Hyper-Vで仮想版Guardianを構築してみた【補足編】

 Feb 29, 2024 8:54:59 AM  株式会社テリロジー 技術統括部

こんにちは。

今回は、Hyper-Vで仮想版Guardianを構築してみた の補足編となっています。

上記記事で、「なぜこの設定をいれるのか?」というような箇所がいくつかあったと思いますが、それらをピックアップし、一つずつ解説していきます。

 

「管理オペレーティングシステムにこのネットワークアダプターの共有を許可する」

無題8-1
一つ目の管理ポート用スイッチの作成の際に、この設定にチェックを入れていました。
参考:仮想スイッチの作成

ここにチェックを入れることで、ホストOSと仮想マシンが同じネットワークアダプターを共有できます。

一つの物理NICからホストOSとGuardian(ゲストOS)に接続できると便利なので、今回はこの設定にチェックを入れました。

 

「Microsoft NDIS キャプチャ」

画像3-4
二つ目のモニターポート用スイッチの作成の際に、この設定にチェックを入れていました。
参考:仮想スイッチの作成

Microsoft NDISキャプチャは、Windows上でネットワークトラフィックをキャプチャするための機能です。ネットワークインターフェース上のトラフィックをキャプチャし、そのデータを分析するために使用されます。
これは主にネットワークのトラブルシューティングやモニタリングの目的で利用されます。

※NDISとは
Network Driver Interface Specification の略
Windowsにおけるネットワークドライバの標準規格のようなもの。

 

ミラーリング元の設定コマンド

$ExtPortFeature=Get-VMSystemSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings" $ExtPortFeature.SettingData.MonitorMode=2
Add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName モニター用仮想スイッチ名 -VMSwitchExtensionFeature $ExtPortFeature

ミラーリング元の設定をする際に、上記コマンドをPowerShellで実行していました。
参考:ポートミラーリング設定

では、これを1行ずつ解説していきます。

1行目

$ExtPortFeature=Get-VMSystemSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings"

$ExtPortFeature=
これは、次の拡張ポート機能に関連する情報を変数に格納することを表します。

Get-VMSystemSwitchExtensionPortFeature
この部分は、Hyper-V の仮想スイッチの拡張ポート機能に関連する情報を取得するためのコマンドです。このコマンドを実行すると、仮想スイッチの拡張ポートの設定や機能にアクセスできます。

-FeatureName “Ethernet Switch Port Security Settings”
これは、特定の拡張ポート機能を指定するためのオプションです。
この場合、「Ethernet Switch Port Security Settings」という名前の拡張ポート機能に関連する情報を取得します。

※拡張ポートとは
拡張ポートは、仮想スイッチの機能を拡張するために使用されます。これにより、仮想マシンのネットワーク接続やセキュリティ設定をカスタマイズできます。(ポートミラーリングの設定など)

2行目

$ExtPortFeature.SettingData.MonitorMode=2

これは、1行目で指定した拡張ポート機能の設定データを変更するための行です。
ここでは、ミラーモードを2に設定しています。ミラーモードは、トラフィックの監視や分析に使用されます。

※ミラーモードの数字の意味
0=設定無し
1=送信先
2=送信元

3行目

Add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName モニター用仮想スイッチ名 -VMSwitchExtensionFeature $ExtPortFeature

この行は、これまでで設定した拡張ポート機能を仮想スイッチに追加するためのコマンドです。

-ExternalPort
外部ポート(外部ネットワークに繋がるところ)を指定しています。
無題44

-SwitchName
モニター用仮想スイッチの名前を指定しています。
今回は「vSwitch_monitor」というモニターポート用スイッチの名前を引数に渡しました。

-VMSwitchExtensionFeature
拡張ポート機能を指定しています。
1,2行目で設定した「$ExtPortFeature」を引数に渡しています。

 

「仮想マシンキューを有効にする」

無題20
ミラーリング先の設定をする際に、この設定のチェックを外していました。
参考:ポートミラーリング設定

※仮想マシンキュー (VMQ) とは
VMQは、ネットワークトラフィックの処理を高速化するための技術です。物理ネットワークアダプタが複数の仮想マシンにトラフィックを配信する際、VMQは各仮想マシンに対して専用のキューを提供します。これにより、トラフィックの処理が効率的に行われます。

仮想マシンキューが有効になっている場合、物理ネットワークアダプタはトラフィックを直接仮想マシンに配信します。一方、ポートミラーリングはトラフィックを別のポートにミラーリングするという動作をするため、仮想マシンキューが介在することでポートミラーリングが妨げられることがあります。

今回、Hyper-vでGuardianを構築するにあたり、ポートミラーリングの設定を行う必要がありましたので、「仮想マシンキュー」は無効にしました。

 

以上で解説を終わります。


RECENT POST「Nozomi Networks」の最新記事


Nozomi Networks

Nozomi Arc Embeddedで重要なOT資産の保護!

Nozomi Networks

Nozomi Networks VantageにSAMLでシングルサインオン(SSO)してみた

Nozomi Networks

NIST SP 800-171とは ~OTセキュリティにおけるフレームワーク深掘り~

Nozomi Networks

CrowdStrikeの障害ーNozomiのブログ抄訳版

Hyper-Vで仮想版Guardianを構築してみた【補足編】