Slide 1

Slide 1 text

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. https://www.progrive.co.jp https://www.progrive.co.jp 株式会社プログライブ コンサルティング Kazuyuki Sakemi (酒見 一幸) Microsoft の ZTNA をちょっと紐解いていく 2025/05/10 1

Slide 2

Slide 2 text

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. はじめに \\\ Global Azure 開催おめでとうございます! /// \\\ Congrats!! > new Microsoft MVPs /// \\\ 3 箇所での同時開催すごい /// \\\ 内容は後半かなり難しいかもです ///

Slide 3

Slide 3 text

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. https://twitter.com/_skmkzyk Summary Azure を中心とした開発や運用自動化のスペシャリストとして、 日系・外資系 SIer や日本マイクロソフトを経験し、現職にて活躍中。 独法や文教業界を中心に、要件定義から設計構築、NW/SV/アプリ 運用までの幅広いプロジェクトに従事。日本マイクロソフトでは、顧客の コスト最適化や人材育成に向けたコンサルティングを中心に、ビジネスの 加速に貢献。2024年08月より Microsoft MVP for Azure。 自己紹介 https://zenn.dev/skmkzyk https://atbex.attokyo.co.jp/blog/001013001/ 酒見 一幸 (Kazuyuki Sakemi) from 株式会社プログライブ コンサルティング https://speakerdeck.com/skmkzyk

Slide 4

Slide 4 text

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Microsoft MVP でしてー 6 ◼ Most Valuable Professionals ⁻ Most Valuable Player ではなく、Professional です! ⁻ ブログ書いたり、登壇したり、QA に回答したり、イベント主催したり、コミュニティやったりしてる人たちの集まり ⁻ いろいろ benefit がある (Azure のサブスクリプションがもらえたりいろいろもらえる)

Slide 5

Slide 5 text

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. 7 ゼロトラスト、してますか?

Slide 6

Slide 6 text

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. ゼロトラストネットワークアーキテクチャーと Microsoft の Global Secure Access

Slide 7

Slide 7 text

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. ゼロトラストネットワークアーキテクチャーへの流れ 9 アプリケーション クライアント 社内ネットワーク 社内ネットワーク 社外 クライアント クライアント SaaS 社内外の区別なし SaaS クライアント VPN アプリケーション 過去 (でありたい) 今 (ほとんどの企業がたぶんこれ) 未来 (Microsoft とか)

Slide 8

Slide 8 text

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. ゼロトラストネットワークアーキテクチャー導入の動機 10 1. コロナ禍をきっかけとしたリモートワークの推進 ⁻ 最近オフィス回帰もかなり進んでいる気がしますが。 2. 従来型の境界型防御からの脱却 ⁻ ファイアウォール、IPS/IDS、、、などが複雑になってきた ⁻ 社内からのアクセスでも社外からのアクセスでも同じポリシーを適用したい 3. VPN 脱却 ⁻ 一部のベンダーの VPN 機器で脆弱性が多く見つかっている ⁻ アップデートを適用せずセキュリティ事故につながったケースも少なくない ⁻ VPN ってもともとは緊急用だったのにみんなが使うようになるとキャパシティーが全然足りない クラウド型なら実質無限のキャパシティーがある 4. そのほかにも、、、?

Slide 9

Slide 9 text

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. 転職するにも “リモート可” や “フルリモート可” という文字列の魅力がある (よね) 11

Slide 10

Slide 10 text

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. アプリケーション とはいえ社内システムは残っており、ZTNA により対応する必要がある 13 ◼ VPN フリーで社内アプリケーションにアクセスする仕組み ⁻ Zero Trust Network Access (ZTNA) ⁻ Microsoft Entra Private Access (MEPA) が該当するサービス ◼ クラウド上のネットワークを経由してアクセス ⁻ Secure Service Edge = SSE ⁻ アクセス先のアプリケーションごとに ユーザの許可・拒否を制御できるように 宛先アプリケーションに加えて、 もう一枚認証のレイヤーを追加できる ⁻ 宛先のアプリケーションの変更なく 多要素認証 (MFA) を追加できる Application proxy と似たような機能 社内外の区別なし SaaS クライアント 社内ネットワーク Secure Service Edge

Slide 11

Slide 11 text

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. ZTNA のイメージ 14 MSFTGUEST (10.60.212.0/22) 社内ネットワーク (192.168.10.0/24) MSFTGUEST (10.60.212.0/22) 社内ネットワーク (192.168.10.0/24) 通信できない エージェントを入れる コネクターを置く

Slide 12

Slide 12 text

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. 社内アプリケーションといえば 15 ◼ 単一ラベル ドメインが残っている環境もあるのでは ⁻ 単一ラベル ドメイン = SLD、FQDN ではないもの 単一ラベル ドメインの Microsoft サポート - Windows Server | Microsoft Learn http://app-ui/login とか http://server01/share/photos/2025/04/report.html みたいなやつ ⁻ FQDN = Fully Qualified Domain Name、完全修飾ドメイン名 (細かい定義はさておき) hoge.example.jp のように .co.jp とか .com で終わるようなもの MSFTGUEST 社内ネットワーク

Slide 13

Slide 13 text

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. SLD と Microsoft Entra Private Access

Slide 14

Slide 14 text

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Microsoft Entra Private Access と SLD の組み合わせ 17 ◼ SLD を使ったアクセスは Microsoft Entra Private Access で考慮されてそう ⁻ (先日の勉強会でなんかできないんだよね、、と言っていたところだった) ⁻ (コネクターサーバーが AD 参加していなかったりいろいろと確認が足りていなかったのが敗因の一つ) ⁻ その実際の仕組みがとても奥深いのでご紹介したい https://learn.microsoft.com/en-us/entra/global-secure-access/concept-private-name- resolution#single-label-domain-sld-resolution

Slide 15

Slide 15 text

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. (前提知識) prefix と suffix 18 ◼ prefix ⁻ なんか “前” っぽいイメージのやつ ⁻ prefix (“vm”) + 連番 = vm01、vm02、vm03、、、 ◼ suffix ⁻ “後” っぽいイメージのやつ ⁻ ↑ のやつ + suffix (“example.local”) = vm01.example.local、vm02.example.local、vm03.example.local ◼ Windows のインターフェース設定の奥深くにサフィックスに関する設定がある

Slide 16

Slide 16 text

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Windows 上の 2 種類の DNS サフィックス 19 ◼ DNS サフィックス検索一覧 ◼ 接続固有の DNS サフィックス PS C:\Users\KazuyukiSakemi> ipconfig /all Windows IP Configuration Host Name . . . . . . . . . . . . : DESKTOP-XXXXXXX Primary Dns Suffix . . . . . . . : Node Type . . . . . . . . . . . . : Hybrid IP Routing Enabled. . . . . . . . : No WINS Proxy Enabled. . . . . . . . : No DNS Suffix Search List. . . . . . : xxxxxxxx-xxxx-xxxx-xxxx-f503e7611871.globalsecureaccess.local PS C:\Users\KazuyukiSakemi> ipconfig /all Wireless LAN adapter Wi-Fi: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Intel(R) Wi-Fi 6E AX211 160MHz こっちは無い これ

Slide 17

Slide 17 text

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. (余談) 接続固有の DNS サフィックス 20 ◼ RFC 3397 で定義される DHCP の option 119 で設定できるらしい ⁻ https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000saawCAA&lang=ja ⁻ バイト列で指定が必要そうでめんどそう ⁻ 255 文字が最長だが、圧縮ポインターを使うと結構いっぱい書けるっぽい

Slide 18

Slide 18 text

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. MEPA + Private DNS 利用時の DNS サフィックス検索一覧 21 ◼ Private DNS を有効化すると、 DNS サフィックス検索一覧 にドメインが追加される ⁻ エンタープライズ アプリケーションの Application (client) ID に紐づいたドメインが付与される ⁻ xxxxxxxx-xxxx-xxxx-xxxx-f503e7611871.globalsecureaccess.local など ◼ インターフェースのプロパティ > IPv4 のプロパティ > advanced > DNS のところに追加される

Slide 19

Slide 19 text

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. (余談) xxxxxxxx-xxxx-xxxx-xxxx-f503e7611871.globalsecureaccess.local は 22 ◼ 該当の GUID を Entra admin center で検索すると Enterprise application が一致した ⁻ Quick Access で利用しているので、いまのところテナントごとに 1 つになると思われる

Slide 20

Slide 20 text

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. SLD の名前解決の流れ (途中まで) 23 ad01 に行きたい DNS サフィックスリストを参照し “ad01.xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx.globalsecureaccess.local” を名前解決しようとする インターフェースに設定された DNS サーバーに従って・・・?

Slide 21

Slide 21 text

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Name Resolution Policy Table (NRPT) 24 ◼ “*.example.co.jp” だったら DNS サーバーは x.x.x.x に向ける、みたいな ⁻ AD サーバーの条件付きフォワーダーの、 Client OS 版みたいな ⁻ 参考: Windows Client OS で条件付きフォワーダー的なことをやってみる https://zenn.dev/skmkzyk/articles/conditional-forwarder-on-client ⁻ 参考: AD 参加してる一部のマシンに条件付きフォワーダーを設定するみたいなやつ https://zenn.dev/skmkzyk/articles/selective-conditional-forwarder-ad ◼ 2 つの PowerShell コマンドがある ⁻ Get-DnsClientNrptPolicy GPO で設定されたものを表示する ⁻ Get-DnsClientNrptRule GPO で設定されたものと手動で設定したものを合わせて表示する

Slide 22

Slide 22 text

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. MEPA + Private DNS 利用時の NRPT 25 ◼ “DNS サフィックス検索一覧” の設定に加え、NRPT にも設定が追加される ⁻ Get-DnsClientNrptPolicy ⁻ Get-DnsClientNrptRule ⁻ どちらのケースでも 6.6.255.254 に名前解決するような設定となっている PS C:\Users\KazuyukiSakemi> Get-DnsClientNrptRule | ft -AutoSize Namespace DA DADnsServers DnsSec NameServers NameEncoding --------- -- ------------ ------ ----------- ------------ {.xxxxxxxx-xxxx-xxxx-xxxx-f503e7611871.globalsecureaccess.local} False False 6.6.255.254 Disable {.wpad.xxxxxxxx-xxxx-xxxx-xxxx-f503e7611871.globalsecureaccess.local} False False Disable PS C:\Users\KazuyukiSakemi> Get-DnsClientNrptPolicy | ft -AutoSize Namespace DA DADnsServers DnsSec NameServers NameEncoding --------- -- ------------ ------ ----------- ------------ .wpad.xxxxxxxx-xxxx-xxxx-xxxx-f503e7611871.globalsecureaccess.local False Utf8WithoutMapping .xxxxxxxx-xxxx-xxxx-xxxx-f503e7611871.globalsecureaccess.local False 6.6.255.254 Utf8WithoutMapping wpad は proxy の自動設定的なやつ なので今回はあんまり関係ない

Slide 23

Slide 23 text

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. SLD の名前解決の流れ (途中まで) 26 ad01 に行きたい DNS サフィックスリストを参照し “ad01.xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx.globalsecureaccess.local” を名前解決しようとする NRPT に合致するので指定された DNS サーバーである 6.6.255.254 に名前解決を依頼する 6.6.255.254 とは・・・?

Slide 24

Slide 24 text

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Whois を引いてみる 27 ◼ US Army Information Systems Command = 米陸軍ネットワーク ⁻ よくわからん。。。。 $ whois 6.6.255.254 NetRange: 6.0.0.0 - 6.255.255.255 CIDR: 6.0.0.0/8 OrgName: Headquarters, USAISC OrgId: HEADQU-3 Address: NETC-ANC CONUS TNOSC City: Fort Huachuca StateProv: AZ PostalCode: 85613 Country: US RegDate: 1990-03-26 Updated: 2025-03-13 Ref: https://rdap.arin.net/registry/entity/HEADQU-3

Slide 25

Slide 25 text

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. (余談) 1.1.1.1 から 9.9.9.9 の持ち主 (ChatGPT 調べ…) 28 IP アドレス 組織名 用途例 1.1.1.1 Cloudflare / APNIC パブリック DNS 2.2.2.2 Orange S.A.(フランス) ISP(オレンジ) 3.3.3.3 Amazon Technologies Inc. AWS インフラ 4.4.4.4 Level 3 (現 Lumen) ISP 5.5.5.5 E-Plus Mobilfunk GmbH(ドイツ) ISP 6.6.6.6 US Army Information Systems Command 米陸軍ネットワーク 7.7.7.7 DoD Network Information Center(米国防総省) 政府ネットワーク 8.8.8.8 Google LLC パブリック DNS 9.9.9.9 Quad9(非営利団体) セキュア DNS • Cloudflare は Malware Blocking Only として 1.1.1.1/1.0.0.2、 Malware and Adult Content Blocking Together として1.1.1.3/1.0.0.3 も提供している (https://one.one.one.one/family/) • Google は 8.8.8.8 のほかに 8.8.4.4 でも同様のサービスを展開している (https://developers.google.com/speed/public-dns/)

Slide 26

Slide 26 text

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. 6.6.255.254 とは 29 ◼ Microsoft Learn より ⁻ プライベート DNS を使用すると、状況がさらに興味深くなります。構成されたプライベート DNS サフィックスごとに、 Global Secure Access クライアントは、これらのクエリを合成 IP (通常は 6.6.255.254) に向ける名前解決ポリシー テーブル (NRPT) ルールを追加します。NRPT を使用すると、指定された名前空間に対して指定された DNS サーバー への名前解決リクエストルーティングを構成できます。これは、これらのリクエストをコンピュータのネットワークアダプタに 構成された DNS サーバーに送信するというデフォルトの動作を上書きします。 ⁻ つまり、MEPA の内部で処理される特別な IP ⁻ (とはいえほんとに米陸軍ネットワークに通信したいとき 困らないのかしら…) https://learn.microsoft.com/en- us/entra/global-secure- access/troubleshoot-app-access

Slide 27

Slide 27 text

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. SLD の名前解決の流れ 30 ad01 に行きたい DNS サフィックスリストを参照し “ad01.xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx.globalsecureaccess.local” を名前解決しようとする NRPT に合致するので指定された DNS サーバーである 6.6.255.254 に名前解決を依頼する 6.6.255.254 宛ての DNS 要求はなんやかんやあってコネクターに飛んでいき、そこらへんで名前解決される ドメイン環境のサフィックスが自動補完されて名前解決が完了する 解決されたプライベート IP アドレスが通常の MEPA の経路に沿って通信ができるようになる コネクターサーバーの AD 参加は Private DNS の必須要件

Slide 28

Slide 28 text

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Connector 側の DNS サフィックス検索一覧 31 ◼ 今回は PoC のため AD + Connector 同居構成です PS C:\Users\Administrator> ipconfig /all Windows IP Configuration Host Name . . . . . . . . . . . . : ad01 Primary Dns Suffix . . . . . . . : corp.xxxxxxxx.progrive.co.jp Node Type . . . . . . . . . . . . : Hybrid IP Routing Enabled. . . . . . . . : No WINS Proxy Enabled. . . . . . . . : No DNS Suffix Search List. . . . . . : corp.xxxxxxxx.progrive.co.jp flets-east.jp iptvf.jp PS C:\Users\Administrator> Resolve-DnsName ad01 -Type A Name Type TTL Section IPAddress ---- ---- --- ------- --------- ad01.corp.xxxxxxxx.progrive.co.jp A 1200 Question 192.168.10.21

Slide 29

Slide 29 text

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. SLD でのリモートデスクトップ接続 32 ◼ “ad01” を指定しただけで、前述のなんやかんやがあって接続ができる

Slide 30

Slide 30 text

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. nslookup は何をするコマンドか

Slide 31

Slide 31 text

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. nslookup と Resolve-DnsName の比較 35 ◼ nslookup → 引けない ◼ Resolve-DnsName → 引ける PS C:\Users\KazuyukiSakemi> nslookup ad01 Server: dns.google Address: 8.8.8.8 *** dns.google can't find ad01: Non-existent domain PS C:\Users\KazuyukiSakemi> Resolve-DnsName ad01 -Type A Name Type TTL Section IPAddress ---- ---- --- ------- --------- ad01.xxxxxxxx-xxxx-xxxx-xxxx-f503e7611871.glob A 1190 Answer 192.168.10.21 alsecureaccess.local

Slide 32

Slide 32 text

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. nslookup は何をするコマンドか 36 ◼ 名前解決をするコマンド → ちょっと不正確 ◼ 正確には、”指定された DNS サーバーに名前解決のリクエストを送る” コマンド ⁻ なので hosts ("C:\Windows\System32\drivers\etc\hosts“) を見ない ⁻ NRPT も効かない ◼ NRPT が効かない理由 ⁻ 要求されたドメインが NRPT に合致するかを見て、宛先の DNS サーバーを選んで要求を送る ⁻ nslookup は “DNS サーバーを先に選んでから要求を送る” コマンド ⁻ なので NRPT に従わない ⁻ hosts を見ないのもほぼ同じ理由

Slide 33

Slide 33 text

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. nslookup の代わりに何を使うべきか 37 ◼ Resolve-DnsName ⁻ (たぶん OS のスタブリゾルバーに名前解決を依頼するコマンドのはず) ⁻ (Edge や Chrome などが名前解決するのと同じような動きをするはず) ⁻ なので hosts や NRPT が反映された名前解決の結果が返ってくる ◼ ping ⁻ 正確な代替にはならないが、Resolve-DnsName のように OS の名前解決の機能を使うので同様に動く ⁻ ping は返ってこなくてもよく、1 行目に出てくる名前解決の結果だけを参考にする PS C:\Users\KazuyukiSakemi> ping ad01 Pinging ad01.xxxxxxxx-xxxx-xxxx-xxxx-f503e7611871.globalsecureaccess.local [192.168.10.21] with 32 bytes of da Control-C

Slide 34

Slide 34 text

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. nslookup の代わりに何を使うべきか (contd.) 38 ◼ Test-NetConnection ⁻ 細かい名前解決の流れはわからないが、とりあえずどのプライベート IP に解決されたかは分かる ⁻ また、TCP のレベルで通信ができるかも分かる (ファイアウォールとかもろもろの設定含めて簡単な疎通確認にも) PS C:\Users\KazuyukiSakemi> Test-NetConnection ad01 -Port 3389 ComputerName : ad01 RemoteAddress : 192.168.10.21 RemotePort : 3389 InterfaceAlias : Wi-Fi SourceAddress : 192.168.179.2 TcpTestSucceeded : True

Slide 35

Slide 35 text

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. ちなみに nslookup でうまく解決させるためには 39 ◼ nslookup で 6.6.255.254 にクエリを投げる PS C:\Users\KazuyukiSakemi> nslookup -type=a ad01 6.6.255.254 DNS request timed out. timeout was 2 seconds. Server: UnKnown Address: 6.6.255.254 Name: ad01.19faf966-594a-4145-bdec-f503e7611871.globalsecureaccess.local Address: 192.168.10.21 https://learn.microsoft.com/en-us/entra/global-secure-access/troubleshoot- app-access

Slide 36

Slide 36 text

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Wireshark でもトラシューできない

Slide 37

Slide 37 text

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. GSA のクライアントは LWF フィルターを利用 41 ◼ NDIS lightweight filter (LWF) driver ⁻ 一般的な VPN は専用のインターフェースが作成されるが GSA はインターフェースを作成せず、 フィルターを利用してパケットを処理している route print してもあまりトラブルシュートにつながらない ⁻ 一つ下に見えている NPCAP は Wireshark が利用しているもの ⁻ 参考: Microsoft Entra Private Access はどうやって パケットを曲げているのか (分からんかった) https://zenn.dev/skmkzyk/articles/me-private-access-routing ◼ Wireshark と GSA の処理はどちらが優先される・・・? ⁻ Wireshark: パケットを見るだけ ⁻ GSA: パケットをカプセル化して SSE に送ったりしている

Slide 38

Slide 38 text

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. inf ファイルに書かれている FilterClass が重要 42 ◼ "C:\Program Files\Global Secure Access Client\GlobalSecureAccessDriver.inf“ ◼ "C:\Program Files\Npcap\npcap.inf" ; Set the FilterClass here. The FilterClass controls the order in which ; filters are bound to the underlying miniport. Possible options include: ; Custom, Diagnostic, Failover, Loadbalance, Vpn, Compression, Encryption, Scheduler ; See MSDN for a description of each. HKR, Ndi,FilterClass,, scheduler ;------------------------------------------------------------------------- ; Ndi installation support for the standard filter ;------------------------------------------------------------------------- [FilterStandard.reg] HKR, Ndi,Service,,%NPF_Filter_Name_Standard% HKR, Ndi,CoServices,0x00010000,%NPF_Filter_Name_Standard% HKR, Ndi,HelpText,,%NPF_HelpText_Standard% HKR, Ndi,FilterClass,, compression

Slide 39

Slide 39 text

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. FilterClass の処理順序 43 Value Description scheduler Packet scheduling filter service. This class of filter driver is the highest-level driver that can exist above encryption class filters in a driver stack. A packet scheduler detects the 802.1p priority classification that is given to packets by quality of service (QoS) signaling components and the scheduler sends those packets levels to underlying drivers according to their priority. encryption Encryption class filter drivers exist between scheduler and compression class filters. compression Compression class filter drivers exist between encryption and vpn class filters. vpn VPN class filter drivers exist between compression and load balance filter drivers. loadbalance Load balancing filter service. This class of filter driver exists between packet scheduling and failover drivers. A load balancing filter service balances its workload of packet transfers by distributing the workload over its set of underlying miniport adapters. failover Failover filter service. This class of filter driver exists between load balance and diagnostics drivers. diagnostic Diagnostic filter drivers exist below failover drivers in the stack. custom Filter drivers in custom class exist below diagnostic drivers. provider_address Provider address filter drivers exist below the in-box Hyper-V Network Virtualization ms_wnv filter and operate on provider address (PA) packets. https://learn.microsoft.com/en-us/windows-hardware/drivers/network/configuring-an-inf-file-for-a-modifying-filter-driver GSA Wireshark 先 後

Slide 40

Slide 40 text

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. GSA のインストール前後での違い 44 上の方のレイヤー (アプリケーション) がデータを送りたい パケットが作られてレイヤーが下りてくる Wireshark がパケットの情報を見る (見るだけでそのまま) NIC からパケット (フレーム) が飛んでったり返ってきたりする 上の方のレイヤー (アプリケーション) がデータを送りたい パケットが作られてレイヤーが下りてくる GSA が該当するパケットを TLS でくるんで SSE に送る Wireshark で見たいけど宛先変わってるし TLS で見えない GSA で変わってしまった宛先に NIC から飛んでいく Wireshark が最終手段にならない

Slide 41

Slide 41 text

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Microsoft Learn より 45 TCP/UDP Wireshark Wi-Fi TCP/UDP GSA Wireshark Wi-Fi たぶんこんなイメージで GSA のインストール後 こうなる https://learn.microsoft.com/en-us/windows-hardware/drivers/network/ndis-filter-drivers ここでカプセル化 TLS で見えない いろいろ見れる 見てるだけなので 影響はない

Slide 42

Slide 42 text

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Wireshark では GSA の詳細なパケットは見れない 46 ◼ GSA のレイヤーで TLS のトンネルを張っている ⁻ 6.6.255.254 宛てのパケットを実際の TLS の終端 IP アドレス宛のトンネルでカプセル化的なものをやっているはず ⁻ Wireshark で 6.6.255.254 宛てのパケットを見ようと思っても何も見えない ◼ そこで、GSA Client の Advanced log collection を利用する ⁻ Zip ファイルが出てくるが、その中に NetworkTrace.pcap があり、これを Wireshark で開ける ⁻ https://microsoft.github.io/GlobalSecureAccess/Troubleshooting/GSAClientLogging/ ↑ みたいに Microsoft Learn のほかに、公式っぽい、いい感じの資料があるのがうーん

Slide 43

Slide 43 text

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. GSA Client 47 ◼ Advanced log collection ⁻ “Start recording” して、 再現のための作業して、 止めるだけ ⁻ 右上の “フォルダー” アイコンから 別の log を import できる 事象発生するマシンと、 解析するマシンが別でもいい ⁻ が、そもそも → を開くのに 管理者権限がいる。。。

Slide 44

Slide 44 text

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. etl ファイル読み込みイメージ 48

Slide 45

Slide 45 text

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Microsoft Entra Internet Access と 2 種類の proxy と PAC ファイル To be continued…

Slide 46

Slide 46 text

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. 56 会社名 株式会社プログライブコンサルティング [ProGrive Consulting Co., Ltd.] お問い合わせ [email protected] ~ Expand Your Business ~ ~ビジネスの成長、新たな機会の追求、そして未来を切り開く~