クイックツアー/AMF Securityについて

AMF Securityの位置づけ
AMF Securityが管理する情報(OpenFlow)
AMFアプリケーションプロキシー機能とは
AMF Securityが管理する情報(AMFアプリケーションプロキシーホワイトリスト機能)
AMFマスター(プロキシーノード)、AMFメンバー(エッジノード)の設定
AMFアプリケーションプロキシーによる遮断
AMF Securityからプロキシーノードへの被疑端末情報の通知
AMFアクション
被疑端末の遮断解除
被疑端末の遮断ステータスの表示とメール送信
AMFマスター(プロキシーノード)、AMFメンバー(エッジノード)の設定
AMF Securityの設定
TQのAMFアプリケーションプロキシー機能
TQのダイナミック VLAN使用時の動作
クリティカルモード
コントロール対象となるネットワーク機器
アプリケーション連携ソリューション


AMF Securityの位置づけ

AMF-SEC(AMF-SECurity)は、ネットワーク運用管理の効率化とセキュリティー強化をSDN技術で実現するソリューションです。
AMF Securityは、同ソリューションの中核をなすSDNコントローラーとして、弊社のAMF(アライドテレシスマネージメントフレームワーク)対応製品と各種ビジネス・セキュリティー関連アプリケーションとの連携を実現します。


AMF Securityが管理する情報(OpenFlow)

AMF Securityは、登録されたデバイスのMACアドレス情報に基づき、管理下のOpenFlow対応ネットワークスイッチおよび無線LANアクセスポイント(以後、総称して「OpenFlowスイッチ」と記載します)にパケット制御フロー(フローエントリー)を設定(送信)し、デバイスのネットワーク接続を一括して制御することができます。

管理下のOpenFlowスイッチとはTCPセッションを確立し、OpenFlowプロトコルを使用して制御を行います。

デバイスには、ネットワークに接続可能な「ロケーション(場所)」と「スケジュール(期間)」の2つの条件を設定します。
また、「ロケーション」に設置された「OpenFlowスイッチ」やその「スイッチポート」といった、より細かな条件を指定することもできます。
これらの条件を満たした場合には、VLAN IDによって定義された論理的な「ネットワーク」への接続ができるようになります。
これらの要素をセキュリティーポリシーと呼びます。

デバイスが持つMACアドレスインターフェースは、デバイスに割り当てられたセキュリティーポリシーをもとに接続・遮断・隔離といった管理を受けます。
デバイスには、複数のMACアドレスインターフェースを設定できます。
例えば、デバイスに無線インターフェースと有線インターフェースの2つのMACアドレスが登録されている場合、設定されたロケーション、スケジュールの条件を満たせば、どちらのインターフェースからでも同じネットワークへの接続が許可されます。

表 1:設定可能なセキュリティーポリシー(OpenFlow)
デバイスが持つ管理情報
デバイス OpenFlowスイッチに接続するネットワーク機器。
MACアドレス デバイスが持つインターフェースのMACアドレス。
(複数設定可能)
セキュリティーポリシー ネットワーク デバイスを接続するVLANセグメント(VLAN ID)。
ロケーション デバイスの接続を許可する物理的な場所、空間。
OpenFlowスイッチ ロケーションに所属するネットワーク機器。
スイッチポート デバイスの接続を許可するスイッチポート。
(複数設定可能)
スケジュール デバイスの接続を許可する期間(開始・終了日時)。
(複数設定可能)


OpenFlowスイッチのネットワークポートには、OpenFlowコントローラーとの通信を行うための「コントロールプレーンポート」と、OpenFlowによって制御されユーザートラフィックが流れる「データプレーンポート」があります。
AMF Securityでは、データプレーンポートは、さらに役割の異なる「アップストリームポート」と「クライアントポート」の2つに分かれます。
AMF Securityは、ファイアウォールなどによって、アップストリームポートがより高位のセキュリティーによって保護されていることを前提としており、クライアントポートに接続されるデバイスを管理対象とします。
アップストリームポートは、初期設定では、最もOpenFlowポート番号が小さいポートに設定されます。この設定はOpenFlowスイッチ単位で変更可能です。


AMFアプリケーションプロキシー機能とは

AMFアプリケーションプロキシー機能は、AMFメンバー(エッジノード)に接続された端末を、AMFマスター(プロキシーノード)がAMF Securityに認証を行うことで通信制御を行います(AMFアプリケーションプロキシーホワイトリスト機能)。
また、AMF Securityからプロキシーノードに被疑端末の情報を通知し、エッジノードで該当端末の通信遮断を行うことも可能です(AMFアプリケーションプロキシーブラックリスト機能)。
Note
・AMFアプリケーションプロキシーホワイトリスト機能およびブラックリスト機能
 プロキシーノードはエッジノードを兼ねることもできます(サポート機種のみ)。
 AMFコントローラーとの連携はできません。

・AMFアプリケーションプロキシーホワイトリスト機能
 AMFマスターに冗長性を持たせる場合はバーチャルシャーシスタック(VCS)を使用してください(サポート機種のみ)。
 AMFコントローラー配下の複数のローカルマスターと連携する場合は、それぞれのローカルマスターは別エリアにしてください。

AMFアプリケーションプロキシー機能を利用するには、AMF Security、プロキシーノード、エッジノードのそれぞれに設定が必要です。


AMF Securityが管理する情報(AMFアプリケーションプロキシーホワイトリスト機能)

AMF Securityは、登録されたデバイスのMACアドレス情報に基づき、管理下のAMFメンバーのポート認証機能を使用し、デバイスのネットワーク接続を一括して制御することができます。

AMFアプリケーションプロキシーホワイトリスト機能は、AMFメンバーに接続された端末を、AMFマスターがAMF Security(ホワイトリストサーバー)に認証を行うことで、AMF SecurityからAMF対応機器でのアクセス制御を可能にするAMF-SEC(AMF-SECurity)の連携機能です。
これらの条件を満たした場合には、VLAN IDによって定義された論理的な「ネットワーク」への接続ができるようになります。
これらの要素をセキュリティーポリシーと呼びます。

デバイスが持つMACアドレスインターフェースは、デバイスに割り当てられたセキュリティーポリシーをもとに接続・遮断・隔離といった管理を受けます。
デバイスには、複数のMACアドレスインターフェースを設定できます。
例えば、デバイスに無線インターフェースと有線インターフェースの2つのMACアドレスが登録されている場合、設定されたロケーション、スケジュールの条件を満たせば、どちらのインターフェースからでも同じネットワークへの接続が許可されます。

表 2:設定可能なセキュリティーポリシー(AMFアプリケーションプロキシーホワイトリスト)
デバイスが持つ管理情報
デバイス AMFメンバーに接続するネットワーク機器。
MACアドレス デバイスが持つインターフェースのMACアドレス。
(複数設定可能)
セキュリティーポリシー ネットワーク デバイスを接続するVLANセグメント(VLAN ID)。
ロケーション デバイスの接続を許可する物理的な場所、空間。
AMFメンバー ロケーションに所属するネットワーク機器。
スイッチポート デバイスの接続を許可するスイッチポート。
(複数設定可能)
スケジュール デバイスの接続を許可する期間(開始・終了日時)。
(複数設定可能)

Note
本機能を使用するには、お使いのAlliedWare Plus機器のプロキシーノード、エッジノードの双方ともファームウェアバージョン 5.5.0-0.x 以降が必要です。
Note
次に示す設定または操作で、「デバイス」/「接続中 デバイス一覧」画面に表示されるAMFアプリケーションプロキシー機能で認証されている端末情報を表示させる場合には、お使いのAlliedWare Plus機器のプロキシーノード、エッジノードの双方ともファームウェアバージョン 5.5.0-0.x 以降が必要です。また、プロキシーノード、エッジノードの設定については、「AMFマスター(プロキシーノード)、AMFメンバー(エッジノード)の設定」をご参照ください。

 ・「AMF」/「AMF アプリケーションプロキシー 設定」画面の「AMFメンバーがネットワークに接続した時に認証済み端末リストの再読み込みを行います。」のチェックボックスにチェックが入っている
 ・「スイッチ」/「接続中 AMF メンバー 一覧」画面で「同期」ボタンをクリックする


AMFマスター(プロキシーノード)、AMFメンバー(エッジノード)の設定

管理するAMFノードで以下は必須の設定です。
詳細な設定については、お使いのAlliedWare Plus機器のコマンドリファレンスをご参照ください。
なお、プロキシーノードとなるAlliedWare Plus機器の機種によっては、AMFアプリケーションプロキシー機能を利用するために、別途ライセンスが必要となる場合があります。


AMFアプリケーションプロキシーによる遮断


AMF Securityからプロキシーノードへの被疑端末情報の通知

AMF Securityは、被疑端末を検出するセキュリティーソフトウェアや機器から情報を受信した際、または「ポリシー設定」/「アクション追加」画面でアクションを追加した際に、プロキシーノードに被疑端末の情報を通知します。この被疑端末の情報はAMF Security上に登録され、「ポリシー設定」/「アクション一覧」画面に表示されます。
なお、その情報を再度プロキシーノードに通知は行いません。

Note
被疑端末の情報を保持しているプロキシーノードが再起動した場合、被疑端末の情報はプロキシーノードから削除されます。
再起動後、AMF Securityから被疑端末の情報の再通知はないため、プロキシーノードは被疑端末の情報を学習することはできません。
プロキシーノードに被疑端末の情報を学習させるためには、次の手順でAMF Securityから手動で被疑端末の情報を通知してください。
1. 「ポリシー設定」/「アクション一覧」画面を開きます。
2. 「CSV にエクスポート」ボタンをクリックし、CSVファイルを保存します。
3. 「システム設定」/「システム情報」画面を開きます。
4. 認証データの「インポート」ボタンをクリックして、「認証データのアップロード」画面を開きます。
5. 「ファイルを選択」ボタンをクリックし、保存したCSVファイルを選択して、「登録」ボタンをクリックします。


AMFアクション

AMF Securityは被疑端末の情報をプロキシーノードに通知する際に、通信遮断を指示するアクション(AMFアクション)を通知することができます。
AMF Securityで設定するAMFアクションは次のとおりです。
「隔離」、「パケット破棄」、「リンクダウン」、「IPフィルター」、「ログ」を設定した場合は、エッジノード側に設定されたAMFアクションよりも優先して、これらのAMFアクションが実行されます。
「AMF 依存」を設定した場合は、AMF SecurityからAMFアクションは送信されず、エッジノード側で設定されたAMFアクションが実行されます。
Note
複数の外部連携アプリケーションを併用する場合など、AMFマスターに被疑デバイスの情報が複数送信されるようなケースでは同一のAMFアクションを設定してください。
外部連携アプリケーションのAMFアクションの設定は「システム設定」/「トラップ監視設定」画面の「ルール」で行います。
ポリシー設定」/「アクション一覧」画面で既に登録されている被疑デバイスのAMFアクションを変更したい場合には、先に登録されているアクションを削除してから、新しいアクションを登録してください。
Note
ホワイトリストポートで「隔離」アクションを併用する場合は、お使いのAlliedWare Plus機器のプロキシーノード、エッジノードの双方ともファームウェアバージョン 5.5.0-2.x 以降が必要です。
Note
ホワイトリストで許可された端末であっても、AMFアクションの対象となった場合、該当端末からの通信はアクションに従った処理になります。


被疑端末の遮断解除

被疑端末の遮断を解除(被疑端末の情報を削除)する場合には、「ポリシー設定」/「アクション一覧」画面で該当のアクションを削除します。該当のアクションを削除すると、AMF Securityはプロキシーノードに被疑端末情報を削除するよう通知します。

Note
プロキシーノード上でコマンドを実行することで遮断を解除することもできますが、その場合、プロキシーノードからAMF Securityに被疑デバイス情報を削除する指示は出しません。そのため、AMF Security上では被疑デバイス情報を保持したままになりますので、必要に応じて「ポリシー設定」/「アクション一覧」画面で該当のアクションを削除してください。
プロキシーノード上で実行するコマンドについては、お使いのAlliedWare Plus機器のコマンドリファレンスをご参照ください。


被疑端末の遮断ステータスの表示とメール送信

エッジノードでAMFアクションが適用された被疑端末のステータスは、「デバイス」/「接続中 デバイス一覧」画面に表示されます。
これは、AMF Securityが30秒間隔で定期的にプロキシーノードに問い合わせを行って情報を取得します。
Note
本機能を使用するには、お使いのAlliedWare Plus機器のプロキシーノード、エッジノードの双方ともファームウェアバージョン 5.5.0-0.x 以降が必要です。

また、「システム設定」/「メール通知設定」画面でAMF Securityのメール通知設定を行うことで、メールを送信することもできます。
Note
AMF Securityがプロキシーノードに問い合わせを行った際に、被疑端末の情報に更新(別のスイッチに移動後に再度遮断等)があった場合は、「デバイス」/「接続中 デバイス一覧」画面に表示した情報を更新し、メール送信も行われます。


AMFマスター(プロキシーノード)、AMFメンバー(エッジノード)の設定

管理するAMFノードで以下は必須の設定です。

詳細な設定については、お使いのAlliedWare Plus機器のコマンドリファレンスをご参照ください。
なお、プロキシーノードとなるAlliedWare Plus機器の機種によっては、AMFアプリケーションプロキシー機能を利用するために、別途ライセンスが必要となる場合があります。


AMF Securityの設定

AMFアプリケーションプロキシー機能を利用するためには、AMF SecurityにAMFマスター(プロキシーノード)のIPアドレス、権限レベル15(特権レベル)のアカウントのユーザー名とパスワードを設定する必要があります。
  1. AMF」/「AMF アプリケーションプロキシー 設定」画面を表示します。

  2. 「追加」ボタンをクリックします。

  3. 「IPv4 アドレス」に、AMFマスター(プロキシーノード)のIPアドレスを入力します。

  4. 「ユーザー名」、「パスワード」に、AMFマスター(プロキシーノード)に設定されている権限レベル15(特権レベル)のアカウントのユーザー名とパスワードを入力します。

  5. ダイアログ下部の「登録」ボタンをクリックします。
Note
本設定を行うと、AMFマスター(プロキシーノード)への定期問い合わせ(30秒間隔)を行うようになります。

AMF Securityと連携するアプリケーションの設定については、「システム設定」/「トラップ監視設定」をご参照ください。


TQのAMFアプリケーションプロキシー機能

TQのAMFアプリケーションプロキシー機能は、TQに接続された無線端末をAMF Securityが認証を行うことで通信制御を行います(AMFアプリケーションプロキシーホワイトリスト機能)。
また、連携する外部アプリケーションから被疑端末のIPアドレスをAMF Securityが受け取ると、そのIPアドレスをもとにAT-Vista Manager EXに端末のMACアドレスの問い合わせを行い、AWCプラグインが保持しているMACアドレスを取得して端末の通信制御が行われます(AMFアプリケーションプロキシーブラックリスト機能)。

サポートするアクションは、パケット破棄、隔離、ログ(該当デバイスの通信制御は行わずログの出力のみ)です。

Note
TQのAMFアプリケーションプロキシー機能の設定は、AWCプラグインから行います。
Note
AT-VST-APL/AT-VST-VRT版のAT-Vista Manager EXを使用する場合、AMF Securityは直接AWCプラグインに問い合わせを行います。
Note
無線端末が接続した際の認証は、「AMFアプリケーションプロキシー(AMF Security)による認証」→「VAP(マルチSSID)設定のセキュリティーで設定されている認証」の順で行われます。双方の認証が成功しないと無線端末の接続は許可されません。
Note
TQのAMFアプリケーションプロキシー機能では、以下の項目は未サポートです。
・ロケーションポリシー
・スケジュールポリシー
・セッションタイムアウト
・TQ上の認証情報の取得
・端末のIPアドレス表示
・デバイスの探索
・アカウントグループ
Note
接続中のOpenFlowスイッチとAMFマスターとの接続がいったん切断される設定を行うと、TQのAMFアプリケーションプロキシー機能で既に管理されているデバイス(「デバイス」/「接続中 デバイス一覧」画面に表示されているデバイス)が存在する場合、そのデバイスの認証、およびアクションは適用されたままになりますが、「デバイス」/「接続中 デバイス一覧」画面の表示からは削除されます。

本機能を使用するには、以下の製品と対応バージョンが必要です。

表 3:AT-TQ5403/AT-TQ5403e
対応製品
対応バージョン
AT-TQ5403/AT-TQ5403e 6.0.1-6.1以降
AT-Vista Manager EX(AWCプラグイン) 3.6.0以降
AMF Security 2.3.0

表 4:AT-TQ6602
対応製品
対応バージョン
AT-TQ6602 7.0.1-1.1(リリース予定)
AT-Vista Manager EX(AWCプラグイン) 3.7.0
AMF Security 2.3.0


TQのダイナミック VLAN使用時の動作

TQのAMFアプリケーションプロキシー機能は、TQのVAP(マルチSSID)設定のセキュリティーでWPA Enterpriseを選択した場合、ダイナミック VLANの無効・有効によって認証時に無線端末に付与するVLAN IDが異なります。

ダイナミック VLAN無効時:
無線端末の認証をAMF Securityで行い、AMF SecurityからVLAN IDが付与されている場合、無線端末の所属VLANはAMF SecurityのVLAN IDとなります。AMF SecurityからVLAN IDが付与されていない場合、無線端末はVAPのVLAN IDに所属します。

Note
AMF SecurityからVLAN IDが付与されない場合のAMF Securityの設定は以下のとおりです。
・ポリシー設定(隔離VLAN ID)でVLAN ID 0のネットワークを設定
・ネットワークを設定しない

ダイナミック VLAN有効時:
無線端末の認証をAMF Securityで行い、その後にWPA Enterprise側のRADIUSサーバーで認証を行います。無線端末が所属するVLANは以下のとおりです。
ただし、AMF Securityから隔離VLANのVLAN IDが付与されている場合は、ダイナミックVLANのVLAN IDの有無にかかわらず、AMF Securityから付与される隔離VLAN IDに所属します。

表 5:無線端末が所属するVLAN
AMF Security付与VLAN ID
RADIUSサーバー付与VLAN ID
無線端末所属VLAN
あり
あり
RADIUSサーバー付与VLAN ID
なし
なし
VAP VLAN ID
なし
あり
RADIUSサーバー付与VLAN ID
あり
なし
AMF Security付与VLAN ID


Note
AMF SecurityでVLAN IDなしの設定は以下のとおりです。
・ポリシー設定(隔離VLAN ID)でVLAN ID 0のネットワークを設定
・ネットワークを設定しない

■ TQにVLAN ID 1が付与された場合の動作
TQにVLAN ID 1が付与された場合の動作は、TQの管理VLANタグの設定によって異なります
詳細は、TQのリファレンスマニュアルをご参照ください。

クリティカルモード

クリティカルモードは、AMF Securityに電源断などの障害が発生した場合に、新規で接続する無線端末の処理を選択できます。

無効:
新規で接続する無線端末は、AMF Securityによる認証ができないため接続がすべて拒否されます。
なお、既に接続していた無線端末はそのまま通信できます。

有効:
新規で接続する無線端末をAMF Securityの認証なしで許可します。
通常は、AMF Securityの認証が成功してからVAP(マルチSSID)設定のセキュリティーで設定されている認証が行われますが、AMF Securityによる認証を行わずにVAP(マルチSSID)設定のセキュリティーで設定されている認証に進みます。
無線端末が所属するVLANは、VAP(マルチSSID)設定のセキュリティーで設定されている認証が成功した際に決定したVLANになります。


コントロール対象となるネットワーク機器

AMF Securityによる管理の対象となるAlliedWare Plusスイッチおよび無線LANアクセスポイントについての最新情報は、AMF Securityおよび当該ネットワーク機器のリリースノートにて公開しております。
各製品のコマンドリファレンスおよびリリースノートは弊社ホームページにて公開、または保守契約者向けページに掲載されています。
http://www.allied-telesis.co.jp/

アプリケーション連携ソリューション

AMF Securityは、脅威検出、デバイス管理、人事情報管理など、各種業務アプリケーションとの連携によって、ネットワーク運用の効率化とセキュリティー強化を図ることができます。

連携するサービスやアプリケーションの最新情報については、弊社「AMF-SEC テクノロジー パートナープログラム」を通じて提供されます。パートナープログラムの詳細は、弊社ホームページより「AMF-SEC テクノロジー パートナープログラム」をご覧ください。


(C) 2020-2021 アライドテレシスホールディングス株式会社

PN: 613-002874 Rev.C