クイックツアー / AMF Securityについて

AMF Securityの位置づけ

AMF Securityが管理する情報（OpenFlow）

AMFアプリケーションプロキシー機能とは

AMF Securityが管理する情報（AMFアプリケーションプロキシーホワイトリスト機能）

AMFアプリケーションプロキシーによる遮断

AMF Securityからプロキシーノードへの被疑端末情報の通知

AMFアクション

被疑端末の遮断解除

被疑端末の遮断ステータスの表示とメール送信

AMFマスター（プロキシーノード）、AMFメンバー（エッジノード）の設定

AMF Securityの設定

コントロール対象となるネットワーク機器

アプリケーション連携ソリューション

AMF Securityの位置づけ

AMF-SEC（AMF-SECurity）は、ネットワーク運用管理の効率化とセキュリティー強化をSDN技術で実現するソリューションです。
AMF Securityは、同ソリューションの中核をなすSDNコントローラーとして、弊社のAMF（アライドテレシスマネージメントフレームワーク）対応製品と各種ビジネス・セキュリティー関連アプリケーションとの連携を実現します。

AMF Securityが管理する情報（OpenFlow）

AMF Securityは、登録されたデバイスのMACアドレス情報に基づき、管理下のOpenFlow対応ネットワークスイッチおよび無線LANアクセスポイント（以後、総称して「OpenFlowスイッチ」と記載します）にパケット制御フロー（フローエントリー）を設定（送信）し、デバイスのネットワーク接続を一括して制御することができます。

管理下のOpenFlowスイッチとはTCPセッションを確立し、OpenFlowプロトコルを使用して制御を行います。

デバイスには、ネットワークに接続可能な「ロケーション（場所）」と「スケジュール（期間）」の2つの条件を設定します。
また、「ロケーション」に設置された「OpenFlowスイッチ」やその「スイッチポート」といった、より細かな条件を指定することもできます。
これらの条件を満たした場合には、VLAN IDによって定義された論理的な「ネットワーク」への接続ができるようになります。

ロケーション
デバイスの接続を許可する場所。
その場所に設置されたOpenFlowスイッチを登録することで、物理的なネットワーク空間を定義します。
スケジュール
デバイスの接続を許可する期間。
接続を許可する開始日時と終了日時が指定できます。
OpenFlowスイッチ
デバイスの接続を許可するOpenFlowスイッチ。
特定のOpenFlowスイッチに接続した場合のみ、ネットワークへのアクセスを許可します。
スイッチポート
デバイスの接続を許可するOpenFlowスイッチのスイッチポート。
特定のスイッチポートに接続した場合のみ、ネットワークへのアクセスを許可します。
ネットワーク
デバイスが接続するVLANサブネット（VLAN IDによって定義された論理的なネットワーク空間）。

これらの要素をセキュリティーポリシーと呼びます。

デバイスが持つMACアドレスインターフェースは、デバイスに割り当てられたセキュリティーポリシーをもとに接続・遮断・隔離といった管理を受けます。
デバイスには、複数のMACアドレスインターフェースを設定できます。
例えば、デバイスに無線インターフェースと有線インターフェースの2つのMACアドレスが登録されている場合、設定されたロケーション、スケジュールの条件を満たせば、どちらのインターフェースからでも同じネットワークへの接続が許可されます。

表 1：設定可能なセキュリティーポリシー（OpenFlow）

デバイスが持つ管理情報
デバイス	OpenFlowスイッチに接続するネットワーク機器。
└	MACアドレス	デバイスが持つインターフェースのMACアドレス。
	：	（複数設定可能）
└	セキュリティーポリシー	ネットワーク			デバイスを接続するVLANセグメント（VLAN ID）。
		ロケーション			デバイスの接続を許可する物理的な場所、空間。
		└	OpenFlowスイッチ		ロケーションに所属するネットワーク機器。
			└	スイッチポート	デバイスの接続を許可するスイッチポート。
			：		（複数設定可能）
		スケジュール			デバイスの接続を許可する期間（開始・終了日時）。
		（複数設定可能）

OpenFlowスイッチのネットワークポートには、OpenFlowコントローラーとの通信を行うための「コントロールプレーンポート」と、OpenFlowによって制御されユーザートラフィックが流れる「データプレーンポート」があります。
AMF Securityでは、データプレーンポートは、さらに役割の異なる「アップストリームポート」と「クライアントポート」の2つに分かれます。

アップストリームポート
装置上に1つのみ設定され、上位ネットワークに接続されます。
クライアントポート
残りすべてのデータプレーンポート。ユーザーデバイスはこのポートに接続されます。

AMF Securityは、ファイアウォールなどによって、アップストリームポートがより高位のセキュリティーによって保護されていることを前提としており、クライアントポートに接続されるデバイスを管理対象とします。
アップストリームポートは、初期設定では、最もOpenFlowポート番号が小さいポートに設定されます。この設定はOpenFlowスイッチ単位で変更可能です。

AMFアプリケーションプロキシー機能とは

AMFアプリケーションプロキシー機能は、AMFメンバー（エッジノード）に接続された端末を、AMFマスター（プロキシーノード）がAMF Securityに認証を行うことで通信制御を行います（AMFアプリケーションプロキシーホワイトリスト機能）。
また、AMF Securityからプロキシーノードに被疑端末の情報を通知し、エッジノードで該当端末の通信遮断を行うことも可能です（AMFアプリケーションプロキシーブラックリスト機能）。

Note
・AMFアプリケーションプロキシーホワイトリスト機能およびブラックリスト機能
　プロキシーノードはエッジノードを兼ねることもできます（サポート機種のみ）。
　AMFコントローラーとの連携はできません。

・AMFアプリケーションプロキシーホワイトリスト機能
　AMFマスターに冗長性を持たせる場合はバーチャルシャーシスタック（VCS）を使用してください（サポート機種のみ）。
　AMFコントローラー配下の複数のローカルマスターと連携する場合は、それぞれのローカルマスターは別エリアにしてください。

AMFアプリケーションプロキシー機能を利用するには、AMF Security、プロキシーノード、エッジノードのそれぞれに設定が必要です。

AMF Securityが管理する情報（AMFアプリケーションプロキシーホワイトリスト機能）

AMF Securityは、登録されたデバイスのMACアドレス情報に基づき、管理下のAMFメンバーのポート認証機能を使用し、デバイスのネットワーク接続を一括して制御することができます。

AMFアプリケーションプロキシーホワイトリスト機能は、AMFメンバーに接続された端末を、AMFマスターがAMF Security（ホワイトリストサーバー）に認証を行うことで、AMF SecurityからAMF対応機器でのアクセス制御を可能にするAMF-SEC（AMF-SECurity）の連携機能です。
これらの条件を満たした場合には、VLAN IDによって定義された論理的な「ネットワーク」への接続ができるようになります。

ロケーション
デバイスの接続を許可する場所。
その場所に設置されたAMFメンバーを登録することで、物理的なネットワーク空間を定義します。
スケジュール
デバイスの接続を許可する期間。
接続を許可する開始日時と終了日時が指定できます。
スイッチポート
デバイスの接続を許可するAMFメンバーのスイッチポート。
特定のスイッチポートに接続した場合のみ、ネットワークへのアクセスを許可します。
ネットワーク
デバイスが接続するVLANサブネット（VLAN IDによって定義された論理的なネットワーク空間）。

表 2：設定可能なセキュリティーポリシー（AMFアプリケーションプロキシーホワイトリスト）

デバイスが持つ管理情報
デバイス	AMFメンバーに接続するネットワーク機器。
└	MACアドレス	デバイスが持つインターフェースのMACアドレス。
	：	（複数設定可能）
└	セキュリティーポリシー	ネットワーク			デバイスを接続するVLANセグメント（VLAN ID）。
		ロケーション			デバイスの接続を許可する物理的な場所、空間。
		└	AMFメンバー		ロケーションに所属するネットワーク機器。
			└	スイッチポート	デバイスの接続を許可するスイッチポート。
			：		（複数設定可能）
		スケジュール			デバイスの接続を許可する期間（開始・終了日時）。
		（複数設定可能）

AMFアプリケーションプロキシーによる遮断

AMF Securityからプロキシーノードへの被疑端末情報の通知

AMF Securityは、被疑端末を検出するセキュリティーソフトウェアや機器から情報を受信した際、または「ポリシー設定」/「アクション追加」画面でアクションを追加した際に、プロキシーノードに被疑端末の情報を通知します。この被疑端末の情報はAMF Security上に登録され、「ポリシー設定」/「アクション一覧」画面に表示されます。
なお、その情報を再度プロキシーノードに通知は行いません。

Note
被疑端末の情報を保持しているプロキシーノードが再起動した場合、被疑端末の情報はプロキシーノードから削除されます。
再起動後、AMF Securityから被疑端末の情報の再通知はないため、プロキシーノードは被疑端末の情報を学習することはできません。
プロキシーノードに被疑端末の情報を学習させるためには、次の手順でAMF Securityから手動で被疑端末の情報を通知してください。
1. 「ポリシー設定」/「アクション一覧」画面を開きます。
2. 「CSV にエクスポート」ボタンをクリックし、CSVファイルを保存します。
3. 「システム設定」/「システム情報」画面を開きます。
4. 認証データの「インポート」ボタンをクリックして、「認証データのアップロード」画面を開きます。
4. 「ファイルを選択」ボタンをクリックし、保存したCSVファイルを選択して、「登録」ボタンをクリックします。

AMFアクション

AMF Securityは被疑端末の情報をプロキシーノードに通知する際に、通信遮断を指示するアクション（AMFアクション）を通知することができます。
AMF Securityで設定するAMFアクションは次のとおりです。

AMF 依存
隔離
パケット破棄
リンクダウン
IPフィルター
ログ

「隔離」、「パケット破棄」、「リンクダウン」、「IPフィルター」、「ログ」を設定した場合は、エッジノード側に設定されたAMFアクションよりも優先して、これらのAMFアクションが実行されます。
「AMF 依存」を設定した場合は、AMF SecurityからAMFアクションは送信されず、エッジノード側で設定されたAMFアクションが実行されます。

Note
複数の外部連携アプリケーションを併用する場合など、AMFマスターに被疑デバイスの情報が複数送信されるようなケースでは同一のAMFアクションを設定してください。
外部連携アプリケーションのAMFアクションの設定は「システム設定」/「トラップ監視設定」画面の「ルール」で行います。
「ポリシー設定」/「アクション一覧」画面で既に登録されている被疑デバイスのAMFアクションを変更したい場合には、先に登録されているアクションを削除してから、新しいアクションを登録してください。

Note
ホワイトリストポートでは「隔離」アクションを併用できません。他のアクションは併用可能です。ホワイトリストで許可された端末であっても、他の遮断アクションの対象となった場合、該当端末からの通信はブロックされます。

被疑端末の遮断解除

被疑端末の遮断を解除（被疑端末の情報を削除）する場合には、「ポリシー設定」/「アクション一覧」画面で該当のアクションを削除します。該当のアクションを削除すると、AMF Securityはプロキシーノードに被疑端末情報を削除するよう通知します。

Note
プロキシーノード上でコマンドを実行することで遮断を解除することもできますが、その場合、プロキシーノードからAMF Securityに被疑デバイス情報を削除する指示は出しません。そのため、AMF Security上では被疑デバイス情報を保持したままになりますので、必要に応じて「ポリシー設定」/「アクション一覧」画面で該当のアクションを削除してください。
プロキシーノード上で実行するコマンドについては、お使いのAlliedWare Plus機器のコマンドリファレンスをご参照ください。

被疑端末の遮断ステータスの表示とメール送信

エッジノードでAMFアクションが適用された被疑端末のステータスは、「デバイス」/「接続中デバイス一覧」画面に表示されます。
これは、AMF Securityが30秒間隔で定期的にプロキシーノードに問い合わせを行って情報を取得します。

Note
本機能を使用するには、お使いのAlliedWare Plus機器のプロキシーノード、エッジノードの双方ともファームウェアバージョン 5.5.0-0.x 以降が必要です。

また、AMF Securityのメール通知設定を行うことでメールを送信することもできます。

「遮断時にメールを送信します。」→「パケット破棄」、「リンクダウン」、「IPフィルター」のアクションで遮断された場合にメールを送信
「隔離時にメールを送信します。」→「隔離」のアクションで隔離された場合にメールを送信

Note
AMF Securityがプロキシーノードに問い合わせを行った際に、被疑端末の情報に更新（別のスイッチに移動後に再度遮断等）があった場合は、「デバイス」/「接続中デバイス一覧」画面に表示した情報を更新し、メール送信も行われます。

AMFマスター（プロキシーノード）、AMFメンバー（エッジノード）の設定

プロキシーノード、エッジノードの設定については、お使いのAlliedWare Plus機器のコマンドリファレンスをご参照ください。
なお、プロキシーノードとなるAlliedWare Plus機器の機種によっては、AMFアプリケーションプロキシー機能を利用するために、別途ライセンスが必要となる場合があります。

Note
被疑端末の遮断ステータスの表示とメール送信を行うためには、AMFアプリケーションプロキシー機能の基本設定に加えて、AMFマスター（プロキシーノード）で、atmf topology-gui enableコマンドを有効にしてください。

AMF Securityの設定

AMFアプリケーションプロキシー機能を利用するためには、AMF SecurityにAMFマスター（プロキシーノード）のIPアドレス、権限レベル15（特権レベル）のアカウントのユーザー名とパスワードを設定する必要があります。

「AMF」/「AMF アプリケーションプロキシー設定」画面を表示します。
「追加」ボタンをクリックします。
「IPv4 アドレス」に、AMFマスター（プロキシーノード）のIPアドレスを入力します。
「ユーザー名」、「パスワード」に、AMFマスター（プロキシーノード）に設定されている権限レベル15（特権レベル）のアカウントのユーザー名とパスワードを入力します。
ダイアログ下部の「登録」ボタンをクリックします。

Note
設定後に別の設定画面へ移動すると、ログイン画面が表示されます。実施した操作は正常に完了していますので、再度ログインを行ってください。
本設定を行うと、AMFマスター（プロキシーノード）への定期問い合わせ（30秒間隔）を行うようになります。

AMF Securityと連携するアプリケーションの設定については、「システム設定」/「トラップ監視設定」をご参照ください。

コントロール対象となるネットワーク機器

AMF Securityによる管理の対象となるAlliedWare Plusスイッチおよび無線LANアクセスポイントについての最新情報は、AMF Securityおよび当該ネットワーク機器のリリースノートにて公開しております。
各製品のコマンドリファレンスおよびリリースノートは弊社ホームページにて公開、または保守契約者向けページに掲載されています。
http://www.allied-telesis.co.jp/

アプリケーション連携ソリューション

AMF Securityは、脅威検出、デバイス管理、人事情報管理など、各種業務アプリケーションとの連携によって、ネットワーク運用の効率化とセキュリティー強化を図ることができます。

連携するサービスやアプリケーションの最新情報については、弊社「AMF-SEC テクノロジーパートナープログラム」を通じて提供されます。パートナープログラムの詳細は、弊社ホームページより「テクノロジーパートナープログラム」をご覧ください。

PN: 613-002874 Rev.B