各種操作 / その他の設定 / インテリジェント・エッジ・セキュリティー

インテリジェント・エッジ・セキュリティー（IES）では、AMF PlusデバイスがサポートするMACベース認証を使用してエンドポイントの通信の可否を一元的に管理できます。
MACアドレスの登録のあるエンドポイントと認識された場合に一時的に通信を拒否したり、AMF Plusデバイスディスカバリーによって検出されたMACアドレスが未登録のデバイスの通信許可・拒否をサーバーに登録することができます。
また、AMF Plusデバイス側にて802.1Xポート認証関連のsyslogメッセージをAVM EXに出力する設定を行うことで、AVM EXからエンドポイントの通信許可・拒否のログを観察することができます。

■ 用語解説
本ページでは、これらの用語を用いて説明します。

表 1：用語解説
本ページでの名称	MACベース認証での役割	RADIUSでの役割	説明
認証サーバー	認証サーバー	RADIUSサーバー	エンドポイントのMACアドレスをデータベースで管理し、通信の可否の判断を行うサーバーです。本機能では、認証サーバーとしてローカルRADIUSサーバー機能を使用します。
クライアント	Authenticator	RADIUSクライアント（NAS）	エンドポイントを接続するインターフェースを持ち、RADIUSサーバーに対してユーザーやデバイスの認証情報を照会する機器を指します。 RADIUSでは、クライアントまたはNAS（ネットワークアクセスサーバー）と呼びます。これは一般にネットワーク接続ストレージ（NAS）と呼ばれる機器とは異なり、ネットワーク接続ストレージの他、無線APやスイッチなど、様々なデバイスを含みます。 IESでは、AMF Plusスイッチ/ルーターやAT-TQRシリーズ無線AP（アクセスポイント）がクライアントとして認証の要求を行います。
エンドポイント	Supplicant	RADIUSユーザー	通信を行うデバイスです。

事前設定

IES機能によるエンドポイント管理の一元化を行うためには、認証サーバー、クライアントに対して事前の設定が必要となります。
次に登場する設定例はIES機能を利用するうえで必要なごく基本的なものを例示します。お使いの環境に応じて必要な設定を行ってください。

ここでは、それぞれのデバイスのIPアドレスを次のように仮定します。

表 2：IESデバイスのIPアドレス
デバイス	設定例におけるIPアドレス
認証サーバー	10.0.0.1
クライアント	10.0.0.2
AVM EX	10.0.0.254

なお、前提として、使用するAMF Plusデバイスには次のAlliedWare Plusファームフェアが適用されており、かつ、いずれも適切にAMF Plusネットワークに所属している必要があります。

認証サーバー：
AlliedWare Plus バージョン5.5.4以降
クライアント：
- スイッチ：
  AlliedWare Plus バージョン5.5.4以降
- AT-TQRシリーズ無線AP：
  AlliedWare Plus バージョン5.5.4-0.4以降

認証サーバー

ローカルRADIUSサーバーとしての設定を行います。
```
radius-server local
 server enable
 auth-mac-promiscuous
 nas 10.0.0.2 key himitsu
!
```
- ローカルRADIUSサーバーには、クライアントとして働くAMF Plusスイッチを登録します。
  上の例では、クライアントとして、1台のAMF Plusスイッチ（IPアドレス：10.0.0.2）を登録しています。共有パスワードは仮に「himitsu」とします。環境に合わせて適宜変更してください。
  必要に合わせて、複数のAMF Plusスイッチをクライアントとして登録できます。
- 上の例では、ローカルRADIUSサーバーのプロミスキャスモードを有効化しています。
  プロミスキャスモード有効時は、RADIUSサーバーに登録されていないエンドポイントのMACベース認証要求に対して、常に認証成功（Access-Accept）で応答します。IESでは、未登録のエンドポイントに対して、あとから手動で通信許可・拒否を指定することができます。
  接続当初はすべてのデバイスに対して通信を許可しておき、不審な挙動が見られるエンドポイントのみを個別に拒否するといった運用を行う場合は、プロミスキャスモードを有効に設定します。
  逆に、接続当初は許可のあるデバイス以外に通信を許可せず、正規の用途が確認されたエンドポイントのみを個別に許可するといった厳格な運用を行う場合は、上の例の「auth-mac-promiscuous」の行を省略します。
AMF Plusデバイスディスカバリー機能を有効にし、STOATコレクターとして設定します。
```
service stoat
stoat collector enable
stoat collector key segreto
```
- ここではSTOATの認証キーを仮に「segreto」としています。環境に合わせて適宜変更してください。

クライアント

スイッチの場合

複数のAMF Plusスイッチをクライアントとして設定する場合は、それぞれに設定します。

認証サーバーを指定します。
```
radius-server host 10.0.0.1 key himitsu
!
aaa authentication auth-mac default group radius
```
- RADIUSサーバーのIPアドレスを指定します。共有パスワードは、認証サーバーに設定したものと同じ文字列「himitsu」を指定します。環境にあわせて適宜変更してください。
- MACベース認証に使用する認証サーバーリストを指定します。
  ここでは、登録されたすべてのRADIUSサーバーを順に試行するよう指定しています。実際にはRADIUSサーバーは1台しか登録していないため、逐次試行は行われません。
AMF Plusデバイスディスカバリー機能を有効にし、STOATソースとして設定します。
```
service stoat
stoat discovery dot1x
stoat destination 10.0.0.1
 key segreto
 exit
```
- STOATのデバイス検出にポート認証機能（dot1x）を利用します。
- デバイス情報の送信先として、有効なSTOATコレクターのIPアドレス（ここでは10.0.0.1）、認証キー（ここではsegreto）を指定します。環境にあわせて適宜変更してください。
ポート認証機能の設定を行います。
```
auth radius send service-type
radius dynamic-authorization-client 10.0.0.254 key Geheimnis
```
- ポート認証の動作モード（auth host-modeコマンド）は、原則としてMulti-Hostモード以外（Single-Host、Multi-Supplicant、Host-Plus-Voice）に設定します。
  AT-TQシリーズ無線APを接続し、無線クライアントをエンドポイントとして検出するときは、無線APを接続するスイッチ側にポート認証の設定を行います。この場合は、ポート認証の動作モードは、Multi-Supplicantモードに設定してください。
  
  ここでは、MACベース認証の動作モードをデフォルト（Single-Hostモード）にしているため、コンフィグには現れません。
- MACベース認証において、RADIUSサーバーにService-Type属性を通知するよう設定します。
- AVM EXのIPアドレス（ここでは10.0.0.254）からのRADIUS Dynamic Authorizationメッセージ（Disconnect、CoA（Change of Authorization））を受け入れるよう設定します。
  本設定を行うことで、不審な挙動を行うエンドポイントを直ちに切断し、通信を拒否するよう、指定することができるようになります。
  ここでは共有パスワードとして「Geheimnis」を指定します。IPアドレス、共有パスワードは環境にあわせて適宜変更してください。
監視対象とするポートインターフェースに対して、MACベース認証を有効にします。
```
interface port1.0.3-1.0.8
 auth-mac enable
 exit
```
ここではポート1.0.3～1.0.8を例にしています。

Note
MACベース認証機能をトランクグループ上（saX、poXインターフェース）で使用することはできません。また、ルーターではLANポートのみを使用できます。
クライアントからAVM EXに対しsyslogメッセージを出力するよう設定します。
この設定は任意です。
ここでは、MACベース認証関連のみを出力条件とするメッセージフィルターを設定しています。必要に応じてその他のsyslogメッセージを出力できるよう、設定を追加してください。
```
log date-format iso
log host 10.0.0.254
log host 10.0.0.254 level informational program 802.1x
```

AT-TQRシリーズ無線APの場合

AT-TQRシリーズ無線APには、通常の無線APとしての設定に加え、次の設定が必要です。
複数のAT-TQRシリーズ無線APをクライアントとして設定する場合は、それぞれに設定します。
AT-TQRシリーズ無線APのコンフィグが未設定の場合は、「AWCプラグインリファレンスマニュアル」の「クイックツアー」を参考に設定を行ってください。

認証サーバーを指定します。
```
radius-server host 10.0.0.1 key himitsu
```
- RADIUSサーバーのIPアドレスを指定します。共有パスワードは、認証サーバーに設定したものと同じ文字列「himitsu」を指定します。環境にあわせて適宜変更してください。
AMF Plusデバイスディスカバリー機能を有効にし、STOATソースとして設定します。
```
service stoat
stoat discovery dot1x
stoat discovery wireless
stoat destination 10.0.0.1
 key segreto
 exit
```
- STOATのデバイス検出にMACベース認証機能（dot1x）とTQRシリーズの無線AP機能を利用したSTOATソース機能（wireless）を利用します。
- デバイス情報の送信先として、有効なSTOATコレクターのIPアドレス（ここでは10.0.0.1）、認証キー（ここではsegreto）を指定します。環境にあわせて適宜変更してください。
MACベース認証を使用する無線ネットワーク設定（VAPのひな形）に対して、MACベース認証機能の設定を行います。
複数の無線ネットワークにてデバイス検出を行う場合は、それぞれの無線ネットワーク設定にMACベース認証の設定の追加が必要です。
ここでは、既に無線ネットワークnetwork 1とnetwork 17が作成されているものとします。
```
wireless
 network 1
  mac-auth radius auth group radius
  mac-auth radius send service-type
  mac-auth radius dynamic-authorization-client 10.0.0.254 key Geheimnis
  unassociated-client-list acquire
  exit
 network 17
  mac-auth radius auth group radius
  mac-auth radius send service-type
  mac-auth radius dynamic-authorization-client 10.0.0.254 key Geheimnis
  unassociated-client-list acquire
  exit
 exit
```
- MACベース認証に使用する認証サーバーリストを指定します。
  ここでは、登録されたすべてのRADIUSサーバーを順に試行するよう指定しています。実際にはRADIUSサーバーは1台しか登録していないため、逐次試行は行われません。
- MACベース認証において、RADIUSサーバーにService-Type属性を通知するよう設定します。
- AVM EXのIPアドレス（ここでは10.0.0.254）からのRADIUS Dynamic Authorizationメッセージ（Disconnect、CoA（Change of Authorization））を受け入れるよう設定します。
  本設定を行うことで、不審な挙動を行うエンドポイントを直ちに切断し、通信を拒否するよう、指定することができるようになります。
  ここでは共有パスワードとして「Geheimnis」を指定します。IPアドレス、共有パスワードは環境にあわせて適宜変更してください。
RADIUSサーバーとの通信時の始点として使用するインターフェースを指定します。
```
ip radius source-interface br1
```
Note
ip radius source-interfaceコマンドで指定するインターフェースには、RADIUSサーバーにてnasコマンドで指定したIPアドレスを持つインターフェースを指定してください。
- ここでは、RADIUSサーバーとの通信時の始点インターフェースとして、MACベース認証を行うVAPインターフェースの所属するブリッジインターフェースbr1を指定しています。
  複数の無線ネットワークでMACベース認証を行う場合は、それぞれのブリッジインターフェースを追加します。
クライアントからAVM EXに対しsyslogメッセージを出力するよう設定します。
この設定は任意です。
ここでは、MACベース認証関連のみを出力条件とするメッセージフィルターを設定しています。必要に応じてその他のsyslogメッセージを出力できるよう、設定を追加してください。
```
log date-format iso
log host 10.0.0.254
log host 10.0.0.254 level informational program 802.1x
```

Note
エンドポイントが接続・切断する際に出力されるsyslogメッセージは、クライアントとなるデバイスがスイッチかAT-TQRシリーズ無線APかによって異なります。

■ スイッチの場合
次の3種類のsyslogメッセージが出力されます。
MACベース認証成功ログ
MAC Authentication successful for [RADIUSユーザー名]@[エンドポイントMACアドレス] on [スイッチポート番号]
（例）
MAC Authentication successful for 00-00-53-00-5e-00@0000.5300.5e00 on port1.0.2
MACベース認証失敗ログ
MAC Authentication failed for [RADIUSユーザー名]@[エンドポイントMACアドレス] on [スイッチポート番号]
（例）
MAC Authentication failed for 00-00-53-00-5e-00@0000.5300.5e00 on port1.0.2
デバイス切断イベントログ
Supplicant [RADIUSユーザー名] has been disconnected by DM from [AVM EXのIPアドレス]
（例）
Supplicant 00-00-53-00-5e-00 has been disconnected by DM from 192.198.1.250
RADIUSユーザー名はエンドポイントMACアドレスと同一のMACアドレスです（設定により書式が異なることがあります）。

■ AT-TQRシリーズ無線APの場合
次の2種類のsyslogメッセージが出力されます。
接続ログ
vap[接続無線バンド].[VAP番号]: STA [エンドポイントMACアドレス] associated with BSSID [接続先無線APのBSSID] ([接続先無線APのSSID]) RSSI [RSSI値]
（例）
vap1.0: STA 00:00:53:00:5e:80 associated with BSSID 00:00:53:00:5e:20 (FreeForAll) RSSI -28
切断ログ
vap[接続無線バンド].[VAP番号]: STA [エンドポイントMACアドレス] disassociated from BSSID [接続先無線APのBSSID] ([接続先無線APのSSID]) reason [reason値]
（例）
vap1.0: STA 00:00:53:00:5e:80 disassociated from BSSID 00:00:53:00:5e:20 (FreeForAll) reason 1

AVM EX

AVM EXからクライアントに対し、RADIUS Dynamic Authorizationメッセージ（Disconnect、CoA（Change of Authorization））を送信できるよう設定します。
1. 「ネットワークサービス」/「RADIUS」画面右上の「共有パスワード」ボタンをクリックして、「認証共有パスワード」ダイアログを開きます。
2. ここでは共有パスワードとして「Geheimnis」を指定します。環境にあわせて適宜変更してください。
3. 「OK」ボタンをクリックして「認証共有パスワード」ダイアログを閉じます。

認証サーバー、クライアント、AVM EXのそれぞれが正しく設定されると、「資産管理」の「エンドポイント」タブに、接続されたエンドポイントが一覧表示されます。

エンドポイント一覧の見かた

次に、エンドポイントの一覧を例示します。
エンドポイント一覧は1分間隔で更新されます。いずれかのエンドポイントのチェックボックスにチェックをつけているときは更新は停止します。

検出されたデバイスの状態や認証に成功したか否かは、次の列の表示によって切り分けられます。

「MACアドレス」列：
AMF Plusデバイスディスカバリーによって検出されたエンドポイントのMACアドレスです。
- エンドポイントがAMF Plusデバイスディスカバリーにより検出されると、「MACアドレス」列にデバイスが表示されます（上図の1～4行目）。
  この場合、「クライアント（NAS）ホスト名」「クライアント（NAS）インターフェース」に、エンドポイントの接続先が表示されます。
- 認証サーバーにRADIUSユーザー名としてMACアドレスを登録してあり、当該のMACアドレスが未検出の場合、「MACアドレス」列は空欄として表示されます（上図の5～6行目）。
「RADIUSユーザー名」列
- エンドポイントのMACアドレスが認証サーバーに登録済みの場合、「RADIUSユーザー名」列に該当のRADIUSユーザー名を表示します（上図の1～2、5～6行目）。
- エンドポイントのMACアドレスが認証サーバーに登録されていない場合、「RADIUSユーザー名」列は空欄として表示されます（上図の3～4行目）。
「状態」列
- 認証サーバーに登録されたユーザーが無効化されていない場合は「許可」が表示されます（上図の1、5行目）。
  通信を許可されたエンドポイントは、ネットワークマップでは、「（RADIUSサーバーホスト名）_（エンドポイントMACアドレス）」形式の名前でアイコン表示されます。
- 認証サーバーに登録されたユーザーが無効化（ユーザーの認証要求を拒否するよう設定）されている場合は、「状態」列に「拒否」が表示されます（上図の2、6行目）。
  通信を拒否されたエンドポイントは、ネットワークマップでは、デバイスアイコンの右上にブロックアイコンを伴って表示されます。
- エンドポイントのMACアドレスが認証サーバーに登録されていない場合は、「状態」列には「未決定」が表示されます（上図の3～4列目）。
  「未決定」のエンドポイントは、ネットワークマップでは、通信を許可されたエンドポイントと同様に表示されます。
「認証」列
- 認証サーバーによる認証に成功し、通信を許可されたエンドポイントは、「認証済み」が表示されます（上図の1、3行目）。
  「状態」が「未決定」、つまりユーザーとしての登録がないエンドポイントの場合、認証サーバーのプロミスキャスモードの設定の有無によって扱いが異なります。
  - 認証サーバーがプロミスキャスモードに設定されている場合は、ユーザーとしての登録がなくても認証成功となり、「認証済み」が表示されます（上図の3行目）。
  - 認証サーバーがプロミスキャスモードに設定されていない場合は、ユーザーとしての登録がないMACアドレスは認証成功メッセージを返されないため、通信が拒否された場合と同様、「認証列」は空欄となります（上図の4行目）。

つまり、上図の各行は、それぞれ次の状態を表します。

表 3：エンドポイント一覧各行の状態
行	MACアドレス	RADIUSユーザー名	状態	認証	表される状態
1行目	（MACアドレス）	（MACアドレス）	許可	認証済み	ポートまたは無線インターフェースに接続中で、許可ユーザーとしてMACアドレスが登録されており、認証に成功した、通信可能なエンドポイント
2行目	（MACアドレス）	（MACアドレス）	拒否		ポートまたは無線インターフェースに接続中で、拒否ユーザーとしてMACアドレスが登録されており、認証に失敗した、通信不能なエンドポイント
3行目	（MACアドレス）	-	未決定	認証済み	ポートまたは無線インターフェースに接続中で、許可ユーザーとしてMACアドレスが登録されておらず、MACベース認証のプロミスキャスモードによって認証に成功した、通信可能なエンドポイント
4行目	（MACアドレス）	-	未決定		ポートまたは無線インターフェースに接続中で、許可ユーザーとしてMACアドレスが登録されておらず、認証されていない、通信不能なエンドポイント
5行目	-	（MACアドレス）	許可		許可ユーザーとしてMACアドレスが登録されているが、ポートまたは無線インターフェースへの接続は未確認のデバイス未接続の登録済みエンドポイントである場合の他、MACベース認証以外の無線APのMACアドレス認証などで使用するRADIUSユーザーの可能性がありますが、この一覧では接続中か否かは不明です。プラグインなどによって検出されている場合は、「IPアドレス」列などに情報が表示されることもあります。
6行目	-	（MACアドレス）	拒否		拒否ユーザーとしてMACアドレスが登録されているが、ポートまたは無線インターフェースへの接続は未確認のデバイス未接続の登録済みエンドポイントである場合の他、MACベース認証以外の無線APのMACアドレス認証などで使用するRADIUSユーザーの可能性があります。

Note
AT-TQRシリーズ無線APでIESを使用する際、無線APのローミング通知を有効に設定した場合も、無線クライアントのローミングがAVM EXに反映されるまで最大5分程度かかることがあります。

エンドポイントの通信許可・拒否

一覧に表示されているエンドポイントおよびRADIUSユーザーは、アクション列からその通信を許可、または拒否することができます。

現在の状態が「拒否」の場合、アクションメニューから「デバイスを許可」を選択すると、認証サーバーに登録されたユーザーの無効化が解除されます。
この場合、クライアントの再認証要求のタイミングで許可ユーザーとしての認証が実行され、通信可能になります。
現在の状態が「許可」の場合、アクションメニューから「デバイスを拒否」を選択すると、認証サーバーに登録されたユーザーが無効化され、ユーザーの認証要求を拒否するよう設定されます。
この際、AVM EXからクライアントに対してCoAメッセージが送信され、直ちに認証を解除し、認証拒否され、通信不能になります。

Note
デバイスの通信を拒否した際、一時的にデバイスが重複して表示されることがありますが、Webブラウザーの再読み込みまたはエンドポイント一覧の更新の際に正しい表示になります。

Note
AVM EXとクライアントに設定された共有パスワードが一致しない場合、CoAメッセージが破棄され、認証の即時解除が行われない場合があります。
この場合は、クライアントに設定された再認証間隔が経過するまで通信は許可されたままとなります。
現在の状態が「未決定」の場合、アクションメニューから「デバイスを許可」または「デバイスを拒否」を選択すると、上記の許可・拒否時の動作に加え、認証サーバーのRADIUSユーザーデータベースに該当のMACアドレスが登録されます。
この際、MACアドレスのフォーマットは、認証サーバーの設定に準じたものになります。また、RADIUSユーザーのパスワードは慣習に基づきユーザー名と同じ文字列として登録されます。

Note
アクションを実行すると、RADIUSサーバーグループに所属するAMFデバイスにRADIUSユーザーが登録されます。この情報はランニングコンフィグ（動作時コンフィグ）に記録されます。作業後はこれらのデバイスに対し、CLIまたは「資産管理」画面のデバイス一覧にて、ランニングコンフィグをスタートアップコンフィグに保存する必要があります。

Note
デバイスの拒否/許可の実行結果はエンドポイント一覧には直ちに反映されません。認証サーバー上のデータベースが更新されたあとで、手動でWebブラウザーを更新した際、または、一覧の自動更新の際に反映されます。