Konfigurieren der Datenverkehrsspiegelung mit einem virtuellen Hyper-V-Switch

  • Artikel

Dieser Artikel gehört zu einer Reihe von Artikeln, in denen der Bereitstellungspfad für die OT-Überwachung mit Microsoft Defender for IoT beschrieben wird.

Diagram of a progress bar with Network level deployment highlighted.

In diesem Artikel wird beschrieben, wie der Promiscuous-Modus in einer Hyper-V Vswitch-Umgebung als Workaround für die Konfiguration der Datenverkehrsspiegelung verwendet werden kann, ähnlich wie bei einem SPAN-Port. Ein SPAN-Port in Ihrem Switch spiegelt den lokalen Datenverkehr von Schnittstellen auf dem Switch an eine Schnittstelle auf demselben Switch.

Weitere Informationen finden Sie unter Datenverkehrsspiegelung mit virtuellen Switches.

Voraussetzungen

Vorbereitungen:

  • Stellen Sie sicher, dass Sie Ihren Plan für die Netzwerküberwachung mit Defender for IoT und die SPAN-Ports, die Sie konfigurieren möchten, verstehen.

    Weitere Informationen finden Sie unter Datenverkehrsspiegelungsmethoden für die OT-Überwachung.

  • Stellen Sie sicher, dass keine Instanz eines virtuellen Geräts ausgeführt wird.

  • Stellen Sie sicher, dass Sie SPAN sicherstellen für den Datenport Ihres virtuellen Switch und nicht für den Verwaltungsport aktiviert haben.

  • Stellen Sie sicher, dass die SPAN-Konfiguration des Datenports nicht mit einer IP-Adresse konfiguriert ist.

Konfigurieren eines Ports für die Datenverkehrsspiegelung mit Hyper-V

  1. Öffnen Sie den Manager für virtuelle Switches.

  2. Wählen Sie in der Liste Virtuelle Switches die Option Neuer virtueller Netzwerkswitch>Extern als Typ für den dedizierten übergreifenden Netzwerkadapter aus.

    Screenshot of selecting new virtual network and external before creating the virtual switch.

  3. Wählen Sie Virtuellen Switch erstellen aus.

  4. Wählen Sie im Bereich Verbindungstyp die Option Externes Netzwerk aus, und vergewissern Sie sich, dass die Option Gemeinsames Verwenden dieses Netzwerkadapters für das Verwaltungsbetriebssystem zulassen aktiviert ist. Beispiel:

    Screenshot of the External network option.

  5. Klickan Sie auf OK.

Anfügen einer virtuellen SPAN-Schnittstelle an den virtuellen Switch

Sie können über Windows PowerShell oder den Hyper-V-Manager eine virtuelle SPAN-Schnittstelle an den zuvor erstellten virtuellen Switch anfügen.

Wenn Sie PowerShell verwenden, definieren Sie den Namen der neu hinzugefügten Adapterhardware als Monitor. Wenn Sie Hyper-V-Manager verwenden, wird der Name der neu hinzugefügten Adapterhardware auf Network Adapter festgelegt.

Hinzufügen einer virtuellen SPAN-Schnittstelle zum virtuellen Switch mit PowerShell

  1. Wählen Sie den neu hinzugefügten virtuellen SPAN-Switch aus, den Sie zuvor konfiguriert haben, und führen Sie den folgenden Befehl aus, um einen neuen Netzwerkadapter hinzuzufügen:

    ADD-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 -Name Monitor -SwitchName vSwitch_Span

  2. Aktivieren Sie mit dem folgenden Befehl die Portspiegelung für die ausgewählte Schnittstelle als SPAN-Ziel:

    Get-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 | ? Name -eq Monitor | Set-VMNetworkAdapter -PortMirroring Destination

    Hierbei gilt:

    Parameter BESCHREIBUNG
    VK-C1000V-LongRunning-650 Name der virtuellen CPPM-Appliance
    vSwitch_Span Name des neu hinzugefügten virtuellen SPAN-Switches
    Überwachen Name des neu hinzugefügten Adapters

  3. Wenn Sie fertig sind, wählen Sie OK.

Anfügen einer virtuellen SPAN-Schnittstelle an den virtuellen Switch mit Hyper-V-Manager

  1. Wählen Sie in der Liste Hardware des Hyper-V-Managers die Option Netzwerkadapter aus.

  2. Wählen Sie im Feld Virtueller Switch die Option vSwitch_Span aus.

    Screenshot of selecting the following options on the virtual switch screen.

  3. Wählen Sie in der Liste Hardware in der Dropdownliste Netzwerkadapter die Option Hardwarebeschleunigung aus, und deaktivieren Sie die Option Warteschlange für virtuelle Computer für die Netzwerkschnittstelle für die Überwachung.

  4. Wählen Sie in der Liste Hardware in der Dropdownliste Netzwerkadapter die Option Erweiterte Features aus. Wählen Sie im Abschnitt Portspiegelung die Option Ziel als Spiegelungsmodus für die neue virtuelle Schnittstelle aus.

    Screenshot of the selections needed to configure mirroring mode.

  5. Klickan Sie auf OK.

Aktivieren der Microsoft NDIS-Aufzeichnungserweiterungen

Aktivieren Sie die Unterstützung für Microsoft NDIS-Aufzeichnungserweiterungen für den virtuellen Switch, den Sie zuvor erstellt haben.

So aktivieren Sie die Microsoft NDIS-Aufzeichnungserweiterungen für den neuen virtuellen Switch

  1. Öffnen Sie auf dem Hyper-V-Host den Manager für virtuelle Switches.

  2. Erweitern Sie in der Liste „Virtuelle Switches“ den Namen des virtuellen Switches (vSwitch_Span), und wählen Sie Erweiterungen aus.

  3. Wählen Sie im Feld „Switcherweiterungen“ die Option Microsoft NDIS-Aufzeichnung aus.

    Screenshot of enabling the Microsoft NDIS by selecting it from the switch extensions menu.

  4. Klickan Sie auf OK.

Konfigurieren des Spiegelungsmodus des Switch

Konfigurieren Sie den Spiegelungsmodus auf dem zuvor erstellten virtuellen Switch so, dass der externe Port als Spiegelungsquelle definiert ist. Dazu müssen Sie den virtuellen Hyper-V-Switch (vSwitch_Span) u. a. so konfigurieren, dass der gesamte Datenverkehr, der an den externen Quellport gesendet wird, an den virtuellen Netzwerkadapter weitergeleitet wird, den Sie als Ziel konfiguriert haben.

Um den externen Port des virtuellen Switch als Quellspiegelmodus festzulegen, führen Sie Folgendes aus:

$ExtPortFeature=Get-VMSystemSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings"
$ExtPortFeature.SettingData.MonitorMode=2
Add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName vSwitch_Span -VMSwitchExtensionFeature $ExtPortFeature

Hierbei gilt:

Parameter BESCHREIBUNG
vSwitch_Span Name des zuvor erstellten virtuellen Switch
MonitorMode=2 `Source`
MonitorMode=1 Destination
MonitorMode=0 Keine

Um den Status des Überwachungsmodus zu überprüfen, führen Sie Folgendes aus:

Get-VMSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings" -SwitchName vSwitch_Span -ExternalPort | select -ExpandProperty SettingData
Parameter BESCHREIBUNG
vSwitch_Span Name des neu hinzugefügten virtuellen SPAN-Switches

Überprüfen der Datenverkehrsspiegelung

Versuchen Sie nach der Konfiguration der Datenverkehrsspiegelung, eine Stichprobe des aufgezeichneten Datenverkehrs (PCAP-Datei) vom Switch-SPAN-Port oder Spiegelungsport zu erhalten.

Eine PCAP-Beispieldatei hilft Ihnen bei folgenden Punkten:

  • Überprüfen der Switchkonfiguration
  • Vergewissern, dass der Datenverkehr, der ihren Switch durchläuft, für die Überwachung relevant ist
  • Identifizieren der Bandbreite und einer geschätzten Anzahl von Geräten, die vom Switch erkannt wurden

  1. Verwenden Sie eine Netzwerkprotokollanalyseanwendung wie Wireshark, um für einige Minuten eine PCAP-Beispieldatei aufzuzeichnen. Verbinden Sie beispielsweise einen Laptop mit einem Port, an dem Sie die Datenverkehrsüberwachung konfiguriert haben.

  2. Überprüfen Sie, ob Unicast-Pakete im aufgezeichneten Datenverkehr vorhanden sind. Unicastdatenverkehr ist Datenverkehr, der von einer Adresse an eine andere gesendet wird.

    Wenn der größte Teil des Datenverkehrs ARP-Nachrichten ist, ist Ihre Konfiguration für die Datenverkehrsspiegelung nicht korrekt.

  3. Überprüfen Sie, ob Ihre OT-Protokolle im analysierten Datenverkehr vorhanden sind.

    Beispiel:

    Screenshot of Wireshark validation.

Nächste Schritte

« Onboarding von OT-Sensoren mit Defender for IoT

Bereitstellen von OT-Sensoren für die Cloudverwaltung »