保留になっていた家庭内LANのパケットキャプチャーですが、このたび、ポートミラーリング機能に対応したレイヤー2スイッチングハブを安価で購入できました。
ポートミラーリング機能は、インテリジェントスイッチングハブやルータなどにしか搭載されておらず、インテリジェントクラスは通常ビジネス用途で使用することから、その価格は高価でした。(安価な製品で2万円台)
今回、Amazonで検索してみると約5,800円で販売がありましたので、迷わず購入しました。
購入したのは、「Netgeear GS108E-100JPS」です。
この製品はNetGear社のProSafe Plusシリーズの機種です。
※Plusがついていると、ポートミラーリングやVLANなどのインテリジェント機器相当のネットワーク管理機能が実装されているようです。
※ProSafeシリーズに少しお金をPlusすると、ネットワーク管理機能が付くという意味らしいです。
※送られてきた本体はGS108E v2でした。(他にGS108E v1があるようです)
ProSafe Plusユーティリティ
一般的なスイッチの機能のみであれば、ネットワークに接続するだけで使用可能ですが、それ以外のProSafe Plusの機能については、PCから専用ユーティリティを使用して設定する必要があります。
その専用ユーティリティが「ProSafe Plus ユーティリティ」です。
とりあえずは、付属しているCDからソフトウェアをインストールできます。
「ProSafe Plus ユーティリティ」をインストールすると、「WinPcap」と「Adobe Air」もインストールされます。
CDを使ったインストールでは、「Adobe Air」が正常に動作しませんでしたが、特に設定作業には影響はありませんでした。
※CDのProSafe Plus Configuration Utilityはv2.2.14でした。
※「Netgeear GS108E-100JPS」自体がDHCPクライアントに設定されているので、IPアドレスが付与されていれば通信が可能なはずですが、設定ユーティリティはルータ越しの機器を検出できません。
ProSafe Plusユーティリティ起動時の画面
※PCとスイッチが同一ネットワーク上にある(ルータ越しでない)場合のみ検出可能です。
※境界ネットワークに接続したスイッチに対し、内部ネットワークに接続したPCでユーティリティーを起動した際の画面ですので、スイッチを検出できていません。
ProSafe Plus ユーティリティのバージョンアップ
NetGearのサイトから最新版(ProSafe Plus Configuration Utility v2.2.25)をインストールするとAdobe Airが正常に動作しました。
※インストーラは古いバージョンの削除に対応していますのでダウンロードしたプログラムを実行すればOKです。
ファームウェアの更新
送られてきたときのファームウェアバージョンは、「1.00.03」だったと思います。
現在の最新版は「1.00.10」です。
※ファームウェアを最新版にすると、パスワードが暗号化され保存されるため、v2.2.24以降のProSafe Plusユーティリティでないとログインができなくなります。
ポートミラーリングの設定
多vs1の設定が可能ですが、デフォルトでは無効に設定されています。
転送元ポートはスイッチの1~8の中から複数を選択できます。
転送先ポートはスイッチの1~8の中から1つを選択します。
とりあえず、ポートミラーリング機能搭載のスイッチを入手できたので、パケットキャプチャ用のThinkPad X21にFreeBSDを再インストール中です。
ProSafe Plusユーティリティは、使用頻度は初期設定時のみだと思うので、WinPcapやらAdobe Airなど普段使用しないソフトウェアがインストールされてしまうため、ポートミラーリングの動作が確認できたらアンインストールする予定です。
PR-200NEでIPフィルター設定を行っていますが、それが正しく動作しているのか(許可されたパケット)を確認するすべがありませんでした。また、インターネットからWHS2011へアクセスできるようにしているため、これまで以上にインターネットから不正なアクセスが行われる可能性が高まっています。
ポートミラーリング対応スイッチをPR-200NEとWZR-600DHPの間(境界ネットワーク)に接続したことで、やっとインターネット側から入ってくるパケットを監視できる環境が整いました。
これでインターネット側から入ってくるパケットを正確に確認できるので、IPフィルターの設定をブラッシュアップできそうです。
ThinkPad X21(Type2662-54J)ではGUI環境を起動しただけでかなり重く、WireSharkでパケットキャプチャを開始するとマウス操作ができ なくなるほどでかなり厳しいです。
リアルタイム監視はあきらめてCUI環境でパケットを一旦キャプチャした後、解析するか、メインPCにWindows 版WireSharkを導入してリアルタイム監視をするかの選択になりそうです。
画面に流れるログを観ていて気になったのが、TDSプロトコルのパケット が流れていたことです。
データベースサーバはいないはずだけどもWHS2011でなにかしていたかなぁ、もしかして、SkyDriveの同期かな?
