Порт-мониторинг в Hyper-V: руководство по настройке

Учебники
Hyper-V

Расследование проблем является обычной задачей для системных администраторов, работающих с сетями. Профессиональное сетевое оборудование обычно имеет функции для мониторинга и расследования проблем, такие как mirroring порта. Mirroring порта также может быть полезен для анализа сетевого трафика в виртуальных средах, включая виртуальные сети на хосте Microsoft Hyper-V и сетевую связь между VMs. В этой статье будет объяснено, как настроить mirroring порта для Microsoft Hyper-V для анализа сетевых соединений в виртуальной среде.

Концепции mirroring порта

Перед тем, как объяснить, как настроить mirroring порта, давайте посмотрим на ключевые концепции, принцип работы и существующие функции настройки Hyper-V.

Что такое mirroring порта?

Функция mirroring порта позволяет вам дублировать сетевой трафик сетевого порта источника на порт (адаптер) второго хоста для дальнейшего анализа этого трафика. Хост может быть физической машиной, виртуальной машиной, сетевым оборудованием с сетевым интерфейсом и т. д. Источник — это хост, трафик которого мониторится в данном контексте. Источной портом также называется порт, который подлежит дублированию (mirrored port), а целевым портом — также называемый наблюдаемым портом (observed port). mirroring порта также называется Switched Port Analyzer (SPAN).

Типы и преимущества

Порт- Mirroring может быть локальным и удаленным в зависимости от режима соединения между портами. Для локального портового Mirroring источник и приемник сетевых портов соединены с тем же switches. Удаленный портовый Mirroring используется, когда источник и приемник портов соединены с различными switches. VLAN-тегование и GRE-Encapsulation могут быть использованы для удаленного портового Mirroring, чтобы передать сетевой трафик на мониторинговый порт и устройство.

Преимущество портового Mirroring заключается в возможности анализировать и исправлять сетевую связь без влияния на обработку работающих сетевых устройств. Администраторы могут анализировать трафик, чтобы идентифицировать возможные атаки по сети, обнаружить источник атаки и улучшить безопасность сети. Нет необходимости охватывать сетевой трафик напрямую в гостевой операционной системе рабочего компьютера (которая может быть производственной VM, например), когда используется портовый Mirroring.

Обратите внимание, что портовый Mirroring использует дополнительный сетевой поток для передачи воспроизведенного трафика, и может быть необходимо включить эту функцию по мере необходимости, когда вам нужно выполнять сетевое исследование.

Порт-Mirroring против портового перенаправления

Портовый Mirroring отличается от портового перенаправления тем, что сетевой трафик, такие как TCP-пакеты или UDP-datagramмы, не могут быть перенаправлены в портовом Mirroring. Трафик может быть воспроизведен (дублирован), но источник и приемник для исходного направления трафика не изменяются.Copy оригинального трафика отправляется в целевую точку для анализа.

В портовом направлении трафика (таких как TCP-пакеты или UDP-datagramмы) назначение может быть изменено, и специфические пакеты (или другие протокольные единицы данных) могут достигать другой IP-адрессы и порта в IP-сетях. Портовое направление используется с сетевой адресной трансляцией (NAT) для связи между сетями. Не создается копия исходного трафика.

Портовая микрофоника в Hyper-V

Вы можете использовать функциональность портовой микрофоники в Hyper-V, чтобы анализировать трафик в виртуальных сетях, к которым подключены VMs через виртуальные переключатели. Необходимо определить целевую VM и установить программное обеспечение для捕获 трафика, такое как Wireshark, для анализа трафика. Вы можете использовать другие доступные системы обнаружения вторжения (IDS) для этой цели.

Функция портовой микрофоники Hyper-V схожа с аппаратной микрофонией, но реализована на уровне виртуального переключателя Hyper-V. Для установки правил направления и прислушивания трафика используются функциональные возможности расширения переключателя и портовые ACLs (списки доступа) на виртуальном переключателе Hyper-V.

Портовая микрофония работает только в пределах одного узла Hyper-V. Если виртуальные машины находятся на различных узлах Hyper-V (например, в репликационном кластера, после перемещения VM с одного узла на другой), то функция портовой микрофонии Hyper-V не может быть использована. В этом случае вам нужно настроить дополнительную целевую VM для сетевого анализа на втором узле Hyper-V, к которому был перемещен источник VM.

Приготовление к настройке портовой микрофонии

Вы должны ознакомиться с требованиями к настройке портовой микрофонии Hyper-V.

Предварительные условия и установка

Ниже перечислены требования для настройки зеркалирования портов в среде Hyper-V:

  • Windows Server 2012 R2 (или новее) с Hyper-V и административным доступом. В качестве клиентской ОС можно использовать Windows 10 или выше.
  • Виртуальный коммутатор на хосте Hyper-V.
  • Как минимум две виртуальные машины для зеркалирования (дублирования) трафика с исходной ВМ на целевую.

Контрольный список аппаратного и программного обеспечения

На целевой ВМ необходимо установить сниффер трафика (анализатор трафика) или систему обнаружения вторжений. Примерами таких инструментов являются Wireshark, Microsoft Network Monitor, Ettercap и SmartSniff.

Шаги конфигурации

У нас есть две ВМ Windows на хосте Hyper-V:

  • Wind0ws-VM – исходная ВМ (192.168.101.215)
  • Win-VM-Dest – целевая ВМ (192.168.101.212)

Хост Hyper-V настроен на Windows Server 2019. Конфигурация для других поддерживаемых версий Windows идентична.

Настройка виртуального коммутатора

Вы можете использовать существующий виртуальный коммутатор или создать новый виртуальный коммутатор. Если на хосте Hyper-V нет виртуального коммутатора, создайте новый виртуальный коммутатор. Чтобы создать виртуальный коммутатор, выполните следующие действия:

  1. Откройте диспетчер Hyper-V, щелкните правой кнопкой мыши узл Hyper-V и выберитеменеджер виртуальных переключателей из контекстного меню.

  2. Выберите тип виртуального переключателя и нажмите создать виртуальный переключатель. Для этого мы будем использовать vSwitch0, внешний переключатель (мост сети). Нажмите OK, чтобы сохранить настройки и закрыть окно.

Настройка источной ВМ

Когда виртуальный переключатель готов, вы можете настроить источную ВМ, трафик которой вы хотите мониторить.

  1. Для открытия настроек источной ВМ в диспетчере Hyper-V щелкните правой кнопкой мыши имя ВМ и выберите настройки из контекстного меню.

  2. В окне настроек ВМ перейдите к сетевому адаптеру>адвантaged features.
  3. В разделе Порт mirroring выберите Исходник в выпадающем списке как режим mirroring. Это действие активирует mirroring порта Hyper-V для порта связанного виртуального switch, к которому подключен текущий порт VM. Нажмите OK, чтобы сохранить настройки.

  4. Запомните имя виртуального switch, к которому подключен виртуальный сетевой адаптер исходной VM. преимущество в том, что вы можете настроить более чем один исходный VM для анализа трафика всех VMs на destination VM.

下阶段是配置目标虚拟机,网络流量将被镜像(复制)到该虚拟机。

配置目标 VM

建议的做法是在目标 VM 上创建一个额外的网络适配器并禁用此网络适配器的所有网络服务以进行更精确的分析。这种方法允许在禁用不需要的网络服务和协议后获取网络流量的完整转储。

  1. 如果目标 VM 正在运行,请关闭它。
  2. 在 Hyper-V Manager 中,右键单击目标 VM 的名称,然后单击 设置 以打开 VM 设置。
  3. Щёлкните Добавить оборудование в левом panel настроек окон VM, выберите Сетевой адаптер, и нажмите Добавить.

  4. Выберите виртуальный switch, к которому будет подключен второй виртуальный сетевой адаптер. Это должен быть тот же виртуальный switch, что и у первой (исходной) VM. В нашем случае это vSwitch0. Нажмите OK, чтобы сохранить настройки и закрыть окно.

  5. Вновь откройте настройки VM назначения.
  6. Выберите второй виртуальный сетевой адаптер, созданный для порта mirroring и анализа трафика (в списке оборудования VM левого panel), и перейдите к Сетевой адаптер > Дополнительные функции.
  7. В секции Порт mirroring выберите Destination как режим mirroring, чтобы получить повторенный сетевой трафик. Нажмите OK.

  8. Включите VMs.
  9. Подключитесь к целевой виртуальной машине, созданной для приема и анализа трафика (使用 Hyper-V VMConnect или RDP).

  10. Откройте Центр сети и обмена в целевой виртуальной машине Windows. Кликните Изменить настройки адаптера.
  11. Выберите второй адаптер сети, созданный для анализа трафика (можете переименовать этот адаптер в LAN2-SPAN для удобства).
  12. Щёлкните правой кнопкой мыши по адаптеру сети и выберите Свойства.

Теперь вы можете установить и настроить программное обеспечение для анализа сетевого трафика, такое как WireShark, на целевой виртуальной машине.

Установка анализатора трафика

  1. Скачайте и установите Wireshark на целевой VM. Процесс установки является простым в графической карточке мастера — можете использовать по умолчанию настройки.
  2. Запустите Wireshark на целевой VM.
  3. Двойной кликните на сетевой адаптер, созданный специально для порта mirroring и анализа сетевого трафика (LAN2-SPAN), в окне Wireshark.

  4. Теперь вы можете видеть сетевую активность исходной ВМ (IP-адрес исходной ВМ — 192.168.101.215). Попробуем ping google.com на исходной ВМ.
  5. Мы можем видеть ICMP-запросы и ответы между 142.251.208.110, который является IP-адресом узла google.com в данный момент.

  6. Для удобства вы можете включить фильтр, например, выбрать ICMP.

Это базовый пример. Вы можете наблюдать и анализировать другие сетевые активности с использованием других протоколов.

PowerShell

Операционная система Windows Server также позволяет вам настраивать и управлять портами mirroring Hyper-V в PowerShell.

Чтобы включить порта mirroring на исходной и целевой ВМ, выполните соответствующие команды:

Set-VMNetworkAdapter -VMName Wind0ws-VM -PortMirroring Source

Установите-VMNetworkAdapter -VMName Win-VM-Dest -PortMirroring Destination

Для отключения портового зеркалирования для VM:

Установите-VMNetworkAdapter -VMName Wind0ws-VM -PortMirroring None

Для проверки настроек портового зеркалирования для VMs:

(Получите-VMNetworkAdapter -VMName Wind0ws-VM).PortMirroringMode

(Получите-VMNetworkAdapter -VMName Win-VM-Dest).PortMirroringMode

Вы можете использовать следующие команды для отображения информации помощи:

Получите-Помощь Set-VMNetworkAdapter

Получите-Помощь Set-VMNetworkAdapter -full

Получите-Помощь Set-VMNetworkAdapter -detailed

Получите-Помощь Set-VMNetworkAdapter -examples

Следующие команды могут быть полезны для настройки портового зеркалирования:

Добавить-VMNetworkAdapter – добавить новый виртуальный сетевой адаптер для VM

Получите-NetAdapter – отобразить список сетевых адаптеров для VM

Переименовать-Netadapter – изменить имя для виртуального сетевого адаптера VM

Заключение

Настройка портового зеркалирования Hyper-V может осуществляться удобно в графическом интерфейсе пользователя Hyper-V Manager или в PowerShell. О遵循требования и помните ограничения, такие как расположение источника и целевых VMs на одном узле Hyper-V. может потребоваться настроить дополнительные целевые VMs с инструментом анализа трафика на узлах Hyper-V в репликации. Wireshark является удобным и популярным инструментом для анализа трафика, но вы можете использовать другие инструменты, если требуется.

Source:
https://www.nakivo.com/blog/hyper-v-port-mirroring/