שקיפת פורט ב-Hyper-V: מדריך הקמה

מדריכים
Hyper-V

מתיכון פתרון בעיות הוא משימה רגילה עבור מנהלי מערכות שעבדים עם רשתות. מתקן רשת מקצועי בד "" כ מספק תכונות לניהול ומתיכון בעיות, כמו העתקת פורטים. העתקת פורטים יכולה להיות גם שימושית לניתוח תנועה רשת בסביבות מקוונות, כולל רשתות מדומיות על מאשרים הייבר-V של מיקרוסופט ותקשורת רשת בין מחשבים מדומיים (VMs). המאמר הזה מסביר איך להגדיר את העתקת הפורטים ב- Microsoft Hyper-V על מנת ניתוח תקשורת רשת בסביבה מדומית.

עקרונות העתקת הפורטים

לפני שינוי את העתקת הפורטים, בואו נבדוק את העקרונות העיקריים, העיקרון הפעולה, ואת תכונות ההגדרה הקיימות ב- Hyper-V.

מה העתקת הפורטים?

עתקת הפורטים היא פונקציית האפשרות להעתיק את תנועת הרשת של פורט רשת מקורי לפורט רשת (משתמש) של מחשב שני עבור ניתוח נוסף של התנועה הזו. מחשב יכול להיות מכונה פיזית, מחשב מדומי, מתקן רשת עם מקום מתקן רשת וכך הלאה. המחשב המקורי הוא המחשב שבו תנועת הרשת נעקבת בהקשר הזה. הפורט המקורי נקרא גם פורט מעתק והפורט היעד נקרא גם פורט מעקב. עתקת הפורטים נקראה גם אנליzer פורט חיצון (SPAN).

סוגים ותועלתם

מערבות פורטים יכולות להיות מקומיות ומרחוקיות, לפי האופן החיבור בין הפורטים. למערבות מקומיות, הפורטים המקוריים והמייצגים של הרשת מחוברים לאותו מעבד. למערבות מרחוקיות משמשות כשהפורטים המקוריים והמייצגים מחוברים למעבדים שונים. יכולים להשתמש בתגוגה VLAN ואקספלציה GRE עבור מערבות מרחוקיות כדי להעביר את התנועה הרשתית אל תוך הפורט המנטרי והמכשיר.

היתרון של מערבות פורטים הוא היכולת לנתח ולבדוק את התקשורת ברשת בלי להשפיע על העיבוד של המכשירים הרשתיים המופעלים. אדמיניסטרטורים יכולים לנתח את התנועה כדי לזהות התקפים שעל הרשת, לזהות המקור של ההתקף ולשפר את האבטחת הרשת. אין צורך בלתוד את התנועה הרשתית ישירות במערכת ההגעת החוליית של מכשיר העבודה (שיכול להיות VM הפיכה, לדוגמה) בעזרת המערבות הפורטים.

שימו לב שמערבות פורטים מצרפת תנועה מעותקת נוספת באורך הרשת, ואתם עשויים להכריח להפעיל את התכונה הזו על בקשה כשהיא נדרשת כדי לבצע ניתוח רשת.

מערבות פורטים נגד העברת פורטים

מערבות פורטים שונים מאשר העברת פורטים בגלל שלתנועת הרשת כמו TCP או UDP, אינה יכולה להיות מסועדת במערבות הפורטים. התנועה יכולה להיות מעותקת (מ

בניתוב פורטים, ניתן לשנות את יעד התעבורה (כגון מנות TCP או דטאגרמות UDP), וחלק מהמנות (או יחידות נתונים של פרוטוקולים אחרים) יכולות להגיע לכתובת IP ופורט אחרים ברשתות IP. ניתוב פורטים משמש יחד עם תרגום כתובות רשת (NAT) לתקשורת בין רשתות. לא נוצר עותק של התעבורה המקורית.

שיקוף פורטים ב-Hyper-V

ניתן להשתמש בפונקציונליות של שיקוף פורטים ב-Hyper-V כדי לנתח תעבורה ברשתות הווירטואליות שאליהן מחוברות מכונות וירטואליות באמצעות מתגים וירטואליים. יש להגדיר מכונה וירטואלית ייעודית כיעד ולהתקין תוכנה ללכידת תעבורה כגון Wireshark לצורך ניתוח התעבורה. ניתן להשתמש במערכות גילוי חדירה (IDS) זמינות אחרות למטרה זו.

פונקציית שיקוף הפורטים ב-Hyper-V דומה לשיקוף פורטים בחומרה, אך מיושמת ברמת המתג הווירטואלי של Hyper-V. יכולות הרחבת המתג ורשימות ACL (רשימות בקרת גישה) משמשות במתג הווירטואלי של Hyper-V להגדרת כללים עבור ניתוב ושיקוף תעבורה.

שיקוף פורטים פועל רק בתוך גבולות מארח Hyper-V יחיד. אם המכונות הווירטואליות נמצאות על מארחי Hyper-V שונים (לדוגמה, באשכול מעבר לגיבוי, לאחר העברת VM ממארח אחד לאחר), אז לא ניתן להשתמש בשיקוף פורטים של Hyper-V. במקרה זה, יש להגדיר מכונה וירטואלית נוספת כיעד לניתוח רשת על המארח השני של Hyper-V שאליו הועברה המכונה הווירטואלית המקורית.

הכנה להגדרת שיקוף פורטים

עליך להכיר את הדרישות להגדרת שיקוף פורטים ב-Hyper-V.

תנאים מוקדמים ותנאי התקנה

תורגם מתוך הערך הבא:

  • נדרשת הדרכים להגדרת העתקת פורטים בסביבת Hyper-V הבאה:
  • שימוש בשרת Windows Server 2012 R2 (או חדשה) עם Hyper-V וגישה המנהלת. ניתן להשתמש בWindows 10 או גרידא כמעבר למערכת הלוואי.
  • סוג של מעבורת וירטואלית על מאשר של Hyper-V.

לפחות שתי מכונות וירטואליות להעתקת (העתקת) התנועה מהמכונת מקור אחת למכונת יעדה.

רשימת חומרה ותוכנה

עלינו להתקין סנף תנועה (מנוטר תנועה) או מערכת זיהוי התקיפה על המכונה היעדה. דוגמאות לכך הן Wireshark, מנטר הרשת של מיקרוסופט, Ettercap וSmartSniff.

שלבי ההגדרה

  • יש לנו שתי מכונות Windows על מאשר של Hyper-V:Wind0ws-VM – המכונה המקורית (192.168.101.215)
  • Win-VM-Dest – המכונה היעדה (192.168.101.212)

מאשר סביבת Hyper-V מוגדר על שרת Windows Server 2019. ההגדרה עבור גירסאות הWindows המספקות אחרות הוא זהה.

הגדרת מעבורת וירטואלית

ניתן להשתמש במעבורת וירטואלית קיימת או ליצור מעבורת חדשה. אם אין מעבורת וירטואלית על המאשר של Hyper-V, יצירה של מעבורת חדשה מעבורת וירטואלית. על מנת ליצור מעבורת וירטואלית, עשה את הדברים הבאים:

  1. פתח את מנהל ה-Hyper-V, לחצו עם ה右键 על המארח ה-Hyper-V, ובתפריט ההקשר בוטלו מנהל המעבורות הוירטואליות .

  2. בחרו סוג מעבורת ווירטואלית ולחצו יצירה מעבורת ווירטואלית. לשימוש בה אנחנו משתמשים ב vSwitch0, מעבורה חיצונית (מגיעה לרשת). לחצו אוקיי כדי לשמור על ההגדרות ולסגור את החלון.

הגדרת ה-VM המקורית

ברגע שהמעבורה הוירטואלית מוכנה, נוכל להגדיר את ה-VM המקורית שלכם שבה אתם רוצים לנטרל את התנועה.

  1. כדי לפתוח את ההגדרות של ה-VM המקורית ב-Hyper-V Manager, לחצו עם ה右键 על שמו ה-VM ובתפריט ההקשר בוטלו הגדרות .

  2. בחלון ההגדרות של ה-VM, עברו לתווך תודף רשת> תכונות מעבדת רשת מתקדמות.
  3. בחלק מעבדת פורטים, בחירת מקור בתפריט הרדיודום. הפעולה הזו מאפשרת את מעבדת הפורטים של Hyper-V עבור הפורט של המעבדת הוירטואלית החוברה למעבדת הפורטים שבה מחובר הפורט הנוכחי של המחשב הוירטואלי. לשמור על ההגדרות צרו קליק על אוקיי.

  4. שמו לזכר את שמו המעבדת הוירטואלית של המקור אם המחשב הוירטואלי המקורי מחובר אליה. היתרון הוא שניתן להגדיר יותר מאחת מקורי מחשב ווירטואליים עבור ניתוח התנועה של כל המחשבים על המטאפורה המייצגת.

השלב הבא הוא להגדיר את המחשב הוירטואלי המטאפורה להיות משותפת לתנועת הרשת (דיפלוקציית פורטים).

הגדרה של המחשב הוירטואלי המטאפורה

המצב המומל הוא ליצור את מעבדת הפורטים הנוספת על המחשב הוירטואלי המטאפורה ולסגור את כל שירותי הרשת למעבדת הפורטים הזו על מנת ניתוח יותר מדויק. הגישה זו מאפשרת לך לקבל הדליפה מלאה של תנועת הרשת אחרי סגירת השירותים והפרוטוקולטים הלא נחוצים.

  1. עצר את המחשב הוירטואלי המטאפורה אם הוא מופעל.
  2. כדי לפתח את ההגדרות של המחשב הוירטואלי המטאפורה, הקרע על השם המחשב במנהל המחשבים הוירטואליים של Hyper-V וניגש <di
  3. לחץ הוסף חומרה בצד שמאל של חלון ההגדרות של הויראטום, בחר מתקן רשת, ולחץ הוסף:

  4. בחר את המעבורת המדומה שבה ייחבר המתקן המדומה השני. עליך לבחור את אותה מעבורת המדומה של הויראטום שהמקורי (המקור) מחובר אליה. במקרה שלנו, זו ה vSwitch0. לחץ בסדר כדי לשמור על ההגדרות ולסגור את החלון.

  5. פתח שוב את ההגדרות של הויראטום של המיקום המטרי.
  6. בחר את המתקן המדומה השני שנוצר עבור העיתונים ואבחנה התנועה (ברשימת החומרה של הויראטום בצד שמאל) וביצע מתקן רשת> תכונות מתקדמות.
  7. בחלק עיתונים משקפים, בחר מייצג כהגדרה לקלט את התנועה המשקפת ברשת. לחץ בסדר.

  8. הפעיל את הויראטומים.
  9. חבר לור מחשב היעד (שנוצר עם Hyper-V VMConnect או RDP) כדי לקבל ולנתח את התנועה.

  10. פתח מרכז הרשת והשיתוף בור מחשב היעד בWindows. לחץ עריכת ההגדרות של האדפטים.
  11. בחר את האדפט השני שנוצר עבור ניתוח התנועה (ניתן לשנות את שמת האדפט ל LAN2-SPAN עבור נוחות יותר).
  12. לחץ עם המקש ימין על האדפט ובחר תכונות.

עכשיו, ניתן להתקין ולהרכיב תוכנה לניתוח תנועה רשתית, כמו למשל WireShark, על הור מחשב היעד.

התקנת ניתוחן תנועה

  1. הורד והתקן Wireshark על הור מחשב היעד. תהליך ההתקנה די ברור בעזרת הסיפורן הגUI – ניתן להשתמש בהגדרות המקבילות.
  2. בעצם Wireshark על הור מחשב היעד.
  3. לחץ פעמיים על המתקן הרשתי המוצע לעיבוד הפורט המעקבי ואנליזת תנועת הרשת (LAN2-SPAN) בחלון Wireshark.

  4. עכשיו, אתה יכול לראות את הפעילות הרשתית של המושג המקורי (הכתובת IP של המושג המקורי היא 192.168.101.215). בואו נפינג את google.com במושג המקורי.
  5. אנחנו יכולים לראות את הבקשות ICMP והתשובות לו/מה 142.251.208.110 שזה הכתובת IP של האובייקט google.com ברגע זה.

  6. עבור נוחות נוספים, אתה יכול להפעיל סינטקסט, למשל, בחירות ICMP.

זוהי דוגמה בסיסית. אתה יכול להשגיח ולאנליז פעילויות רשת אחרות בעזרת פרוטוקולוגים אחרים.

PowerShell

מערכת הפעלה Windows Server גם מאפשרת לך להגדיר ולנהל מעקבי פורט של Hyper-V בעזרת PowerShell.

על מנת להפעיל את ההעקבה על הפורט על המקורי והמיילה, הרשת את הפעמים המתאימות:

Set-VMNetworkAdapter -VMName Wind0ws-VM -PortMirroring Source

Set-VMNetworkAdapter -VMName Win-VM-Dest -PortMirroring Destination

כדי להשבית שיקוף פורטים עבור מכונה וירטואלית:

Set-VMNetworkAdapter -VMName Wind0ws-VM -PortMirroring None

כדי לבדוק את הגדרות שיקוף הפורטים למכונות וירטואליות:

(Get-VMNetworkAdapter -VMName Wind0ws-VM).PortMirroringMode

(Get-VMNetworkAdapter -VMName Win-VM-Dest).PortMirroringMode

ניתן להשתמש בפקודות הבאות כדי להציג מידע עזרה:

Get-Help Set-VMNetworkAdapter

Get-Help Set-VMNetworkAdapter -full

Get-Help Set-VMNetworkAdapter -detailed

Get-Help Set-VMNetworkAdapter -examples

הפקודות הבאות יכולות להיות שימושיות להגדרת שיקוף פורטים:

Add-VMNetworkAdapter – הוספת מתאם רשת וירטואלי חדש למכונה וירטואלית

Get-NetAdapter – הצגת רשימת מתאמי הרשת למכונה וירטואלית

Rename-Netadapter – שינוי שם מתאם רשת וירטואלי של מכונה וירטואלית

סיכום

הגדרת שיקוף פורטים ב-Hyper-V יכולה להיעשות בנוחות בממשק המשתמש הגרפי של Hyper-V Manager או ב-PowerShell. פעל לפי הדרישות וזכור את המגבלות, כגון מיקום מקור ויעד המכונות הווירטואליות על מארח Hyper-V יחיד. ייתכן שתצטרך להגדיר מכונות וירטואליות נוספות כיעד עם כלי ניתוח תעבורה על מארחי Hyper-V באשכול מעבר לגיבוי. Wireshark הוא כלי נוח ופופולרי לניתוח תעבורה, אך תוכל להשתמש בכלים אחרים אם יש צורך.

Source:
https://www.nakivo.com/blog/hyper-v-port-mirroring/