrateurs de systèmes travaillant avec les réseaux. Les équipements de réseau professionnels possèdent généralement des fonctionnalités pour la surveillance et le dépannage, telles que le miroir de ports. Le miroir de ports peut également être utile pour l’analyse du trafic réseau dans des environnements virtuels, y compris les réseaux virtuels sur les hôtes Microsoft Hyper-V et les communications réseau entre les VMs. Cet article de blog explique comment configurer le miroir de ports Microsoft Hyper-V pour analyser les communications réseau dans un environnement virtuel.

Concepts clés de Miroir de ports

Avant d’expliquer comment configurer le miroir de ports, explorez les concepts clés, le principe de fonctionnement et les fonctionnalités de configuration existantes d’Hyper-V.

Qu’est-ce que le miroir de ports ?

Le miroir de ports est la fonctionnalité qui vous permet de dupliquer le trafic réseau d’un port réseau d’un hôte source vers un port (adaptateur) réseau d’un hôte secondaire pour une analyse plus approfondie de ce trafic. Un hôte peut être une machine physique, une machine virtuelle, un matériel de réseau avec une interface réseau, etc. Un hôte source est l’hôte dont le trafic réseau est surveillé dans ce contexte. Le port source est également appelé port miroiré et le port de destination est également appelé port observé. Le miroir de ports est également appelé Switched Port Analyzer (SPAN).

Types et avantages

Le mirroirage de ports peut être local et distant, selon le mode de connexion entre les ports. Pour le mirroirage de ports local, les ports source et de destination de la plateforme réseau sont connectés à la même commutateur. Le mirroirage de ports distant est utilisé lorsque les ports source et de destination sont connectés à des commutateurs différents. Le tagging VLAN et l’encapsulation GRE peuvent être utilisés pour le mirroirage de ports distant afin de transférer le trafic réseau vers le port et l’appareil de surveillance.

L’avantage du mirroirage de ports est la capacité d’analyse et de débuggage des communications réseau sans affecter le traitement des appareils réseau opérationnels. Les administrateurs peuvent analyser le trafic pour identifier possiblement les attaques sur le réseau, détecter les sources d’attaque et améliorer la sécurité réseau. Il n’est pas nécessaire de capturer directement le trafic réseau dans un système d’exploitation invité d’un appareil de travail en cours d’utilisation (qui peut s’agir d’une VM de production, par exemple) en utilisant le mirroirage de ports.

Notez que le mirroirage de ports consomme une bande passante réseau supplémentaire pour transférer le trafic mis à jour, et vous pourriez avoir besoin d’activer cette fonction à la demande lorsque vous devez effectuer une analyse réseau.

Mirroirage de ports vs. forwarding de ports

Le mirroirage de ports est différent du forwarding de ports car le trafic réseau, comme les paquets TCP ou les datagrammes UDP, ne peut pas être redirigé avec le mirroirage de ports. Le trafic peut être mis à jour (dupliqué), mais la source et la destination de la direction originale du trafic ne sont pas modifiées. Une copie du trafic original est envoyée vers l’emplacement de destination pour l’analyse.

Dans le forwarding de ports, la destination du trafic (comme des paquets TCP ou des datagrammes UDP) peut être modifiée, et des paquets spécifiques (ou d’autres unités de données du protocole) peuvent atteindre une autre adresse IP et un autre port dans les réseaux IP. Le forwarding de ports est utilisé avec la traduction des adresses de réseau (NAT) pour la communication entre les réseaux. Aucune copie du trafic original n’est créée.

Le mirroir de ports dans Hyper-V

Vous pouvez utiliser la fonctionnalité de mirroir de ports dans Hyper-V pour analyser le trafic dans les réseaux virtuels auxquels les VM sont connectées via des commutateurs virtuels. Vous devez définir une machine virtuelle de destination et installer un logiciel de capture de trafic tel que Wireshark pour l’analyse du trafic. Vous pouvez utiliser d’autres systèmes d’interception de violations (IDS) disponibles à cette fin.

La fonctionnalité de mirroir de ports de Hyper-V est similaire au mirroir de ports matériel mais est mise en œuvre au niveau du commutateur virtuel Hyper-V. Les capacités d’extension du commutateur et les ACLs de ports (listes d’accès) sont utilisées sur un commutateur virtuel Hyper-V pour définir les règles de forwarding et d’interception du trafic.

Le mirroir de ports fonctionne uniquement dans les limites d’un seul hôte Hyper-V. Si les ordinateurs virtuels sont situés sur des hôtes Hyper-V différents (par exemple, dans un cluster de redondance, après la migration de la VM d’un hôte à un autre), alors le mirroir de ports Hyper-V ne peut pas être utilisé. Dans ce cas, vous devez configurer une VM de destination supplémentaire pour l’analyse réseau sur le deuxième hôte Hyper-V vers lequel la source VM a été migrée.

Préparation de la configuration de Mirroir de Ports

Vous devriez vous familiariser avec les exigences pour configurer le mirroir de ports Hyper-V.

Préalables et conditions de configuration

Voici les exigences pour configurer le routage réseau dans un environnement Hyper-V :

  • Windows Server 2012 R2 (ou plus récent) avec Hyper-V et l’accès administratif. Windows 10 ou version supérieure peut être utilisé comme OS client.
  • Une passerelle virtuelle sur l’hôte Hyper-V.
  • Au moins deux ordinateurs virtuels pour effectuer le routage (dupliquer) du trafic de la machine virtuelle source vers la machine virtuelle de destination.

Liste des matériels et logiciels

Installer un pcap (passerelle capteuse de trafic) ou un système de détection d’intrusion sur la machine virtuelle de destination est nécessaire. Des exemples de tels outils sont Wireshark, Microsoft Network Monitor, Ettercap et SmartSniff.

Étapes de configuration

Nous avons deux machines virtuelles Windows sur un hôte Hyper-V :

  • Wind0ws-VM – la machine virtuelle source (192.168.101.215)
  • Win-VM-Dest – la machine virtuelle de destination (192.168.101.212)

Un hôte Hyper-V est configuré sur Windows Server 2019. La configuration pour les autres versions Windows supportées est identique.

Configurer une passerelle virtuelle

Vous pouvez utiliser une passerelle virtuelle existante ou en créer une nouvelle. Si il n’y a pas de passerelle virtuelle sur l’hôte Hyper-V, créez une nouvelle passerelle virtuelle. Pour créer une passerelle virtuelle, effectuez les opérations suivantes :

  1. Ouvrir Gestionnaire Hyper-V, cliquer avec le bouton droit sur l’hôte Hyper-V, et sélectionner Gestionnaire de commutateurs virtuels dans le menu contextuel.

  2. Sélectionner un type de commutateur virtuel et cliquer sur Créer un commutateur virtuel. Pour cela, nous utilisons vSwitch0, un commutateur externe (relié à une chaîne). Cliquer sur OK pour enregistrer les réglages et fermer la fenêtre.

Configurer la machine virtuelle source

Une fois le commutateur virtuel prêt, vous pouvez configurer la machine virtuelle source dont le trafic que vous souhaitez surveiller.

  1. Pour ouvrir les réglages de la source VM dans Hyper-V Manager, cliquer avec le bouton droit sur le nom de la VM et sélectionner Réglages dans le menu contextuel.

  2. Dans la fenêtre des réglages de la VM, naviguer vers Adaptateur réseau > Fonctionnalités avancées.
  3. Dans la section Miroirage de ports, sélectionnez Source comme mode de miroirage dans la liste déroulante. Cette action permet le miroirage de ports Hyper-V pour le port de la switch virtuelle connectée à laquelle est connecté le port actuel de la VM. Cliquez sur OK pour enregistrer les réglages.

  4. Rappelez le nom de la switch virtuelle à laquelle est connecté l’adaptateur réseau virtuel de la VM source. L’avantage est que vous pouvez configurer plus d’une VM source pour analyser le trafic de toutes les VMs sur la VM destination.

L’étape suivante consiste à configurer la VM destination à laquelle sera miroiré (dupliqué) le trafic réseau.

Configuration de la VM destination

La pratique recommandée consiste à créer un adaptateur réseau supplémentaire sur la VM destination et à désactiver tout service réseau pour cet adaptateur pour une analyse plus précise. Cette méthode vous permet d’obtenir un dump complet du trafic réseau après désactivation des services réseau et protocoles non nécessaires.

  1. Éteignez la VM destination si elle est en cours d’exécution.
  2. Pour ouvrir les réglages de la VM destination dans Hyper-V Manager, cliquez droit sur le nom de la VM et sélectionnez Réglages.
  3. Cliquez sur Ajouter un matériel dans la zone de gauche de la fenêtre des paramètres de la VM, sélectionnez Adaptateur réseau, puis cliquez sur Ajouter.

  4. Sélectionnez le commutateur virtuel à qui sera connecté le deuxième adaptateur réseau virtuel. Cela doit correspondre au même commutateur virtuel que celui à qui est connectée la première (source) VM. Dans notre cas, c’est vSwitch0. Cliquez sur OK pour enregistrer les paramètres et fermer la fenêtre.

  5. Ouvrez à nouveau les paramètres de la VM de la VM de destination.
  6. Sélectionnez le deuxième adaptateur réseau virtuel créé pour le portage et les diagnostics de trafic (dans la liste des matériels de la VM dans la zone de gauche) et allez à Adaptateur réseau > Fonctionnalités avancées.
  7. Dans la section Portage, sélectionnez Cible comme le mode de portage pour recevoir le trafic réseau échantillonné. Cliquez sur OK.

  8. Allumez les VMs.
  9. Se connecter à la machine virtuelle de destination créée pour recevoir et analyser le trafic (avec Hyper-V VMConnect ou RDP).

  10. Ouvrir Centre réseau et partage dans la machine virtuelle Windows de destination. Cliquer sur Modifier les paramètres de l’adaptateur réseau.
  11. Sélectionner le deuxième adaptateur réseau créé pour l’analyse de trafic (vous pouvez renommer cet adaptateur en LAN2-SPAN pour plus de commodité).
  12. Cliquer avec le bouton droit de la souris sur l’adaptateur réseau et sélectionner Propriétés.

Maintenant, vous pouvez installer et configurer sur la machine virtuelle de destination des logiciels d’analyse de trafic, tels que WireShark.

Installation d’un Analyseur de trafic

  1. Télécharger et installer Wireshark sur la machine virtuelle de destination. Le processus d’installation est simple avec l’assistant graphique et vous pouvez utiliser les réglages par défaut.
  2. Exécuter Wireshark sur la machine virtuelle de destination.
  3. Double-cliquez sur l’interface réseau créée spécialement pour le portail glissant et l’analyse du trafic réseau (LAN2-SPAN) dans la fenêtre Wireshark.

  4. Maintenant, vous pouvez voir l’activité réseau de la machine virtuelle source (l’adresse IP de la machine virtuelle source est 192.168.101.215). Essayons de poster un ping sur google.com depuis la machine virtuelle source.
  5. Nous pouvons voir les demandes ICMP et les réponses vers/depuis 142.251.208.110, qui est l’adresse IP de l’hôte google.com à ce moment-là.

  6. Pour plus de commodité, vous pouvez activer un filtre, par exemple, sélectionnez ICMP.

Ceci est un exemple de base. Vous pouvez surveiller et analyser d’autres activités réseau en utilisant d’autres protocoles.

PowerShell

Le système d’exploitation Windows Server vous permet également de configurer et gérer le portail glissant Hyper-V en PowerShell.

Pour activer le portail glissant sur la machine virtuelle source et la machine virtuelle cible, exécutez les commandes correspondantes :

Set-VMNetworkAdapter -VMName Wind0ws-VM -PortMirroring Source

Set-VMNetworkAdapter -VMName Win-VM-Dest -PortMirroring Destination

Pour désactiver le portage de ports pour une VM :

Set-VMNetworkAdapter -VMName Wind0ws-VM -PortMirroring None

Pour vérifier les paramètres de portage de ports pour les VMs :

(Get-VMNetworkAdapter -VMName Wind0ws-VM).PortMirroringMode

(Get-VMNetworkAdapter -VMName Win-VM-Dest).PortMirroringMode

Vous pouvez utiliser les commandes suivantes pour afficher les informations d’aide :

Get-Help Set-VMNetworkAdapter

Get-Help Set-VMNetworkAdapter -full

Get-Help Set-VMNetworkAdapter -detailed

Get-Help Set-VMNetworkAdapter -examples

Les commandes suivantes peuvent être utiles pour configurer le portage de ports :

Add-VMNetworkAdapter – ajouter un nouvel adaptateur réseau virtuel pour une VM

Get-NetAdapter – afficher une liste des adaptateurs réseau pour une VM

Rename-Netadapter – changer le nom pour un adaptateur réseau virtuel d’une VM

Conclusion

La configuration du miroir de port Hyper-V peut être réalisée avec commodité dans l’interface graphique du gestionnaire Hyper-V ou dans PowerShell. Veillez aux exigences et souvenez-vous des limitations, telles que l’emplacement des sources et destinations des VMs sur un seul hôte Hyper-V. Vous pourriez avoir besoin de configurer des destinations VM supplémentaires avec une analyse de trafic sur les hôtes Hyper-V d’un cluster de basculement. Wireshark est une tool pratique et populaire pour l’analyse du trafic, mais d’autres outils peuvent être utilisés si nécessaire.

Source:
https://www.nakivo.com/blog/hyper-v-port-mirroring/