Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo è uno di una serie di articoli che descrivono il percorso di distribuzione per il monitoraggio OT con Microsoft Defender per IoT.
Questo articolo descrive come usare la modalità Promiscua in un ambiente VSwitch Hyper-V come soluzione alternativa per la configurazione del mirroring del traffico, analoga a una porta SPAN. Una porta SPAN sul commutatore rispecchia il traffico locale dalle interfacce sul commutatore a un'interfaccia diversa sullo stesso commutatore.
Per altre informazioni, vedere Mirroring del traffico con commutatori virtuali.
Prerequisiti
Prima di iniziare:
Assicurarsi di comprendere il piano per il monitoraggio della rete con Defender per IoT e le porte SPAN da configurare.
Per altre informazioni, vedere Metodi di mirroring del traffico per il monitoraggio OT.
Assicurarsi che non siano in esecuzione istanze di appliance virtuali.
Assicurarsi di aver abilitato l'opzione Span sulla porta dati del commutatore virtuale e non sulla porta di gestione.
Assicurarsi che la configurazione SPAN della porta dati non sia configurata con un indirizzo IP.
Creare un nuovo commutatore virtuale Hyper-V per inoltrare il traffico con mirroring nella macchina virtuale
Creare un nuovo commutatore virtuale con PowerShell
New-VMSwitch -Name vSwitch_Span -NetAdapterName Ethernet -AllowManagementOS:$true
Dove:
| Parametro | Descrizione |
|---|---|
| vSwitch_Span | Nome del commutatore virtuale SPAN appena aggiunto |
| Ethernet | Nome adattatore fisico |
Informazioni su come creare e configurare un commutatore virtuale con Hyper-V
Creare un nuovo commutatore virtuale con La console di gestione di Hyper-V
Aprire lo strumento di gestione commutatori virtuali.
Nell'elenco Commutatori virtuali, selezionare Nuovo commutatore di rete virtuale>Esterno come tipo di scheda di rete estesa dedicata.
Selezionare Crea commutatore virtuale.
Nell'area Tipo di connessione selezionare Rete esterna e assicurarsi che l'opzione Consenti al sistema operativo di gestione di condividere questa scheda di rete sia selezionata. Ad esempio:
Seleziona OK.
Collegare un'interfaccia virtuale SPAN al commutatore virtuale
Usare Windows PowerShell o la console di gestione di Hyper-V per collegare un'interfaccia virtuale SPAN al commutatore virtuale creato in precedenza.
Se si usa PowerShell, definire il nome dell'hardware dell'adattatore appena aggiunto come Monitor. Se si usa la console di gestione di Hyper-V, il nome dell'hardware della scheda appena aggiunta viene impostato su Network Adapter.
Collegare un'interfaccia virtuale SPAN al commutatore virtuale con PowerShell
Selezionare il commutatore virtuale SPAN appena aggiunto creato in precedenza ed eseguire il comando seguente per aggiungere una nuova scheda di rete:
ADD-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 -Name Monitor -SwitchName vSwitch_SpanAbilitare il mirroring delle porte per l'interfaccia selezionata come destinazione SPAN con il comando seguente:
Get-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 | ? Name -eq Monitor | Set-VMNetworkAdapter -PortMirroring DestinationDove:
Parametro Descrizione VK-C1000V-LungoRunning-650 Nome appliance virtuale CPPM vSwitch_Span Nome del commutatore virtuale SPAN appena aggiunto Monitor Nome dell'adattatore appena aggiunto Al termine, seleziona OK.
Collegare un'interfaccia virtuale SPAN al commutatore virtuale con la console di gestione di Hyper-V
Nell'elenco Hardware della console di gestione di Hyper-V selezionare Scheda di rete.
Nel campo Switch virtuale, selezionare vSwitch_Span.
Nell'elenco Hardware, sotto l'elenco a discesa Scheda di rete, selezionare Funzionalità avanzate. Nella sezione Port Mirroring, selezionare Destinazione come modalità di mirroring per la nuova interfaccia virtuale.
Seleziona OK.
Attivare le estensioni di acquisizione di Microsoft NDIS con PowerShell
Attivare il supporto per le estensioni di acquisizione di Microsoft NDIS per il commutatore virtuale creato in precedenza.
Per abilitare le estensioni di acquisizione di Microsoft NDIS per il nuovo commutatore virtuale:
Enable-VMSwitchExtension -VMSwitchName vSwitch_Span -Name "Microsoft NDIS Capture"
Attivare le estensioni di acquisizione di Microsoft NDIS con Gestione Hyper-V
Attivare il supporto per le estensioni di acquisizione di Microsoft NDIS per il commutatore virtuale creato in precedenza.
Per abilitare le estensioni di acquisizione di Microsoft NDIS per il nuovo commutatore virtuale:
Aprire Virtual Switch Manager nell'host Hyper-V.
Nell'elenco Commutatori virtuali espandere il nome
vSwitch_Spandel commutatore virtuale e selezionare Estensioni.Nel campo estensioni dello switch, selezionare Microsoft NDIS Capture.
Seleziona OK.
Configurare la modalità di mirroring del switch.
Configurare la modalità di mirroring sul commutatore virtuale creato in precedenza in modo che la porta esterna sia definita come origine del mirroring. Ciò include la configurazione del commutatore virtuale Hyper-V (vSwitch_Span) per inoltrare qualsiasi traffico proveniente dalla porta di origine esterna a una scheda di rete virtuale configurata come destinazione.
Per impostare la porta esterna del commutatore virtuale come modalità mirror di origine, eseguire:
$ExtPortFeature=Get-VMSystemSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings"
$ExtPortFeature.SettingData.MonitorMode=2
Add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName vSwitch_Span -VMSwitchExtensionFeature $ExtPortFeature
Dove:
| Parametro | Descrizione |
|---|---|
| vSwitch_Span | Nome del commutatore virtuale creato in precedenza |
| MonitorMode=2 | Origine |
| MonitorMode=1 | Destinazione |
| MonitorMode=0 | Nessuno |
Per verificare lo stato della modalità di monitoraggio, eseguire:
Get-VMSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings" -SwitchName vSwitch_Span -ExternalPort | select -ExpandProperty SettingData
| Parametro | Descrizione |
|---|---|
| vSwitch_Span | Nome del commutatore virtuale SPAN appena aggiunto |
Configurare le impostazioni VLAN per l'adapter di monitoraggio (se necessario)
Se il traffico con mirroring è contrassegnato con VLAN, configurare l'adattatore Monitor della macchina virtuale per accettare il traffico dalle VLAN con mirroring.
Usare questo comando di PowerShell per consentire all'adattatore Monitoraggio della macchina virtuale di accettare il traffico monitorato da VLAN diverse:
Set-VMNetworkAdapterVlan -VMName VK-C1000V-LongRunning-650 -VMNetworkAdapterName Monitor -Trunk -AllowedVlanIdList 1010-1020 -NativeVlanId 10
Dove:
| Parametro | Descrizione |
|---|---|
| VK-C1000V-LungoRunning-650 | Nome appliance virtuale CPPM |
| 1010-1020 | Intervallo di VLAN dal quale viene eseguito il mirroring del traffico IoT |
| 10 | ID VLAN nativo dell'ambiente |
Altre informazioni sul cmdlet PowerShell Set-VMNetworkAdapterVlan .
Convalidare il mirroring del traffico
Dopo aver configurato il mirroring del traffico, provare a ricevere un esempio di traffico registrato (file PCAP) dal commutatore SPAN o dalla porta di mirroring.
Un file PCAP di esempio consente di:
- Convalidare la configurazione del commutatore
- Verificare che il traffico che attraversa il commutatore sia rilevante per il monitoraggio
- Identificare la larghezza di banda e un numero stimato di dispositivi rilevati dal commutatore
Usare un'applicazione di analisi di protocolli di rete, ad esempio Wireshark, per registrare un file PCAP di esempio per alcuni minuti. Ad esempio, connettere un portatile a una porta in cui è stato configurato il monitoraggio del traffico.
Verificare che nel traffico di registrazione siano presenti pacchetti Unicast. Il traffico Unicast è il traffico inviato da un indirizzo a un altro.
Se la maggior parte del traffico è costituita da messaggi ARP, la configurazione del mirroring del traffico non è corretta.
Verificare che i protocolli OT siano presenti nel traffico analizzato.
Ad esempio:
