設定例集#54: UTM・AT-SESC連携(OpenFlowによる端末の通信制御)(AMF併用。AT-AR4050SがAMFマスター)

構成
設定開始前に
自動設定の確認と削除
システム時刻の設定
ルーターの設定
設定の保存
ルーターのコンフィグ
参考
L3スイッチ(AMFメンバー)の設定
OpenFlow機能対応スイッチの設定
AT-SESCの設定
端末復旧方法

設定例集#54: [ 設定例集目次 ] ページ内目次

本製品のUTM機能と、弊社のAMF-SECurityコントローラー AT-SecureEnterpriseSDN Controller(AT-SESC)、OpenFlow機能対応スイッチを連携させ、UTM機能によって検出された被疑端末からの通信をOpenFlow機能に対応したスイッチで制御する構成の設定例です。
またここでは、AT-AR4050SをAMFマスターとして動作させ、AMFネットワークを構築します。

本製品のUTM機能と他の各製品・機能は次の流れで連携します。

  1. 端末
    マルウェアなどに感染した端末が不正な通信を開始

  2. 本製品: UTM機能、Syslog送信機能
    UTM 機能で不正な通信を検出・遮断し、被疑端末(送信元)の情報(ログ)を Syslogメッセージとして AT-SESC に送信

  3. AT-SESC: トラップ監視機能
    本製品から受信した Syslogメッセージを解析して被疑端末のアドレスを抽出し、OpenFlow機能対応スイッチのポートを制御することにより該当端末の遮断を指示

  4. OpenFlow機能対応スイッチ: OpenFlow機能
    AT-SESCからの指示を受け、自装置のOpenFlowポートで端末からの通信を遮断

AT-SESCと連携可能なUTM機能は次のとおりです。

この設定例では連携可能なUTM機能すべてと連携を行います。
Note

構成

設定例集#54: [ 設定例集目次 ] ページ内目次
AMF関連設定
AMFネットワーク名 AMF001
AMFマスター AR4050S(本製品)
ISPから提供された情報
ISP接続用ユーザー名 user@isp
ISP接続用パスワード isppasswd
PPPoEサービス名 指定なし
WAN側IPアドレス 動的割り当て(IPCP)
DNSサーバー 自動取得(IPCP)
ルーターの基本設定
ホスト名 awplus-AR4050S
WAN側物理インターフェース eth1
WAN側(ppp0)IPアドレス 接続時にISPから取得
LAN側(vlan10)IPアドレス 192.168.10.254/24
Syslogサーバー 192.168.1.10(AT-SESC)
DNSリレー機能 有効
Note

設定開始前に

自動設定の確認と削除

本設定例に掲載されているコマンドは、設定がまったく行われていない本製品の初期状態(スタートアップコンフィグなしで起動した状態)から入力することを前提としています。

そのため、通常は erase startup-config を実行し、スタートアップコンフィグが存在しない状態で起動してから、設定を始めてください。

ただし、本製品はスタートアップコンフィグなしで起動した場合でも、特定の条件を満たすと自動的な設定を行うことがあるため、その場合は設定例にしたがってコマンドを入力しても、コマンドがエラーになったり、全体として意図した動作にならない可能性があります。

これを避けるため、設定開始にあたっては次のいずれかの方法をとることをおすすめします。
自動設定が行われる条件などの詳細については、AMF応用編のAMFネットワーク未検出時の拡張動作をご参照ください。

システム時刻の設定

ログなどの記録日時を正確に保ち、各種機能を適切に動作させるため、システム時刻は正確にあわせて運用することをおすすめします。
ご使用の環境にあわせ、次のいずれかの方法でシステム時刻を設定してください。

ルーターの設定

設定例集#54: [ 設定例集目次 ] ページ内目次
  1. LANポートにおいて初期状態で有効化されているスパニングツリープロトコル(RSTP)を無効化します。これにはspanning-tree enableコマンドをno形式で実行します。
    スパニングツリープロトコルの詳細は「L2スイッチング」/「スパニングツリープロトコル」をご覧ください。
    no spanning-tree rstp enable
  2. WANポートeth1上にPPPoEインターフェースppp0を作成します。これには、encapsulation pppコマンドを使います。
    PPPの詳細は「PPP」/「一般設定」をご覧ください。
    interface eth1
 encapsulation ppp 0
  3. PPPインターフェースppp0に対し、PPPoE接続のための設定を行います。

    ・IPCPによるDNSサーバーアドレスの取得要求(ppp ipcp dns
    ・LCP EchoによるPPP接続状態の確認(keepalive
    ・IPCPによるIPアドレスの取得要求(ip address negotiated
    ・ユーザー名(ppp username
    ・パスワード(ppp password
    ・MSS書き換え(ip tcp adjust-mss

    PPPの詳細は「PPP」/「一般設定」をご覧ください。
    interface ppp0
 ppp ipcp dns request
 keepalive
 ip address negotiated
 ppp username user@isp
 ppp password isppasswd
 ip tcp adjust-mss pmtu
  4. VLANを作成します。
    これには、vlan databaseコマンドとvlanコマンドを使います。
    VLANの詳細は「L2スイッチング」/「バーチャルLAN」をご覧ください。
    vlan database
 vlan 10 state enable
  5. AMFノード名(ホスト名)を設定します。これにはhostnameコマンドを使います。

    ※ 本製品のUTM機能とAT-SESCの連携を行う場合は、本製品のホスト名を「awplus」から始まる名前にする必要があります。
    hostname awplus-AR4050S
  6. AMFの各種設定を行います。

    ・AMFネットワーク名の設定(atmf network-name
    ・AMFマスター機能の有効化(atmf master

    AMFの詳細は、「アライドテレシスマネージメントフレームワーク(AMF)」の「概要」「導入」「運用」「応用」各解説編やコマンド編をご覧ください。
    atmf network-name AMF001
atmf master
  7. AMF対応スイッチと接続するLANポートにAMFリンクの設定をします(switchport atmf-link)。
    int port1.0.1
 switchport mode trunk
 switchport atmf-link
 switchport trunk allowed vlan add 10
  8. LAN側インターフェースvlan10にIPアドレスを設定します。これにはip addressコマンドを使います。
    IPインターフェースの詳細は「IP」/「IPインターフェース」をご覧ください。
    int vlan10
 ip address 192.168.10.254/24
  9. IPレピュテーション(IPアドレスブラックリスト)機能の設定を行います。
    これには、ip-reputationprovidercategory actionprotectの各コマンドを使います。
    IPレピュテーション(IPアドレスブラックリスト)の詳細は「UTM」/「IPレピュテーション」をご覧ください。

    ※ IPレピュテーション機能とAT-SESCの連携を行うためには、連携可能なカテゴリーに対するアクションを「deny」に設定する必要があります。デフォルトの「alert」では連携しませんのでご注意ください。
    ip-reputation
 provider proofpoint
 category CnC action deny
 category Mobile_CnC action deny
 category Bot action deny
 category SpywareCnC action deny
 category Mobile_Spyware_CnC action deny
 category Drop action deny
 protect
  10. アンチウイルス(プロキシー型アンチウイルス)機能の設定を行います。
    これには、antivirusprovider kasperskyprotectの各コマンドを使います。
    アンチウイルス(プロキシー型アンチウイルス)の詳細は「UTM」/「アンチウイルス(プロキシー型アンチウイルス)」をご覧ください。
    antivirus
 provider kaspersky
 protect
  11. マルウェアプロテクション(ストリーム型アンチウイルス)機能の設定を行います。
    これには、malware-protectionprovider kasperskyprotectの各コマンドを使います。
    マルウェアプロテクション(ストリーム型アンチウイルス)の詳細は「UTM」/「マルウェアプロテクション(ストリーム型アンチウイルス)」をご覧ください。
    malware-protection
 provider kaspersky
 protect
  12. ファイアウォールやNATのルール作成時に使うエンティティー(通信主体)を定義します。
    エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。

    内部ネットワークを表すゾーン「private」を作成します。
    これには、zonenetworkip subnetの各コマンドを使います。
    zone private
 network lan
  ip subnet 192.168.0.0/16
  13. 外部ネットワークを表すゾーン「public」を作成します。
    前記コマンドに加え、ここではhostip addressの各コマンドも使います。
    zone public
 network wan
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address dynamic interface ppp0
  14. 外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
    これには、firewallruleprotectの各コマンドを使います。

    ・rule 10 - 内部ネットワーク間の通信を許可します
    ・rule 20 - 内部ネットワークから外部への通信を許可します
    ・rule 30 - UTM各機能のデータベース更新やDNSリレー用に、本製品のWAN側インターフェースから外部へのDNS通信を許可します
    ・rule 40 - UTM各機能のデータベース更新用に、本製品のWAN側インターフェースから外部へのHTTPS通信を許可します

    ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。
    firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public
 rule 30 permit dns from public.wan.ppp0 to public.wan
 rule 40 permit https from public.wan.ppp0 to public.wan
 protect
  15. LAN側ネットワークに接続されているすべてのコンピューターがダイナミックENAT機能を使用できるよう設定します。
    これには、natruleenableの各コマンドを使います。
    NATの詳細は「UTM」/「NAT」をご覧ください。
    nat
 rule 10 masq any from private to public
 enable
  16. UTM各機能のログをSyslogメッセージとしてAT-SESCに送信するため、hostログ(syslog送信先)を定義します。
    これには、loglog(filter)の各コマンドを使います。

    ログフィルター(log(filter)コマンド)では、各機能が出力する local5ファシリティー、informationalレベルのログをsyslogで送信するよう設定します。
    log host 192.168.1.10
log host 192.168.1.10 level informational facility local5
  17. DNSリレー機能を有効にします。これには、ip dns forwardingコマンドを使います。
    DNSリレー機能の詳細は「IP付加機能」/「DNSリレー」をご覧ください。
    ip dns forwarding
  18. IPの経路情報をスタティックに設定します。これにはip routeコマンドを使います。

    ・LAN側(192.168.0.0/16)へはAMFメンバーのL3スイッチ(192.168.10.1)経由
    ・その他(0.0.0.0/0)は ppp0 経由(デフォルト経路)

    IP経路設定の詳細は「IP」/「経路制御」をご覧ください。
    ip route 0.0.0.0/0 ppp0
ip route 192.168.0.0/16 192.168.10.1
  19. 以上で設定は完了です。
    end

設定の保存

設定例集#54: [ 設定例集目次 ] ページ内目次
■ 設定が完了したら、現在の設定内容を起動時コンフィグとして保存してください。これには、copyコマンドを「copy running-config startup-config」の書式で実行します。
awplus# copy running-config startup-config
Building configuration...
[OK]

また、write fileコマンド、write memoryコマンドでも同じことができます。
awplus# write memory
Building configuration...
[OK]

その他、設定保存の詳細については「運用・管理」/「コンフィグレーション」をご覧ください。

ルーターのコンフィグ

設定例集#54: [ 設定例集目次 ] ページ内目次
!
no spanning-tree rstp enable
!
interface eth1
 encapsulation ppp 0
!
interface ppp0
 ppp ipcp dns request
 keepalive
 ip address negotiated
 ppp username user@isp
 ppp password isppasswd
 ip tcp adjust-mss pmtu
!
vlan database
 vlan 10 state enable
!
hostname awplus-AR4050S
!
atmf network-name AMF001
atmf master
!
int port1.0.1
 switchport mode trunk
 switchport atmf-link
 switchport trunk allowed vlan add 10
!
int vlan10
 ip address 192.168.10.254/24
!
ip-reputation
 provider proofpoint
 category CnC action deny
 category Mobile_CnC action deny
 category Bot action deny
 category SpywareCnC action deny
 category Mobile_Spyware_CnC action deny
 category Drop action deny
 protect
!
antivirus
 provider kaspersky
 protect
!
malware-protection
 provider kaspersky
 protect
!
zone private
 network lan
  ip subnet 192.168.0.0/16
!
zone public
 network wan
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address dynamic interface ppp0
!
firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public
 rule 30 permit dns from public.wan.ppp0 to public.wan
 rule 40 permit https from public.wan.ppp0 to public.wan
 protect
!
nat
 rule 10 masq any from private to public
 enable
!
log host 192.168.1.10
log host 192.168.1.10 level informational facility local5
!
ip dns forwarding
!
ip route 0.0.0.0/0 ppp0
ip route 192.168.0.0/16 192.168.10.1
!
end

参考

L3スイッチ(AMFメンバー)の設定

以下の設定はAT-x930-28GTXをもとにしています。ポート番号等は適宜読み替えてください。

AMF関連設定
AMFネットワーク名 AMF001
役割 AMFメンバー
AMF接続ポート port1.0.1(AR4050Sとの接続用)
port1.0.13(AT-x510-28GTXとの接続用)
VLANインターフェース設定
vlan1 192.168.1.254/24(AT-SESCおよびAT-x510-28GTXコントロールプレーンとの接続用)
vlan10 192.168.10.1/24(AR4050Sとの接続用)
vlan100 192.168.100.254/24(AT-x510-28GTXデータプレーンとの接続用)
vlan101 192.168.101.254/24(AT-x510-28GTXデータプレーンとの接続用)
vlan102 192.168.102.254/24(AT-x510-28GTXデータプレーンとの接続用)
vlan103 192.168.103.254/24(AT-x510-28GTXデータプレーンとの接続用)
vlan104 192.168.104.254/24(AT-x510-28GTXデータプレーンとの接続用)
その他の設定
DHCPサーバー機能 有効
DHCPプール pool100
リース時間 2時間
対象サブネット 192.168.100.0/24
デフォルトゲートウェイ 192.168.100.254
DNSサーバー 192.168.10.254
提供するIPアドレスの範囲 192.168.100.100~192.168.100.115(16個)
DHCPプール pool101 ~ pool104
対象サブネット、デフォルトゲートウェイ、アドレス範囲がそれぞれ 192.168.101.0/24 ~ 192.168.104.0/24 内のものになる以外は、pool100と同じ(DNSサーバーはAR4050Sなのですべてのプールで同一)。 
!
no spanning-tree rstp enable
!
vlan database
 vlan 10,100-104 state enable
!
hostname L3_Switch
!
atmf network-name AMF001
!
interface port1.0.1
 switchport atmf-link
 switchport mode trunk
 switchport trunk allowed vlan add 10
!
interface port1.0.13
 switchport atmf-link
 switchport mode trunk
 switchport trunk allowed vlan add 1,100-104
!
interface vlan1
 ip address 192.168.1.254/24
!
interface vlan10
 ip address 192.168.10.1/24
!
interface vlan100
 ip address 192.168.100.254/24
!
interface vlan101
 ip address 192.168.101.254/24
!
interface vlan102
 ip address 192.168.102.254/24
!
interface vlan103
 ip address 192.168.103.254/24
!
interface vlan104
 ip address 192.168.104.254/24
!
ip dhcp pool pool100
 network 192.168.100.0 255.255.255.0
 range 192.168.100.100 192.168.100.115
 dns-server 192.168.10.254
 default-router 192.168.100.254
!
ip dhcp pool pool101
 network 192.168.101.0 255.255.255.0
 range 192.168.101.100 192.168.101.115
 dns-server 192.168.10.254
 default-router 192.168.101.254
!
ip dhcp pool pool102
 network 192.168.102.0 255.255.255.0
 range 192.168.102.100 192.168.102.115
 dns-server 192.168.10.254
 default-router 192.168.102.254
!
ip dhcp pool pool103
 network 192.168.103.0 255.255.255.0
 range 192.168.103.100 192.168.103.115
 dns-server 192.168.10.254
 default-router 192.168.103.254
!
ip dhcp pool pool104
 network 192.168.104.0 255.255.255.0
 range 192.168.104.100 192.168.104.115
 dns-server 192.168.10.254
 default-router 192.168.104.254
!
service dhcp-server
!
ip route 0.0.0.0/0 192.168.10.254
!
end

OpenFlow機能対応スイッチの設定

以下の設定はAT-x510-28GTXをもとにしています。ポート番号等は適宜読み替えてください。
詳細はOpenFlow対応スイッチのコマンドリファレンス「OpenFlow」/「一般設定」に掲載されている「ハイブリッドOpenFlowスイッチとしての基本構成」をご参照ください。

コントロールプレーン
割り当てポート port1.0.5(ハイブリッドOpenFlowポート)
割り当てVLAN vlan1
VLANインターフェースIPアドレス 192.168.1.1/24
データプレーン
割り当てポート port1.0.6-1.0.28(OpenFlowポート)
port1.0.5(ハイブリッドOpenFlowポート)
OpenFlow制御用VLAN vlan4090
アップストリームポート port1.0.5(ハイブリッドOpenFlowポート)
通常スイッチポート
割り当てポート port1.0.1-1.0.4(通常ポート)
port1.0.5(ハイブリッドOpenFlowポート)
Note
OpenFlow機能とVCS機能は併用できないため、VCS対応機種をOpenFlowスイッチとして設定する場合は、事前にスタック接続を解除し、VCS機能を無効化して設定を保存した上で、スイッチを再起動してから設定を進めてください。
awplus# configure terminal
awplus(config)# no stack 1 enable
Warning: this will disable the stacking hardware on member-1.
Are you sure you want to continue? (y/n):  y 
10:18:51 awplus VCS[824]: Deactivating Stacking Ports on stack member 1
awplus(config)# end
awplus# 
awplus# write memory
Building configuration...
[OK]
awplus# reboot
reboot system? (y/n): y 

!
no stack 1 enable
!
no spanning-tree rstp enable
no ipv6 mld snooping 
!
hostname OpenFlow_Switch
!
atmf network-name AMF001
!
vlan database
 vlan 100-104,4090 state enable
!
openflow controller tcp 192.168.1.10 6653
openflow native vlan 4090
!
interface port1.0.5
 openflow
 switchport atmf-link
 switchport mode trunk ingress-filter disable
 switchport trunk allowed vlan add 1
!
interface port1.0.6-1.0.26
 openflow
!
interface vlan1
 ip address 192.168.1.1/24
!
interface vlan100-104
 no ipv6 mld snooping
!
interface vlan4090
 no ip igmp snooping tcn query solicit
 no ipv6 mld snooping
!
end

AT-SESCの設定

AT-SESCの基本的な使い方や、アップストリームポート設定、ネットワークのアサイン方法等、詳細はAT-SESCのマニュアルをご覧ください。

■ ネットワーク設定
IPアドレス 192.168.1.10
デフォルトゲートウェイ 192.168.1.254

■ トラップ監視設定

端末復旧方法

AT-SESCとの連携によって遮断された端末の通信を復旧させるには、次の2つの方法があります。
  1. AT-SESCの「接続中デバイス一覧」画面から復旧。


  2. 「アクション一覧」画面から該当のアクションを削除。


設定例集#54: [ 設定例集目次 ] ページ内目次

(C) 2015 - 2023 アライドテレシスホールディングス株式会社

PN: 613-002107 Rev.AZ