Configurar espelhamento de tráfego com um Hyper-V vSwitch
Este artigo faz parte de uma série de artigos que descrevem o caminho de implantação para monitoramento de OT com o Microsoft Defender para IoT.
Este artigo descreve como usar o Modo promíscuo em um ambiente Hyper-V Vswitch como uma solução alternativa para configurar o espelhamento de tráfego, semelhante a uma porta SPAN. Uma porta SPAN em seu comutador espelha o tráfego local das interfaces no comutador para uma interface diferente no mesmo comutador.
Para obter mais informações, consulte Espelhamento de tráfego com comutadores virtuais.
Pré-requisitos
Antes de começar:
Certifique-se de entender seu plano de monitoramento de rede com o Defender para IoT e as portas SPAN que você deseja configurar.
Para obter mais informações, consulte Métodos de espelhamento de tráfego para monitoramento de OT.
Verificar se não há nenhuma instância de um dispositivo virtual em execução.
Verifique se você habilitou Assegurar SPAN na porta de dados do comutador virtual e não na porta de gerenciamento.
Verifique se a configuração de SPAN da porta de dados não está configurada com um endereço IP.
Configurar uma porta de espelhamento de tráfego com o Hyper-V
Abra o Gerenciador de Comutador Virtual.
Na lista Comutadores Virtuais, selecione Novo comutador de rede virtual>Externo como o tipo de adaptador de rede estendido dedicado.
Escolha Criar Comutador Virtual.
Na área Tipo conexão, selecione Rede externa e verifique se a opção Permitir que o sistema operacional compartilhe esse adaptador de rede está selecionada. Por exemplo:
Selecione OK.
Anexar uma interface virtual do SPAN ao comutador virtual
Use o Windows PowerShell ou o Gerenciador do Hyper-V para anexar uma interface virtual SPAN ao comutador virtual criado anteriormente.
Se você usar o PowerShell, defina o nome do hardware do adaptador que acaba de ser adicionado como Monitor. Se você usa o Gerenciador Hyper-V, o nome do hardware do adaptador recém-adicionado é definido como Network Adapter.
Anexar uma interface virtual SPAN ao comutador virtual com o PowerShell
Selecione o comutador virtual SPAN que acaba de ser adicionado que você configurou anteriormente e execute o seguinte comando para adicionar um adaptador de rede:
ADD-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 -Name Monitor -SwitchName vSwitch_SpanHabilite o espelhamento de porta na interface selecionada como o destino do SPAN com o seguinte comando:
Get-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 | ? Name -eq Monitor | Set-VMNetworkAdapter -PortMirroring DestinationEm que:
Parâmetro Descrição VK-C1000V-LongRunning-650 Nome do CPPM VA vSwitch_Span Nome do comutador virtual do SPAN recém-adicionado Monitorar Nome do adaptador recém-adicionado Quando terminar, selecione OK.
Anexar uma interface virtual SPAN ao comutador virtual com o Gerenciador do Hyper-V
Na lista Hardware de Gerenciadores do Hyper-V, escolha Adaptador de Rede.
No campo Comutador Virtual, selecione vSwitch_Span.
Na lista de Hardware, na lista suspensa Adaptador de Rede, selecione Aceleração de Hardware e desabilite a opção Fila de Máquina Virtual para o adaptador de rede de monitoramento.
Na lista Hardware, na lista suspensa Adaptador de Rede, escolha Recursos Avançados. Na seção Espelhamento de Porta, selecione Destino como o modo de espelhamento da nova interface virtual.
Selecione OK.
Ativar extensões de captura do Microsoft NDIS
Ative o suporte para Extensões de Captura do Microsoft NDIS para o comutador virtual criado anteriormente.
Para habilitar as extensões de captura do Microsoft NDIS para o novo comutador virtual:
Abra o Gerenciador de Comutador Virtual no host Hyper-V.
Na lista Comutadores Virtuais, expanda o nome do comutador virtual
vSwitch_Spane selecione Extensões.No campo Extensões de Comutador, selecione Captura NDIS da Microsoft.
Selecione OK.
Configurar o modo de espelhamento do comutador
Configure o modo de espelhamento no comutador virtual criado anteriormente para definir a porta externa como a fonte de espelhamento. Isso inclui configurar o comutador virtual do Hyper-V (vSwitch_Span) para encaminhar qualquer tráfego recebido na porta de origem externa para um adaptador de rede virtual configurado como o destino.
Para definir a porta externa do comutador virtual como o modo espelho de origem, execute:
$ExtPortFeature=Get-VMSystemSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings"
$ExtPortFeature.SettingData.MonitorMode=2
Add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName vSwitch_Span -VMSwitchExtensionFeature $ExtPortFeature
Em que:
| Parâmetro | Descrição |
|---|---|
| vSwitch_Span | Nome do comutador virtual criado anteriormente |
| MonitorMode=2 | Fonte |
| MonitorMode=1 | Destino |
| MonitorMode=0 | Nenhum |
Para verificar o status do modo de monitoramento, execute:
Get-VMSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings" -SwitchName vSwitch_Span -ExternalPort | select -ExpandProperty SettingData
| Parâmetro | Descrição |
|---|---|
| vSwitch_Span | Nome do comutador virtual do SPAN recém-adicionado |
Validar o espelhamento de tráfego
Após configurar o espelhamento de tráfego, tente receber um exemplo de tráfego gravado (arquivo PCAP) do comutador SPAN ou da porta de espelhamento.
Um exemplo de arquivo PCAP ajudará você a:
- Validar a configuração de comutador
- Confirmar se o tráfego que passa pelo comutador é relevante para o monitoramento
- Identificar a largura de banda e um número estimado de dispositivos detectados pelo comutador
Use um aplicativo analisador de protocolo de rede, como o Wireshark, para registrar um arquivo PCAP de exemplo por alguns minutos. Por exemplo, conecte um laptop a uma porta em que você configurou o monitoramento de tráfego.
Verifique se os pacotes unicast estão presentes no tráfego de gravação. O tráfego Unicast é o tráfego enviado do endereço para outro.
Se a maior parte do tráfego for de mensagens ARP, a configuração de espelhamento de tráfego não estará correta.
Verifique se os protocolos de OT estão presentes no tráfego analisado.
Por exemplo:
