設定例集#53: UTM・AT-SESC連携(AMFアプリケーションプロキシーによる端末の通信制御)

構成
設定開始前に
自動設定の確認と削除
システム時刻の設定
ルーターの設定
設定の保存
ルーターのコンフィグ
参考
AMFマスターの設定
AMFメンバーの設定
AT-SESCの設定
端末復旧方法

設定例集#53: [ 設定例集目次 ] ページ内目次

本製品のUTM機能と、弊社のAMF-SECurityコントローラー AT-SecureEnterpriseSDN Controller(AT-SESC)、AMFアプリケーションプロキシー機能を連携させ、UTM機能によって検出された被疑端末からの通信をAMFメンバーのスイッチで制御する構成の設定例です。

本製品のUTM機能と他の各製品・機能は次の流れで連携します。

  1. 端末
    マルウェアなどに感染した端末が不正な通信を開始

  2. 本製品: UTM機能、Syslog送信機能
    UTM 機能で不正な通信を検出・遮断し、被疑端末(送信元)の情報(ログ)を Syslogメッセージとして AT-SESC に送信

  3. AT-SESC: トラップ監視機能
    本製品から受信した Syslogメッセージを解析して被疑端末のアドレスを抽出し、AMFマスターに該当端末の遮断を指示

  4. AMFマスター: AMFアプリケーションプロキシー機能(プロキシーノード)
    AT-SESCからの指示を受け、配下のAMFメンバーに該当端末の通信遮断を指示

  5. AMFメンバー: AMFアプリケーションプロキシー機能(エッジノード)
    AMFマスターからの指示を受け、自装置のポート配下に該当端末が存在した場合、同ポートで端末からの通信を遮断

AT-SESCと連携可能なUTM機能は次のとおりです。

この設定例では連携可能なUTM機能すべてと連携を行います。
Note

構成

設定例集#53: [ 設定例集目次 ] ページ内目次
AMF関連設定
AMFネットワーク名 AMF001
役割 AMFメンバー
AMF接続ポート port1.0.1(AT-x930-28GTX)
ISPから提供された情報
ISP接続用ユーザー名 user@isp
ISP接続用パスワード isppasswd
PPPoEサービス名 指定なし
WAN側IPアドレス 動的割り当て(IPCP)
DNSサーバー 自動取得(IPCP)
ルーターの基本設定
ホスト名 awplus-AR4050S
WAN側物理インターフェース eth1
WAN側(ppp0)IPアドレス 接続時にISPから取得
LAN側(vlan10)IPアドレス 192.168.10.254/24
Syslogサーバー 192.168.1.10(AT-SESC)
DNSリレー機能 有効
Note

設定開始前に

自動設定の確認と削除

本設定例に掲載されているコマンドは、設定がまったく行われていない本製品の初期状態(スタートアップコンフィグなしで起動した状態)から入力することを前提としています。

そのため、通常は erase startup-config を実行し、スタートアップコンフィグが存在しない状態で起動してから、設定を始めてください。

ただし、本製品はスタートアップコンフィグなしで起動した場合でも、特定の条件を満たすと自動的な設定を行うことがあるため、その場合は設定例にしたがってコマンドを入力しても、コマンドがエラーになったり、全体として意図した動作にならない可能性があります。

これを避けるため、設定開始にあたっては次のいずれかの方法をとることをおすすめします。
自動設定が行われる条件などの詳細については、AMF応用編のAMFネットワーク未検出時の拡張動作をご参照ください。

システム時刻の設定

ログなどの記録日時を正確に保ち、各種機能を適切に動作させるため、システム時刻は正確にあわせて運用することをおすすめします。
ご使用の環境にあわせ、次のいずれかの方法でシステム時刻を設定してください。

ルーターの設定

設定例集#53: [ 設定例集目次 ] ページ内目次
  1. LANポートにおいて初期状態で有効化されているスパニングツリープロトコル(RSTP)を無効化します。これにはspanning-tree enableコマンドをno形式で実行します。
    スパニングツリープロトコルの詳細は「L2スイッチング」/「スパニングツリープロトコル」をご覧ください。
    no spanning-tree rstp enable
  2. WANポートeth1上にPPPoEインターフェースppp0を作成します。これには、encapsulation pppコマンドを使います。
    PPPの詳細は「PPP」/「一般設定」をご覧ください。
    interface eth1
 encapsulation ppp 0
  3. PPPインターフェースppp0に対し、PPPoE接続のための設定を行います。

    ・IPCPによるDNSサーバーアドレスの取得要求(ppp ipcp dns
    ・LCP EchoによるPPP接続状態の確認(keepalive
    ・IPCPによるIPアドレスの取得要求(ip address negotiated
    ・ユーザー名(ppp username
    ・パスワード(ppp password
    ・MSS書き換え(ip tcp adjust-mss

    PPPの詳細は「PPP」/「一般設定」をご覧ください。
    interface ppp0
 ppp ipcp dns request
 keepalive
 ip address negotiated
 ppp username user@isp
 ppp password isppasswd
 ip tcp adjust-mss pmtu
  4. VLANを作成します。
    これには、vlan databaseコマンドとvlanコマンドを使います。
    VLANの詳細は「L2スイッチング」/「バーチャルLAN」をご覧ください。
    vlan database
 vlan 10 state enable
  5. AMFノード名(ホスト名)を設定します。これにはhostnameコマンドを使います。

    ※ 本製品のUTM機能とAT-SESCの連携を行う場合は、本製品のホスト名を「awplus」から始まる名前にする必要があります。
    hostname awplus-AR4050S
  6. AMFで使用するネットワーク名を設定します(atmf network-name)。
    AMFの詳細は、「アライドテレシスマネージメントフレームワーク(AMF)」の「概要」「導入」「運用」「応用」各解説編やコマンド編をご覧ください。
    atmf network-name AMF001
  7. AMF対応スイッチと接続するLANポートにAMFリンクの設定をします(switchport atmf-link)。
    int port1.0.1
 switchport mode trunk
 switchport atmf-link
 switchport trunk allowed vlan add 10
  8. LAN側インターフェースvlan10にIPアドレスを設定します。これにはip addressコマンドを使います。
    IPインターフェースの詳細は「IP」/「IPインターフェース」をご覧ください。
    int vlan10
 ip address 192.168.10.254/24
  9. IPレピュテーション(IPアドレスブラックリスト)機能の設定を行います。
    これには、ip-reputationprovidercategory actionprotectの各コマンドを使います。
    IPレピュテーション(IPアドレスブラックリスト)の詳細は「UTM」/「IPレピュテーション」をご覧ください。

    ※ IPレピュテーション機能とAT-SESCの連携を行うためには、連携可能なカテゴリーに対するアクションを「deny」に設定する必要があります。デフォルトの「alert」では連携しませんのでご注意ください。
    ip-reputation
 provider proofpoint
 category CnC action deny
 category Mobile_CnC action deny
 category Bot action deny
 category SpywareCnC action deny
 category Mobile_Spyware_CnC action deny
 category Drop action deny
 protect
  10. アンチウイルス(プロキシー型アンチウイルス)機能の設定を行います。
    これには、antivirusprovider kasperskyprotectの各コマンドを使います。
    アンチウイルス(プロキシー型アンチウイルス)の詳細は「UTM」/「アンチウイルス(プロキシー型アンチウイルス)」をご覧ください。
    antivirus
 provider kaspersky
 protect
  11. マルウェアプロテクション(ストリーム型アンチウイルス)機能の設定を行います。
    これには、malware-protectionprovider kasperskyprotectの各コマンドを使います。
    マルウェアプロテクション(ストリーム型アンチウイルス)の詳細は「UTM」/「マルウェアプロテクション(ストリーム型アンチウイルス)」をご覧ください。
    malware-protection
 provider kaspersky
 protect
  12. ファイアウォールやNATのルール作成時に使うエンティティー(通信主体)を定義します。
    エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。

    内部ネットワークを表すゾーン「private」を作成します。
    これには、zonenetworkip subnetの各コマンドを使います。
    zone private
 network lan
  ip subnet 192.168.0.0/16
  13. 外部ネットワークを表すゾーン「public」を作成します。
    前記コマンドに加え、ここではhostip addressの各コマンドも使います。
    zone public
 network wan
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address dynamic interface ppp0
  14. 外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
    これには、firewallruleprotectの各コマンドを使います。

    ・rule 10 - 内部ネットワーク間の通信を許可します
    ・rule 20 - 内部ネットワークから外部への通信を許可します
    ・rule 30 - UTM各機能のデータベース更新やDNSリレー用に、本製品のWAN側インターフェースから外部へのDNS通信を許可します
    ・rule 40 - UTM各機能のデータベース更新用に、本製品のWAN側インターフェースから外部へのHTTPS通信を許可します

    ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。
    firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public
 rule 30 permit dns from public.wan.ppp0 to public.wan
 rule 40 permit https from public.wan.ppp0 to public.wan
 protect
  15. LAN側ネットワークに接続されているすべてのコンピューターがダイナミックENAT機能を使用できるよう設定します。
    これには、natruleenableの各コマンドを使います。
    NATの詳細は「UTM」/「NAT」をご覧ください。
    nat
 rule 10 masq any from private to public
 enable
  16. DNSリレー機能を有効にします。これには、ip dns forwardingコマンドを使います。
    DNSリレー機能の詳細は「IP付加機能」/「DNSリレー」をご覧ください。
    ip dns forwarding
  17. UTM各機能のログをSyslogメッセージとしてAT-SESCに送信するため、hostログ(syslog送信先)を定義します。
    これには、loglog(filter)の各コマンドを使います。

    なお、連携するUTM機能によってログの属性(ファシリティー、レベル)が異なります。
    ログフィルター(log(filter)コマンド)では、それぞれ下記の条件を満たすログを送信するよう設定してください。

    ・IPレピュテーション、マルウェアプロテクション、アンチウイルス - local5ファシリティー、informationalレベル
    ・ファイアウォール(IDS) - kernファシリティー、informationalレベル、文字列「Firewall」を含む
    log host 192.168.1.10
log host 192.168.1.10 level informational facility local5
log host 192.168.1.10 level informational facility kern msgtext Firewall
  18. IPの経路情報をスタティックに設定します。これにはip routeコマンドを使います。

    ・LAN側(192.168.0.0/16)へはAMFマスター(192.168.10.1)経由
    ・その他(0.0.0.0/0)は ppp0 経由(デフォルト経路)

    IP経路設定の詳細は「IP」/「経路制御」をご覧ください。
    ip route 0.0.0.0/0 ppp0
ip route 192.168.0.0/16 192.168.10.1
  19. 以上で設定は完了です。
    end

設定の保存

設定例集#53: [ 設定例集目次 ] ページ内目次
■ 設定が完了したら、現在の設定内容を起動時コンフィグとして保存してください。これには、copyコマンドを「copy running-config startup-config」の書式で実行します。
awplus# copy running-config startup-config
Building configuration...
[OK]

また、write fileコマンド、write memoryコマンドでも同じことができます。
awplus# write memory
Building configuration...
[OK]

その他、設定保存の詳細については「運用・管理」/「コンフィグレーション」をご覧ください。

ルーターのコンフィグ

設定例集#53: [ 設定例集目次 ] ページ内目次
!
no spanning-tree rstp enable
!
interface eth1
 encapsulation ppp 0
!
interface ppp0
 ppp ipcp dns request
 keepalive
 ip address negotiated
 ppp username user@isp
 ppp password isppasswd
 ip tcp adjust-mss pmtu
!
vlan database
 vlan 10 state enable
!
hostname awplus-AR4050S
!
atmf network-name AMF001
!
int port1.0.1
 switchport mode trunk
 switchport atmf-link
 switchport trunk allowed vlan add 10
!
int vlan10
 ip address 192.168.10.254/24
!
ip-reputation
 provider proofpoint
 category CnC action deny
 category Mobile_CnC action deny
 category Bot action deny
 category SpywareCnC action deny
 category Mobile_Spyware_CnC action deny
 category Drop action deny
 protect
!
antivirus
 provider kaspersky
 protect
!
malware-protection
 provider kaspersky
 protect
!
zone private
 network lan
  ip subnet 192.168.0.0/16
!
zone public
 network wan
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address dynamic interface ppp0
!
firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public
 rule 30 permit dns from public.wan.ppp0 to public.wan
 rule 40 permit https from public.wan.ppp0 to public.wan
 protect
!
nat
 rule 10 masq any from private to public
 enable
!
ip dns forwarding
!
log host 192.168.1.10
log host 192.168.1.10 level informational facility local5
log host 192.168.1.10 level informational facility kern msgtext Firewall
!
ip route 0.0.0.0/0 ppp0
ip route 192.168.0.0/16 192.168.10.1
!
end

参考

AMFマスターの設定

以下の設定はAT-x930-28GTXをもとにしています。ポート番号等は適宜読み替えてください。

AMF関連設定
AMFネットワーク名 AMF001
役割 AMFマスター
AMF接続ポート port1.0.1(AR4050Sとの接続用)
port1.0.13(AT-x510-28GTXとの接続用)
AMFアプリケーションプロキシー機能 有効
VLANインターフェース設定
vlan1 192.168.1.254/24(AT-SESC接続用)
vlan10 192.168.10.1/24(AR4050Sとの接続用)
vlan100 192.168.100.254/24(AT-x510-28GTXとの接続用) 
!
no spanning-tree rstp enable
!
hostname AMF-Master
!
atmf network-name AMF001
atmf master
!
service atmf-application-proxy
!
vlan database
 vlan 10,100 state enable
!
interface port1.0.1
 switchport atmf-link
 switchport mode trunk
 switchport trunk allowed vlan add 10
!
interface port1.0.13
 switchport atmf-link
 switchport mode trunk
 switchport trunk allowed vlan add 100
!
interface vlan1
 ip address 192.168.1.254/24
!
interface vlan10
 ip address 192.168.10.1/24
!
interface vlan100
 ip address 192.168.100.254/24
!
ip route 0.0.0.0/0 192.168.10.254
!
end

AMFメンバーの設定

以下の設定はAT-x510-28GTXをもとにしています。ポート番号等は適宜読み替えてください。
AMF関連設定
AMFネットワーク名 AMF001
役割 AMFメンバー
AMF接続ポート port1.0.1(AT-x930-28GTXとの接続用)
AMFアプリケーションプロキシー機能 有効
VLANインターフェース設定
vlan100 192.168.100.1/24(AT-x930-28GTXおよび端末との接続用)
端末接続ポート port1.0.2-1.0.26 
!
no spanning-tree rstp enable
!
hostname L2-Switch
!
atmf network-name AMF001
!
service atmf-application-proxy
!
vlan database
 vlan 100 state enable
!
interface port1.0.1
 switchport atmf-link
 switchport mode trunk
 switchport trunk allowed vlan add 100
!
interface port1.0.2-1.0.26
 switchport access vlan 100
 application-proxy threat-protection drop
!
interface vlan100
 ip address 192.168.100.1/24
!
end

AT-SESCの設定

AT-SESCの基本的な使い方や、アップストリームポート設定、ネットワークのアサイン方法等、詳細はAT-SESCのマニュアルをご覧ください。

■ ネットワーク設定
IPアドレス 192.168.1.10
デフォルトゲートウェイ 192.168.1.254

■ トラップ監視設定

端末復旧方法

AT-SESCとの連携によってブロックされた端末の通信を復旧させるには、AT-SESCの「アクション一覧」画面から該当のアクションを削除してください。



設定例集#53: [ 設定例集目次 ] ページ内目次

(C) 2015 - 2019 アライドテレシスホールディングス株式会社

PN: 613-002107 Rev.AA