クイックツアー / アクションの登録


アクションとは
アクションの登録


アクションとは

AMF Securityには、デバイス認証データや未認証グループによる処理とは別に、特定の条件を満たすデバイスを個別に隔離、遮断、または、デバイス認証データの登録と異なるネットワークへの接続を行う、アクションと呼ばれる認証ルールがあります。
連携アプリケーションを利用する場合は、連携アプリケーションによる指示に基づいてアクションが動的に生成、処理されます。
また、連携アプリケーションを介さず、アクションを個別に作成することもできます。
OpenFlowではいずれの場合も、アクションはデバイス認証データや未認証グループより優先して処理されます。
AW+のAMFアプリケーションプロキシーでは、アクションが登録された際にプロキシーノードへ通知され、プロキシーノード、エッジノード側で処理されます。
TQのAMFアプリケーションプロキシーでは、OpenFlowと同様にアクションはデバイス認証データや未認証グループより優先して処理されます。
アクションの条件には、以下の項目を指定できます。
条件を満たした場合、OpenFlowおよびTQのAMFアプリケーションプロキシー機能では、デバイスの接続を通過(許可)、隔離、破棄(遮断)のうち、指定されたOpenFlow/TQアクションを実行します。この際、通過先、または隔離先のVLAN IDを指定できます。
AW+のAMFアプリケーションプロキシーブラックリスト機能では、AMFアクションがプロキシーノードへ通知されます。
AMFアクションに「IPフィルター」を指定する場合は、デバイスIPv4アドレスの指定が必要です。

アクションの登録

アクションを個別に作成する場合の例を示します。
アクションの登録は、「ポリシー設定」/「アクション追加」画面にて行います。
今回は、未認証グループにゲストネットワークを提供するOpenFlowスイッチ「AT-TQ4400」に接続されたMACアドレス「00:00:5E:00:53:01」のデバイスから不審なパケットの送出があったため、このデバイスの通信を遮断する場合を例にします。
  1. 「ポリシー設定」/「アクション一覧」画面に移動します。

    この画面には、AMF Securityに登録されているアクションの一覧が表示されます。この時点ではアクションは登録されていません。
  2. 「ポリシー設定」/「アクション一覧」画面の右上の「アクション追加」ボタンをクリックし、「ポリシー設定」/「アクション追加」画面に移動します。

  3. 登録するアクションの情報を入力します。

    ここでは、例として、次の情報を入力します。
    表 1:設定データ
    項目名 設定する情報 説明
    アクション ID(必須項目) 不審デバイス遮断 AMF Securityに登録するアクションのIDです。
    既に使用されているアクションIDを設定することはできません。
    アクションIDは最大255文字で、英数字、記号以外に日本語も使用できます。
    優先度 10 アクションの優先度です。1~65535の数字で入力します。
    同時に条件を満たすアクションが存在する場合、より小さい値が割り当てられたアクションが優先して適用されます。
    値を省略した場合は10が設定されます。
    原因 ポートスキャン アクションの原因、適用理由など、管理上の情報を登録します。
    原因は最大255文字で、英数字、記号以外に日本語も使用できます。
  4. アクションの条件を入力します。

    ここでは、例として、デバイスのMACアドレスを条件に指定します。
    表 2:設定データ:条件
    項目名 設定する情報 説明
    デバイス MAC アドレス 00:00:5E:00:53:01 アクションの対象とするデバイスのユニキャストMACアドレスを指定します。
    MACアドレスの表記として使用可能なフォーマットは下記となります。
    xx:xx:xx:xx:xx:xx, xx-xx-xx-xx-xx-xx, xxxx.xxxx.xxxx
    デバイス IPv4 アドレス (空欄) アクションの対象とするデバイスのユニキャストIPv4アドレスを指定します。
    デバイス (空欄) アクションの対象とするデバイスIDを指定します。
    事前に登録されたデバイスIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をデバイスID、タグ、備考のいずれかに含むデバイスIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするデバイスIDをクリックします。
    デバイスタグ (空欄) アクションの対象とする、デバイスに設定されたタグを入力します。
    ロケーション (空欄) アクションの対象とするロケーションIDです。
    事前に登録されたロケーションIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をロケーションIDまたは備考のいずれかに含むロケーションIDが、100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするロケーションIDをクリックします。
    OpenFlow スイッチ (空欄) アクションの対象とするスイッチIDです。
    事前に登録されたスイッチIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をスイッチID、Datapath ID、アップストリームポート、備考のいずれかに含むスイッチIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするスイッチIDをクリックします。
    接続中ネットワーク (空欄) アクションの対象とするネットワークIDです。
    事前に登録されたネットワークIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をネットワークID、VLAN ID、備考のいずれかに含むネットワークIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするネットワークIDをクリックします。
  5. 条件を満たした際に実行するアクションを入力します。
    ここでは、該当のデバイスからの通信を破棄しますので、通過/隔離VLAN IDの指定は不要です。
    また、AMFアプリケーションプロキシー機能は使用していないため、AMFアクションは「AMF 依存」のままにします。

    表 3:設定データ:アクション
    項目名 設定する情報 説明
    OpenFlow/TQ アクション 破棄(遮断) 対象のデバイスに適用するOpenFlowアクションの内容です。
    ・通過(許可): デバイスの通信を許可します。
    ・隔離: 隔離ネットワークに接続します。
    ・破棄(遮断): デバイスからのパケットを破棄し、通信を遮断します。
    ・ログ: AMF Securityからはアクションを通知せず、該当デバイスの通信制御は行われません。該当デバイスのログのみを出力します。
    通過/隔離 VLAN ID (空欄) 対象のデバイスのパケットを通過、または、隔離するVLAN IDです。
    本項目はOpenFlow/TQ アクションが通過(許可)、隔離のときに表示されます。
    AMF アクション AMF 依存 AW+のAMFアプリケーションプロキシー機能を使用して、該当デバイスの通信遮断を指示する際のアクションの内容です。
    ・AMF 依存: AMF Securityからはアクションを通知せず、AMF機器側の設定に依存します。
    ・隔離: 該当デバイスを隔離用VLANに移動します。
    ・パケット破棄: 該当デバイスの通信をレイヤー2(MACレベル)で破棄します。
    ・リンクダウン: 該当デバイスが接続されているポートを無効化します。
    ・IPフィルター: 該当デバイスの通信をレイヤー3(IPレベル)で破棄します。
    ・ログ: AMF Securityからログのアクションを通知しますが、該当デバイスの通信制御は行わずログのみを出力します。
    Note
    「隔離」アクションの動作は、お使いのAlliedWare Plus機器(エッジノード)の設定、ファームウェアバージョンによって動作が異なります。

    ・バージョン 5.5.0-2.x 以降でポート認証(AMFアプリケーションプロキシーホワイトリストを含む)のマルチプルダイナミックVLANとAMFアプリケーションプロキシーブラックリストを併用している場合:該当デバイスのMACアドレスのみを隔離用VLANに移動します。

    ・上記以外の場合:該当デバイスが接続されているポートを隔離用VLANに移動します。
    Note
    バージョン 5.5.0-2.x よりも前のバージョンでは隔離アクションとポート認証(AMFアプリケーションプロキシーホワイトリストを含む)を同一ポート上で併用する場合、ダイナミックVLANは使用できません。
  6. 「登録」ボタンをクリックします。
    アクションが登録されると、新規に追加した情報が「ポリシー設定」/「アクション一覧」画面に表示されます。

設定は以上です。
この例のアクションを有効にすると、以後、アクションを削除するか、より優先度の高いアクションで接続が許可されない限り、該当のMACアドレスからの通信はすべて破棄されます。