Hyper-V vSwitch を使用してトラフィック ミラーリングを構成する
この記事は、Microsoft Defender for IoT を使用した OT 監視のデプロイ パスについて説明するシリーズ記事の 1 つです。
この記事では、SPAN ポートと同様に、トラフィック ミラーリングを構成するための回避策として、Hyper-V Vswitch 環境で "無作為検出モード" を使用する方法について説明します。 スイッチの SPAN ポートにより、スイッチ上のインターフェイスから同じスイッチ上の別のインターフェイスにローカル トラフィックをミラーリングすることができます。
詳細については、「仮想スイッチを使用したトラフィック ミラーリング」に関するページを参照してください。
前提条件
開始する前に次の操作を実行してください。
Defender for IoT を使用したネットワーク監視の計画と、構成する SPAN ポートについて理解していることを確認してください。
仮想アプライアンスのインスタンスが実行されていないことを確認します。
有効にしたのが管理ポートではなく、仮想スイッチのデータ ポート上の SPAN であることを確認します。
データ ポートの SPAN 構成が IP アドレスを使用して構成されていないことを確認します。
Hyper-V を使用してトラフィック ミラーリング ポートを構成する
仮想スイッチ マネージャーを開きます。
[仮想スイッチ] の一覧で、専用のスパン ネットワーク アダプターの種類として [新しい仮想ネットワーク スイッチ]>[外付け] の順に選択します。
[仮想スイッチの作成] を選択します。
[接続の種類] 領域で、[外部ネットワーク] を選択し、[管理オペレーティング システムによるこのネットワーク アダプターの共有を許可する] オプションが選択されていることを確認します。 次に例を示します。
[OK] を選択します。
SPAN 仮想インターフェイスを仮想スイッチに接続する
Windows PowerShell または Hyper-V マネージャーを使用して、前に作成した仮想スイッチに SPAN 仮想インターフェイスを接続します。
PowerShell を使用する場合は、新しく追加されたアダプター ハードウェアの名前を Monitor として定義します。 Hyper-V マネージャーを使用する場合は、新しく追加されたアダプター ハードウェアの名前が Network Adapter に設定されます。
PowerShell を使用して SPAN 仮想インターフェイスを仮想スイッチに接続する
前に構成した新しく追加した SPAN 仮想スイッチを選択し、次のコマンドを実行して新しいネットワーク アダプターを追加します。
ADD-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 -Name Monitor -SwitchName vSwitch_Span次のコマンドを使用して、選択したインターフェイスで、スパン先としてポート ミラーリングを有効にします。
Get-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 | ? Name -eq Monitor | Set-VMNetworkAdapter -PortMirroring Destination各値の説明:
パラメーター 説明 VK-C1000V-LongRunning-650 CPPM VA 名 vSwitch_Span 新しく追加された SPAN 仮想スイッチ名 監視 新しく追加されたアダプター名 終了したら、 [OK] を選択します。
Hyper-V マネージャーを使用して SPAN 仮想インターフェイスを仮想スイッチに接続する
Hyper-V マネージャーの [ハードウェア] の一覧で、[ネットワーク アダプター] を選択します。
[仮想スイッチ] フィールドで、[vSwitch_Span] を選択します。
[ハードウェア] の一覧の [ネットワーク アダプター] ドロップダウン リストで、[ハードウェア アクセラレータ] を選択し、監視ネットワーク インターフェイスに対する [バーチャル マシン キュー] オプションをクリアします。
[ハードウェア] の一覧の [ネットワーク アダプター] ドロップダウン リストで、[高度な機能] を選択します。 [ポート ミラーリング] セクションで、新しい仮想インターフェイスのミラーリング モードとして [宛先] を選択します。
[OK] を選択します。
Microsoft NDIS キャプチャ拡張機能を有効にする
前に作成した仮想スイッチの Microsoft NDIS キャプチャ拡張機能のサポートを有効にします。
新しい仮想スイッチの Microsoft NDIS キャプチャ拡張機能を有効にするには、次のようにします。
Hyper-V ホストで仮想スイッチ マネージャーを開きます。
[仮想スイッチ] の一覧で、仮想スイッチ名 [
vSwitch_Span] を展開し、vSwitch_Spanを選択します。[スイッチ拡張機能] フィールドで、 [Microsoft NDIS キャプチャ] を選択します。
[OK] を選択します。
スイッチのミラーリング モードを構成する
前に作成した仮想スイッチのミラーリング モードを、外部ポートがミラーリング ソースとして定義されるように構成します。 これには、外部ソース ポートに到着するすべてのトラフィックを、宛先として構成した仮想ネットワーク アダプターに転送するように、Hyper-V 仮想スイッチ (vSwitch_Span) を構成する作業が含まれます。
仮想スイッチの外部ポートをソース ミラー モードとして設定するには、次を実行します。
$ExtPortFeature=Get-VMSystemSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings"
$ExtPortFeature.SettingData.MonitorMode=2
Add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName vSwitch_Span -VMSwitchExtensionFeature $ExtPortFeature
各値の説明:
| パラメーター | 説明 |
|---|---|
| vSwitch_Span | 前に作成した仮想スイッチの名前 |
| MonitorMode=2 | source |
| MonitorMode=1 | Destination |
| MonitorMode=0 | なし |
監視モードの状態を確認するには、次を実行します。
Get-VMSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings" -SwitchName vSwitch_Span -ExternalPort | select -ExpandProperty SettingData
| パラメーター | 説明 |
|---|---|
| vSwitch_Span | 新しく追加された SPAN 仮想スイッチ名 |
トラフィック ミラーリングを検証する
トラフィック ミラーリングを構成したら、スイッチの SPAN (またはミラー) ポートから記録されたトラフィック (PCAP ファイル) のサンプルの受信を試みます。
サンプルの PCAP ファイルは、次の場合に役立ちます。
- スイッチの構成を検証する
- スイッチを通過するトラフィックが監視に関連していることを確認する
- スイッチによって検出されたデバイスの帯域幅と推定数を特定する
Wireshark などのネットワーク プロトコル アナライザー アプリケーションを使用して、サンプル PCAP ファイルを数分間記録します。 たとえば、トラフィック監視を構成したポートにノート PC を接続します。
記録するトラフィックにユニキャスト パケットがあることを確認します。 ユニキャスト トラフィックは、アドレスから別のアドレスに送信されるトラフィックです。
ほとんどのトラフィックが ARP メッセージの場合は、トラフィック ミラーリングの構成が正しくありません。
分析されたトラフィックに OT プロトコルが存在することを確認します。
次に例を示します。
