Port Mirroring in Hyper-V: Een configuratiehandleiding

Handleidingen
Hyper-V

Onderhoud is een alomvattende taak voor systeembeheerders die werken met netwerken. Professionele netwerkapparatuur heeft vaak functionaliteiten voor monitoring en onderhoud, zoals poortkopiëren. Poortkopiëren kan ook handig zijn voor het analyseren van netwerkverkeer in virtuele omgevingen, inclusief virtuele netwerken op Microsoft Hyper-V-hosts en netwerkcommunicatie tussen VMs. In dit blogartikel wordt uitgelegd hoe u Microsoft Hyper-V-poortkopiëring kunt configureren om netwerkcommunicatie te analyseren in een virtuele omgeving.

Belangrijke concepten van Poortkopiëren

Voordat we uitlegen hoe u poortkopiëring kunt configureren, lees ons de belangrijkste concepten, de werking en bestaande functionaliteiten van de Hyper-V-configuratie.

Wat is poortkopiëren?

Poortkopiëring is de functionaliteit die u toestaat om het netwerkverkeer van een bronhosts netwerkpoort naar een netwerkpoort (adapter) van een secundaire host te duplicaten voor verdere analyse van dit verkeer. Een host kan een fysieke machine, virtuele machine, netwerkapparatuur met een netwerkinterface zijn, enzovoort. Een bronhost is de host waarvan het netwerkverkeer wordt gevolgd in dit kader. Het bronpoort noemt men ook een gekopieerd poort en het bestemmingspoort een bekeken poort. Poortkopiëring wordt ook Switched Port Analyzer (SPAN) genoemd.

Soorten en voordelen

Poortspiegeling kan lokaal en op afstand zijn, afhankelijk van de verbindingsmodus tussen poorten. Voor lokale poortspiegeling zijn de bron- en bestemmingsnetwerkpoorten verbonden aan dezelfde switch. Voor externe poortspiegeling wordt gebruikt als de bron- en bestemmingspoorten zijn aangesloten op verschillende switches. VLAN-tagging en GRE-encapsulering kunnen worden gebruikt voor externe poortspiegeling om het netwerkverkeer naar de gemonitoriseerde poort en apparaat over te brengen.

Het voordeel van poortspiegeling is de mogelijkheid om netwerkcommunicatie te analyseren en fouten te debuggen zonder de verwerking van actieve netwerkapparatuur te beïnvloeden. Beheerders kunnen verkeer analyzeren om mogelijke aanvallen over het netwerk te identificeren, de bron van de aanval opsporen en de netwerkveiligheid verbetern. Het is niet nodig om netwerkverkeer direct te verzamelen in een gastbesturingssysteem van een actieve machine (die kan een productieve virtuele machine zijn, bijvoorbeeld) bij gebruik van poortspiegeling.

Merk op dat poortspiegeling extra netwerkbandbreedte in beslag neemt om het gespiegeld verkeer over te brengen, en u zou deze functie op verlangen moeten inschakelen wanneer u netwerkanalyse uitvoert.

Poortspiegeling vs. poortdoorsturen

Poortspiegeling verschilt van poortdoorsturen, want het netwerkverkeer, zoals TCP-pakketten of UDP-datagrammen, kan niet worden doorverwezen bij poortspiegeling. Het verkeer kan worden gespiegeld (gedupliceerd), maar de bron en bestemming voor de oorspronkelijke verkeerrichting worden niet gewijzigd. Een kopie van het originele verkeer wordt naar de bestemmingslocatie verzonden voor analyse.

In port forwarding kan het doel van het verkeer (zoals TCP-pakketten of UDP-datagrammen) worden gewijzigd, zodat specifieke pakketten (of andere protocolgegevensunits) een andere IP-adresse en poort in IP-netwerken kunnen bereiken. Port forwarding wordt gebruikt in combinatie met network address translation (NAT) voor communicatie tussen netwerken. Er wordt geen kopie van het originele verkeer gemaakt.

Port mirroring in Hyper-V

U kunt de port mirroring-functionaliteit in Hyper-V gebruiken om het verkeer in de virtuele netwerken te analyseren waaraan virtuele Machines (VMs) zijn verbonden via virtuele switches. U moet een bestemmingsVM definiëren en traffic-capturing software zoals Wireshark installeren voor verkeeronderzoek. U kunt andere beschikbare inbraakdetectie systemen (IDS) voor dit doel gebruiken.

De Hyper-V port mirroring-functionaliteit is vergelijkbaar met hardware port mirroring, maar wordt op het niveau van de Hyper-V virtuele switch geïmplementeerd. Switch extensie functionaliteiten en port ACLs (toegangslijsten) worden op een Hyper-V virtuele switch gebruikt om regels in te stellen voor doorsturen en verkeerssniffen.

Port mirroring werkt alleen binnen de grenzen van een enkele Hyper-V host. Als virtuele Machines zijn geplaatst op verschillende Hyper-V hosts (bijvoorbeeld in een failover cluster, na de migratie van een VM van een host naar een andere), kan Hyper-V port mirroring niet worden gebruikt. In dit geval moet u een extra bestemmingsVM configureren voor netwerkanalyse op de tweede Hyper-V host waaraan de bronVM is gemigreerd.

Voorbereiding voor de Port Mirroring Configuratie

U moet uw kennis vergroten over de vereisten voor de configuratie van Hyper-V port mirroring.

Voorvereisten en configuratiecondities

Ik heb de vereisten voor het configureren van poortspiegeling in een Hyper-V omgeving hieronder weergegeven:

  • Een Windows Server 2012 R2 (of nieuwer) met Hyper-V en administratieve toegang. Windows 10 of hoger kan worden gebruikt als client-OS.
  • Een virtuele schakel op een Hyper-V host.
  • Twee of meer virtuele machines nodig om verkeer van de bron VM naar de bestemmings VM te spiegelen (dupliceren).

Hardware en software checklijst

Installeer een verkeerssniffer (verkeeranalyseprogramma) of een inbraakdetectiesysteem op de bestemmings VM. Voorbeelden van dergelijke tools zijn Wireshark, Microsoft Network Monitor, Ettercap en SmartSniff.

Configuratie stappen

We hebben twee Windows VMs op een Hyper-V host:

  • Wind0ws-VM – de bron VM (192.168.101.215)
  • Win-VM-Dest – de bestemmings VM (192.168.101.212)

Een Hyper-V host is geconfigureerd op Windows Server 2019. De configuratie voor andere ondersteunde Windows versies is identiek.

Configureer een virtuele schakel

U kunt een bestaande virtuele schakel gebruiken of een nieuwe virtuele schakel maken. Als er geen virtuele schakel op de Hyper-V host bestaat, maak dan een nieuwe virtuele schakel. Om een virtuele schakel te maken, doet u het volgende:

  1. Open Hyper-V Manager, klik rechts met de muis op de Hyper-V host en selecteer Virtual Switch Manager uit het contextmenu.

  2. Kies een virtuele schakelaarstype en klik op Create Virtual Switch. Hiervoor gebruiken we vSwitch0, een externe schakelaar (brugnetwerk). Klik op OK om de instellingen op te slaan en het venster te sluiten.

Configureer de bron VM

Zodra een virtuele schakelaar klaar is, kun je de bron VM configureren die u wilt monitoren.

  1. Om de instellingen van de bron VM te openen in Hyper-V Manager, klik rechts met de muis op de VM-naam en selecteer Settings uit het contextmenu.

  2. In het VM-instellingenvenster, ga naar Network Adapter > Advanced features.
  3. In de sectie Port Mirroring selecteer u Bron als het doorstroomtype in het dropdownmenu. Deze actie schakelt Hyper-V poort doorstrooming in voor de poort van de gekoppelde virtuele schakelaar waaraan de huidige poort van de VM is gekoppeld. Klik op OK om de instellingen op te slaan.

  4. Onthoud de naam van de virtuele schakelaar waaraan de virtuele netwerkadapter van de bron VM is gekoppeld. Het voordeel is dat u meerdere bron VMs kunt configureren voor het analyseren van het verkeer van alle VMs op de bestemmingsVM.

Het volgende stadium is het configureren van de bestemmings virtuele machine waarnaar het netwerkverkeer wordt doorstroomd (gekopieerd).

Configureren van de bestemmings VM

Het aanbevolen procedé is om een extra netwerkadapter op de bestemmings VM aan te maken en alle netwerkdiensten voor deze netwerkadapter uit te schakelen voor een nauwkeurige analyse. Deze aanpak laat u toe om het volledige dump van het netwerkverkeer te verkrijgen nadat onnodige netwerkdiensten en protocollen zijn uitgeschakeld.

  1. Schakel de bestemmings VM uit als de VM actief is.
  2. Om de instellingen van de bestemmings VM in Hyper-V Manager te openen, klikt u met de rechtermuisknop op de naam van de VM en klikt u op Instellingen.
  3. Klik Hardware toevoegen in het linkerpaneel van het venster voor de virtuele machine-instellingen, kies Netwerkadapter en klik Toevoegen.

  4. Selecteer de virtuele schakel die aan de tweede virtuele netwerkadapter wordt gekoppeld. Dit moet dezelfde virtuele schakel zijn als de eerste (bron) VM. In ons geval is dit vSwitch0. Klik OK om de instellingen op te slaan en het venster te sluiten.

  5. Open opnieuw de instellingen van de bestemmingsVM.
  6. Selecteer de tweede virtuele netwerkadapter die is aangemaakt voor poortkopiëring en verkeerstoegangscontrole (in de lijst met VM-hardware in het linkerpaneel) en ga naar Netwerkadapter> Geavanceerde functies.
  7. In de sectie Poortkopiëring, selecteer Bestemming als het kopiërmodus om de gekopieerde netwerkverkeer te ontvangen. Klik OK.

  8. Start de virtuele machines.
  9. Maak verbinding met de bestemmings-VM die is gemaakt voor het ontvangen en analyseren van verkeer (met Hyper-V VMConnect of RDP).

  10. Open Netwerk en delencentrum in de bestemmings-Windows-VM. Klik op Wijzig adapterinstellingen.
  11. Selecteer de tweede netwerkadapter die is gemaakt voor verkeer analyse (u kunt deze adapter eenvoudiger benamen door LAN2-SPAN te kiezen).
  12. Klik met rechts op de netwerkadapter en kies Eigenschappen.

Nu kunt u op de bestemmings-VM software voor netwerkverkeeranalyse installeren en configureren, zoals WireShark.

Installeren van een verkeeranalyzer

  1. Download en installeer Wireshark op de bestemmings-VM. Het installatieproces is eenvoudig in de GUI-assistent – u kunt de standaardinstellingen gebruiken.
  2. Start Wireshark op de bestemmings-VM.
  3. Dubbelklik op de netwerkadapter die speciaal voor port mirroring en netwerkverkeeranalyse (LAN2-SPAN) is aangemaakt in het Wireshark-venster.

  4. Nu kun je de netwerkactiviteit van de bron-VM zien (de IP-adres van de bron-VM is 192.168.101.215). Laat ons een ping uitvoeren naar google.com op de bron-VM.
  5. We kunnen de ICMP-verzoeken en -antwoorden naar/van 142.251.208.110 zien, die het IP-adres van de google.com-host is op dit moment.

  6. Voor een gemakkelijkere beheer kun je een filter inschakelen, bijvoorbeeld kies ICMP.

Dit is een basisexemplaar. U kunt andere netwerkactiviteiten monitoren en analyseren met behulp van andere protocollen.

PowerShell

Het Windows Server besturingssysteem laat ook toe om Hyper-V-poortmirroring te configureren en te beheren via PowerShell.

Om port mirroring in de bron- en bestemmings-VM in te schakelen, voer de bijbehorende commando’s uit:

Set-VMNetworkAdapter -VMName Wind0ws-VM -PortMirroring Source

Set-VMNetworkAdapter -VMName Win-VM-Dest -PortMirroring Destination

Portmontering voor een VM uitschakelen:

Set-VMNetworkAdapter -VMName Wind0ws-VM -PortMirroring None

Bekijk de instellingen voor portmontering voor VMs:

(Get-VMNetworkAdapter -VMName Wind0ws-VM).PortMirroringMode

(Get-VMNetworkAdapter -VMName Win-VM-Dest).PortMirroringMode

U kunt de volgende commando’s gebruiken om hulp informatie weer te geven:

Get-Help Set-VMNetworkAdapter

Get-Help Set-VMNetworkAdapter -full

Get-Help Set-VMNetworkAdapter -detailed

Get-Help Set-VMNetworkAdapter -examples

De volgende commando’s kunnen nuttig zijn om portmontering te configureren:

Add-VMNetworkAdapter – voeg een nieuwe virtuele netwerkadapter toe voor een VM

Get-NetAdapter – tonen van een lijst met netwerkadapters voor een VM

Rename-Netadapter – wijzig de naam voor een virtuele netwerkadapter van een VM

Conclusie

Configureren van Hyper-V poort Mirroring kan gemakkelijk worden uitgevoerd via de grafische gebruikersinterface van Hyper-V Manager of via PowerShell. Volg de vereisten en onthoud de beperkingen, zoals de locatie van de bron- en bestemmingsVMs op een enkele Hyper-V host. U moet mogelijk extra bestemmingsVMs configureren met een verkeerstool op Hyper-V hosts in een faillietheefcluster. Wireshark is een praktische en populaire tool voor verkeer analyse, maar u kunt andere toolsen gebruiken indien nodig.

Source:
https://www.nakivo.com/blog/hyper-v-port-mirroring/