設定例 / TQのAMFアプリケーションプロキシー機能によるデバイスの制御


TQのAMFアプリケーションプロキシー機能の設定例
AWCプラグインの設定手順
AMF Securityの設定手順
ARルーターの設定手順
認証の結果


TQのAMFアプリケーションプロキシー機能の設定例

TQのAMFアプリケーションプロキシー機能の設定例です。
この例は、TQのAMFアプリケーションプロキシーホワイトリスト機能とAMFアプリケーションプロキシーブラックリスト機能の基本設定です。
AMFアプリケーションプロキシーブラックリスト機能で連携するアプリケーションは、ARルーターのAT-AR3050S/AR4050SのUTM関連機能を使用し、アクションは隔離(指定したVLANにアサイン)を設定します。
本設定例では、TQのダイナミック VLAN無効時を例にしています。ダイナミック VLAN有効時の設定で異なる箇所はNoteで説明します。
また、AMF Securityに電源断などの障害が発生した場合に新規で接続する無線端末を、VAPに設定されたVLAN IDに所属させるために、クリティカルモードを有効にします。
Note
TQのAMFアプリケーションプロキシー機能は、VAP(マルチSSID)設定のセキュリティーでWPA Enterpriseを選択した場合、ダイナミック VLANの無効・有効によって認証時の動作が異なります。動作については、クイックツアー「AMF Securityについて」/「TQのAMFアプリケーションプロキシー機能」をご参照ください。

クリティカルモードの動作については、クイックツアー「AMF Securityについて」/「TQのAMFアプリケーションプロキシー機能」の「クリティカルモード」をご参照ください。
■ 設定の流れ
TQのAMFアプリケーションプロキシー機能を使用する際の設定は、以下の流れで行います。
Note
TQのAMFアプリケーションプロキシー機能の設定は、AWCプラグインで行います。
■ 構成
本設定例では以下の構成を想定していますが、各製品の基本設定は完了しているものとします。

■ 主な基本設定
Note
各製品の設定の詳細は、それぞれの製品のマニュアルをご参照ください。
AMF SecurityとVista Manager EX/TQ/ARルーターは、同一セグメント・別セグメントを問わずIPv4通信が可能な状態にします。
■ 各製品の情報
各製品の情報を次に示します。
表 1:Vista Manager EXの情報
IPアドレス 192.168.200.150
ユーザーID manager
パスワード TopSecret0!
AWCプラグインのポート番号 5443
表 2:AMF Securityの情報
IPアドレス 192.168.200.100
表 3:ARルーターの情報
syslogメッセージ送信時の送信元IPv4アドレス vlan1インターフェースのIPアドレス(192.168.1.1)
■ 各製品の設定情報
各製品に設定する情報を次に示します。
表 4:AWCプラグインに設定する情報
項目名 設定する情報
システム設定/アクセス許可設定/AMF Security WebAPI
AMF SecurityのIPアドレス 192.168.200.100
無線設定/AP共通設定/VAP(マルチSSID)設定/詳細設定
MACアクセス制御 AMFアプリケーションプロキシー
AMFアプリケーションプロキシーサーバー Primary IPアドレス 192.168.200.100
AMFアプリケーションプロキシーサーバー Primary シークレット password
AMFアプリケーションプロキシーサーバー ポート番号 1812
クリティカルモード 有効
Note
AMFアプリケーションプロキシーサーバー ポート番号は1812のみサポートです。
表 5:AMF Securityに設定する情報
項目名 設定する情報
AMF/TQ設定
共通設定
隔離 VLAN ID 250
VistaManagerEX
Vista Manager EXのIPv4アドレス 192.168.200.150
AWCプラグインのポート番号 5443
Vista Manager EXのユーザー名 manager
Vista Manager EXのパスワード TopSecret0!
TQ
TQ5403-1のIPv4アドレス 192.168.105.100
事前共有鍵(PSK) password
TQ5403-2のIPv4アドレス 192.168.105.110
事前共有鍵(PSK) password
システム設定/トラップ監視設定/ルール
ホストアドレス 192.168.1.1
OpenFlow/TQ アクション 隔離
トラップ監視対象 選択リスト すべてにチェック
表 6:AMF Securityに登録するデバイス(無線端末)の認証情報
項目名 設定する情報
デバイス1
デバイス ID デバイス1
MACアドレス 00:00:00:00:00:01
ネットワーク(VLAN) VLAN100
デバイス2
デバイス ID デバイス2
MACアドレス 00:00:00:00:00:02
ネットワーク(VLAN) VLAN101
表 7:ARルーターに設定する情報
項目名 設定する情報
UTM関連機能のログ出力先 192.168.200.100

AWCプラグインの設定手順

  1. アクセスを許可するAMF SecurityのIPアドレスを設定します。
    AWCプラグインメニューから「システム設定」→「アクセス許可設定」の「編集」ボタンをクリックします。
    「アクセス許可設定(AMF Security WebAPI)」ダイアログが表示されます。

  2. アクセスを許可するIPアドレスにAMF SecurityのIPアドレス「192.168.200.100」を入力して、「追加」ボタンをクリックします。

  3. IPアドレスの欄に入力したIPアドレス「192.168.200.100」が表示されていることを確認して、「保存」ボタンをクリックします。

  4. 「アクセス許可設定」の「編集」ボタンの横に、設定したIPアドレス「192.168.200.100」が表示されていることを確認します。

  5. TQに割り当てたAP共通設定に、AMFアプリケーションプロキシー機能の情報を設定します。
    AWCプラグインメニューから「無線設定」→「AP共通設定」をクリックします。
    AP共通設定一覧が表示されます。

    Note
    AMFアプリケーションプロキシー機能はVAPに設定を行います。そのため、AMFアプリケーションプロキシー機能を使用するすべてのVAPに設定を行ってください。
  6. AP共通設定一覧から、編集するAP共通設定の「詳細」ボタン(虫めがねアイコン)をクリックします。
  7. AP共通設定の詳細画面が表示されます。コンテンツ欄右上の「編集」ボタンをクリックします。

  8. 設定を行う無線バンドを画面上部のボタンから選択します。
    ここでは、無線3を選択します。

  9. VAP(マルチSSID)設定のVAP一覧から設定するVAPをクリックして、詳細設定をクリックします。

  10. MACアクセス制御で「AMFアプリケーションプロキシー」を選択します。

  11. AMFアプリケーションプロキシー関連の情報を設定します。
    次の情報を設定します。
    表 8:設定データ
    項目名 設定する情報
    AMFアプリケーションプロキシーサーバー Primary IPアドレス 192.168.200.100
    AMFアプリケーションプロキシーサーバー Primary シークレット password
    AMFアプリケーションプロキシーサーバー ポート番号 1812
    クリティカルモード 有効

  12. 上記の情報を設定後、コンテンツ欄右上の「保存」ボタンをクリックします。
    設定が反映されるまでお待ちください。

    設定が反映されると、AP共通設定の詳細画面に戻ります。

  13. AP共通設定をTQに適用します。
    AWCプラグインメニューから「無線設定」→「AP登録・設定」をクリックします。
    無線APの一覧が表示されます。

  14. 無線AP「TQ5403-1」と「TQ5403-2」のチェックボックスにチェックを入れます。

  15. コンテンツ欄右上のスパナアイコンにマウスオーバーし、表示されるメニューから「設定適用」をクリックします。

  16. 「設定適用」ダイアログが表示されますので、「OK」ボタンをクリックします。

  17. 完了のメッセージが表示されたら、「閉じる」ボタンをクリックします。


  18. 「設定状態」が「最新」になっていることを確認します。

AWCプラグインの設定は以上です。

AMF Securityの設定手順

  1. 「AMF」/「TQ設定」画面を表示して、隔離 VLAN ID、Vista Manager EX、TQの情報を設定します。

  2. 共通設定の隔離 VLAN IDに隔離VLANの「250」を入力して、「登録」ボタンをクリックします。

  3. 確認のダイアログが表示されますので、「OK」ボタンをクリックします。


  4. VistaManagerEXの「追加」ボタンをクリックします。
    「VistaManagerEX 編集」ダイアログが表示されます。

  5. Vista Manager EXの情報を設定します。
    次の情報を設定します。
    表 9:設定データ
    項目名 設定する情報
    Vista Manager EXのIPv4アドレス 192.168.200.150
    AWCプラグインのポート番号 5443
    Vista Manager EXのユーザー名 manager
    Vista Manager EXのパスワード TopSecret0!

    Note
    Vista Manager EXのIPv4アドレスは、Windows版を使用する場合には、Vista Manager EXサーバーのIPアドレスを指定します。
    AT-VST-APL/AT-VST-VRT版を使用する場合は、AWCプラグインのIPアドレスを指定します。
  6. 上記の情報を設定後、「登録」ボタンをクリックします。
    確認のダイアログが表示されますので、「OK」ボタンをクリックします。


  7. TQ 一覧の「追加」ボタンをクリックします。
    「TQ 編集」ダイアログが表示されます。

  8. TQの情報を設定します。
    次の情報を設定します。
    表 10:設定データ
    項目名 設定する情報
    TQ5403-1のIPv4アドレス 192.168.105.100
    事前共有鍵(PSK) password

  9. 上記の情報を設定後、「登録」ボタンをクリックします。
    確認のダイアログが表示されますので、「OK」ボタンをクリックします。


  10. 1台目のTQと同じ手順で、2台目のTQも設定します。
    表 11:設定データ
    項目名 設定する情報
    TQ5403-2のIPv4アドレス 192.168.105.110
    事前共有鍵(PSK) password

    Note
    TQの設定はCSVファイルを使用してインポートすることができます。
    CSVファイルの書式については、リファレンス編「AMF」/「TQ設定」をご参照ください。
  11. 「システム設定」/「トラップ監視設定」画面を表示して、連携するアプリケーションとして使用するAR3050S/AR4050SのUTM関連機能のルールを設定します。

  12. ルールで「このシステムのトラップ監視を有効にします。」のチェックボックスにチェックを入れます。

  13. ARルーター、アクション、トラップ監視対象の情報を設定します。
    次の情報を設定します。
    表 12:設定データ
    項目名 設定する情報
    ホストアドレス 192.168.1.1
    OpenFlow/TQ アクション 隔離
    トラップ監視対象 選択リスト すべてにチェック

    Note
    ホストアドレスは、設定されたIPアドレスからの通知のみを受信する設定です。
    トラップ監視対象は、ここではすべてを対象にしていますが、連携はARルーターで設定されているファイアウォール/UTMになります。

    連携可能な機能については、付録「AT-AR3050S/AT-AR4050Sの設定」をご参照ください。
  14. 上記の情報を設定後、「登録」ボタンをクリックします。
    確認のダイアログが表示されますので、「OK」ボタンをクリックします。


  15. デバイス(無線端末)の認証情報を登録します。
    「ポリシー設定」/「ネットワーク一覧」画面を開き、「ネットワーク追加」ボタンをクリックして、「ネットワーク追加」画面を開きます。
    Note
    TQのVAP(マルチSSID)設定のセキュリティーでWPA Enterpriseを選択しダイナミック VLANを有効にして、WPA Enterprise側のRADIUSサーバーから付与されるVLAN IDに無線端末を所属させる場合には、ネットワークのポリシーの設定は不要です。

  16. VLAN100を登録するため、ネットワーク ID、VLAN IDを次のとおり入力して、「登録」ボタンをクリックします。
    表 13:設定データ
    項目名 設定する情報
    ネットワーク ID VLAN100
    VLAN ID 100


  17. VLAN100の登録と同じ手順で、VLAN101を登録します。
    表 14:設定データ
    項目名 設定する情報
    ネットワーク ID VLAN101
    VLAN ID 101

    ■ デバイスの登録
  18. デバイスを登録します。
    「デバイス」/「デバイス一覧」画面を開き、「デバイス追加」ボタンをクリックして、「デバイス追加」画面を開きます。

  19. 最初に登録するのは「デバイス1」です。
    デバイス IDに「デバイス1」を入力します。

  20. デバイス IDを入力したらインターフェース欄の「追加」ボタンをクリックして、「インターフェース編集」ダイアログを開きます。

  21. 同ダイアログではデバイスのMACアドレスの「00:00:00:00:00:01」を入力して、「登録」ボタンをクリックします。


  22. 次に、同デバイスにアサインするネットワークを指定するため、ポリシー欄の「追加」ボタンをクリックして、「ポリシー編集」ダイアログを開きます。
    Note
    TQのVAP(マルチSSID)設定のセキュリティーでWPA Enterpriseを選択しダイナミック VLANを有効にして、WPA Enterprise側のRADIUSサーバーから付与されるVLAN IDに無線端末を所属させる場合には、ポリシーの設定は不要です。

  23. 同ダイアログでは、ドロップダウンリストからアサインするネットワーク「VLAN100」を選択し、優先度「0」を入力して、「登録」ボタンをクリックします。


  24. デバイス IDの入力と、インターフェース、ポリシーの追加が完了したら、「登録」ボタンをクリックします。
    「デバイス」/「デバイス一覧」画面に戻ります。

  25. 「デバイス1」の登録と同じ手順で、「デバイス2」を登録します。
    表 15:設定データ
    項目名 設定する情報
    デバイス ID デバイス2
    インターフェース 00:00:00:00:00:02
    ポリシー 優先度 0
    ポリシー ネットワーク VLAN101

AMF Securityの設定は以上です。

ARルーターの設定手順

  1. logコマンドでUTM関連機能で検知された脅威情報を、syslogメッセージでAMF Securityに送信する設定を行います。
    syslogメッセージの送信元IPv4アドレスは、vlan1インターフェースに設定されているIPv4アドレスを指定します。

    Note
    log date-formatコマンドで設定するログの日時フォーマットは、 default, iso のどちらの設定でも動作可能です。
すべての製品の設定は以上です。

認証の結果

TQに接続した無線端末、AMF Securityは、登録された認証情報をもとに認証を行うようになります。
認証の結果は、「デバイス」/「接続中 デバイス一覧」画面で確認できます。

ARルーターで脅威を検知して無線端末を隔離した場合も、「デバイス」/「接続中 デバイス一覧」画面で確認できます。