[index] AMF Security(AT-VST-APL版)リファレンスマニュアル 2.6.0

設定例 / TQのAMFアプリケーションプロキシー機能によるデバイスの制御

TQのAMFアプリケーションプロキシー機能の設定例
設定の流れ
構成
主な基本設定
各製品の情報
各製品の設定情報
AWCプラグインの設定手順
AMF Securityの設定手順
ARルーターの設定
リダイレクトURLのアクション使用時の設定
AWCプラグインの設定
AMF Securityの設定
表示例

TQのAMFアプリケーションプロキシー機能の設定例

この例は、TQのAMFアプリケーションプロキシーホワイトリスト機能とAMFアプリケーションプロキシーブラックリスト機能の基本設定です。
AMFアプリケーションプロキシーブラックリスト機能で連携するアプリケーションは、ARルーターのAT-AR3050S/AR4050SのUTM(Unified Threat Management)関連機能を使用し、アクションは隔離(指定したVLANにアサイン)を設定します。
Note
パケット破棄、隔離、ログのアクション使用時のAWCプラグインの設定は共通です。各アクションの設定、隔離用のVLAN IDの設定(隔離アクション使用時)はAMF Securityで行います。リダイレクトURLのアクション使用時は前述のアクション使用時とは異なりますが、設定する情報は記載しています。なお、リダイレクトURLアクション用のサイトはAMF Securityのサイトを使用します。リダイレクトURLのアクション使用時は、「リダイレクトURLのアクション使用時の設定」もご参照ください。
Note
製品によって必要なライセンスが異なりますので、弊社ホームページなどでご確認ください。
Note
ARルーターのUTM関連機能のうち、AMF Securityと連携可能な機能は、付録「AT-AR3050S/AT-AR4050Sの設定」をご参照ください。
Note
ログなどの記録日時を正確に保ち、各種機能を適切に動作させるため、各製品のシステム時刻は正確に合わせて運用することをおすすめします。なおAMF Securityは、AT-VST-APLのシステム時刻を取得して使用します。AMF Securityのタイムゾーンの設定はAMF Securityで行いますが、NTPの同期先の設定はAT-VST-APLで行います。
本設定例では、TQのダイナミック VLAN無効時を例にしています。ダイナミック VLAN有効時の設定で異なる箇所は、Noteで説明します。
また、AMF Securityに電源断などの障害が発生した場合に新規で接続する無線端末を、VAPに設定されたVLAN IDに所属させるために、クリティカルモードを有効にします。
Note
TQのAMFアプリケーションプロキシー機能は、VAP(マルチSSID)設定のセキュリティーでWPA エンタープライズを選択した場合、ダイナミック VLANの無効・有効によって認証時の動作が異なります。動作については、クイックツアー「AMF Securityについて」/「TQのAMFアプリケーションプロキシー機能」をご参照ください。
クリティカルモードの動作については、クイックツアー「AMF Securityについて」/「TQのAMFアプリケーションプロキシー機能」の「クリティカルモード」をご参照ください。

設定の流れ

TQのAMFアプリケーションプロキシー機能を使用する際の設定は、以下の流れで行います。
Note
TQに対するAMFアプリケーションプロキシー機能の設定は、AWCプラグインから行います(TQの管理画面からは行えません)。

構成

本設定例では以下の構成を想定していますが、各製品の基本設定は完了しているものとします。

主な基本設定

AMF SecurityとVista Manager EX/TQ/ARルーターは、同一セグメント・別セグメントを問わずIPv4通信が可能な状態にします。
Note
各製品の設定の詳細は、それぞれの製品のマニュアルをご参照ください。
Note
本構成のAMFマスターは、AT-VST-APLのAMF Cloudではなく別の機器を使用していますが、AT-VST-APLのAMF Cloudを使用することもできます。
Note
AT-VST-APLの基本設定(IPアドレスやスタティック経路などの設定)の詳細は、「AT-VST-APL リファレンスマニュアル」をご参照ください。
Note
AT-VST-APLで行うAMF Securityの基本設定(アプリケーションの設定)の詳細は、「AT-VST-APL リファレンスマニュアル」をご参照ください。

各製品の情報

各製品の情報を次に示します。
表 1:AT-Vista Manager EXの情報
項目名 情報
IPアドレス 192.168.1.10
ユーザーID manager
パスワード TopSecret0!
表 2:AWCプラグインの情報
項目名 情報
IPアドレス 192.168.1.20
AWCプラグインのポート番号 5443
表 3:AMF Securityの情報
項目名 情報
IPアドレス 192.168.1.30
表 4:ARルーターの情報
項目名 情報
syslogメッセージ送信時の送信元IPv4アドレス vlan1インターフェースのIPアドレス(192.168.1.1)

各製品の設定情報

各製品に設定する情報を次に示します。
Note
AWCプラグインに設定する情報とAMF Securityに設定する情報は、パケット破棄、隔離、ログのアクション使用時と、リダイレクトURLのアクション使用時のそれぞれを記載します。使用するアクションに合わせてご参照ください。
表 5:AWCプラグインに設定する情報:パケット破棄、隔離、ログのアクション使用時
項目名 設定する情報
システム設定/アクセス許可設定/AMF Security WebAPI
AMF SecurityのIPアドレス 192.168.1.30
無線設定/AP共通設定/VAP(マルチSSID)設定/詳細設定
MACアクセス制御 AMFアプリケーションプロキシー
AMFアプリケーションプロキシーサーバー Primary IPアドレス 192.168.1.30
AMFアプリケーションプロキシーサーバー Primary シークレット password
AMFアプリケーションプロキシーサーバー ポート番号 1812
クリティカルモード 有効
Note
AMFアプリケーションプロキシーサーバー ポート番号は、1812のみサポートです。
表 6:AWCプラグインに設定する情報:リダイレクトURLのアクション使用時
項目名 設定する情報
システム設定/アクセス許可設定/AMF Security WebAPI
AMF SecurityのIPアドレス 192.168.1.30
無線設定/AP共通設定/VAP(マルチSSID)設定/詳細設定
MACアクセス制御 AMFアプリケーションプロキシー
リダイレクトURL 有効
外部ページURL http://192.168.1.30:8000/index.html
AMFアプリケーションプロキシーサーバー Primary IPアドレス 192.168.1.30
AMFアプリケーションプロキシーサーバー Primary シークレット password
AMFアプリケーションプロキシーサーバー ポート番号 1812
クリティカルモード 有効
Note
AMFアプリケーションプロキシーサーバー ポート番号は、1812のみサポートです。
表 7:AMF Securityに設定する情報:隔離のアクション使用時
項目名 設定する情報
AMF/TQ設定
共通設定
隔離/リダイレクトURL VLAN ID 250
VistaManagerEX
Vista Manager EXのIPv4アドレス 192.168.1.20
AWCプラグインのポート番号 5443
Vista Manager EXのユーザー名 manager
Vista Manager EXのパスワード TopSecret0!
TQ
TQ5403-1のIPv4アドレス 192.168.10.151
事前共有鍵(PSK) password
TQ5403-2のIPv4アドレス 192.168.10.152
事前共有鍵(PSK) password
システム設定/トラップ監視設定/ルール
ホストアドレス 192.168.1.1
OpenFlow/TQ アクション 隔離
トラップ監視対象 選択リスト すべてにチェック
Note
AT-VST-APLのAT-Vista Manager EXを使用するため、「Vista Manager EXのIPv4アドレス」にはAWCプラグインのIPv4アドレスを指定します。
表 8:AMF Securityに設定する情報:パケット破棄、ログのアクション使用時
項目名 設定する情報
AMF/TQ設定
VistaManagerEX
Vista Manager EXのIPv4アドレス 192.168.1.20
AWCプラグインのポート番号 5443
Vista Manager EXのユーザー名 manager
Vista Manager EXのパスワード TopSecret0!
TQ
TQ5403-1のIPv4アドレス 192.168.10.151
事前共有鍵(PSK) password
TQ5403-2のIPv4アドレス 192.168.10.152
事前共有鍵(PSK) password
システム設定/トラップ監視設定/ルール
ホストアドレス 192.168.1.1
OpenFlow/TQ アクション パケット破棄、もしくはログ
トラップ監視対象 選択リスト すべてにチェック
Note
「共通設定」の「隔離/リダイレクトURL VLAN ID」はパケット破棄、ログのアクションでは使用されませんので、デフォルトのままにします。
Note
「OpenFlow/TQ アクション」は使用するアクションを指定してください。
Note
AT-VST-APLのAT-Vista Manager EXを使用するため、「Vista Manager EXのIPv4アドレス」にはAWCプラグインのIPv4アドレスを指定します。
表 9:AMF Securityに設定する情報:リダイレクトURLのアクション使用時
項目名 設定する情報
AMF/TQ設定
共通設定
隔離/リダイレクトURL VLAN ID 250
VistaManagerEX
Vista Manager EXのIPv4アドレス 192.168.1.20
AWCプラグインのポート番号 5443
Vista Manager EXのユーザー名 manager
Vista Manager EXのパスワード TopSecret0!
TQ
TQ5403-1のIPv4アドレス 192.168.10.151
事前共有鍵(PSK) password
TQ5403-2のIPv4アドレス 192.168.10.152
事前共有鍵(PSK) password
システム設定/トラップ監視設定/ルール
ホストアドレス 192.168.1.1
OpenFlow/TQ アクション リダイレクトURL
トラップ監視対象 選択リスト すべてにチェック
AMF/リダイレクトURL設定
デバイス隔離用サイトの設定
ポート番号 8000
サイトコンテンツのカスタマイズ
現在のサイトコンテンツ デフォルト
Note
AT-VST-APLのAT-Vista Manager EXを使用するため、「Vista Manager EXのIPv4アドレス」にはAWCプラグインのIPv4アドレスを指定します。
表 10:AMF Securityに登録するデバイス(無線端末)の認証情報
項目名 設定する情報
デバイス1
デバイス ID Device1
MACアドレス 00:00:00:00:00:01
ネットワーク(VLAN) VLAN100
デバイス2
デバイス ID Device2
MACアドレス 00:00:00:00:00:02
ネットワーク(VLAN) VLAN101
表 11:ARルーターに設定する情報
項目名 設定する情報
UTM関連機能のログ出力先 192.168.1.30

AWCプラグインの設定手順

  1. アクセスを許可するAMF SecurityのIPアドレスを設定します。
    AWCプラグインメニューから「システム設定」→「アクセス許可設定」の「編集」ボタンをクリックします。
    「アクセス許可設定(AMF Security WebAPI)」ダイアログが表示されます。

  2. アクセスを許可するIPアドレスにAMF SecurityのIPアドレス「192.168.1.30」を入力して、「追加」ボタンをクリックします。

  3. IPアドレスの欄に入力したIPアドレス「192.168.1.30」が表示されていることを確認して、「保存」ボタンをクリックします。

  4. 「アクセス許可設定」の「編集」ボタンの横に、設定したIPアドレス「192.168.1.30」が表示されていることを確認します。

  5. TQに割り当てたAP共通設定に、AMFアプリケーションプロキシー機能の情報を設定します。
    AWCプラグインメニューから「無線設定」→「AP共通設定」をクリックします。
    AP共通設定一覧が表示されます。

    Note
    AMFアプリケーションプロキシー機能はVAPに設定を行います。そのため、AMFアプリケーションプロキシー機能を使用するすべてのVAPに設定を行ってください。
  6. AP共通設定一覧から、編集するAP共通設定の「詳細」ボタン(虫めがねアイコン)をクリックします。

  7. AP共通設定の詳細画面が表示されます。コンテンツ欄右上の「編集」ボタンをクリックします。

  8. 設定を行う無線バンドを画面上部のボタンから選択します。
    ここでは、無線3を選択します。

  9. VAP(マルチSSID)設定のVAP一覧から設定するVAPをクリックして、詳細設定をクリックします。

  10. MACアクセス制御で「AMFアプリケーションプロキシー」を選択します。

  11. AMFアプリケーションプロキシー関連の情報を設定します。
    パケット破棄、隔離、ログのアクション使用時は、次の情報を設定します。
    表 12:設定する情報
    項目名 設定する情報
    AMFアプリケーションプロキシーサーバー Primary IPアドレス 192.168.1.30
    AMFアプリケーションプロキシーサーバー Primary シークレット password
    AMFアプリケーションプロキシーサーバー ポート番号 1812
    クリティカルモード 有効

    リダイレクトURLのアクション使用時は、「リダイレクトURLのアクション使用時の設定」をご参照ください。
  12. 上記の情報を設定後、コンテンツ欄右上の「保存」ボタンをクリックします。
    設定が反映されるまでお待ちください。

    設定が反映されると、AP共通設定の詳細画面に戻ります。

  13. AP共通設定をTQに適用します。
    AWCプラグインメニューから「無線設定」→「AP登録・設定」をクリックします。
    無線APの一覧が表示されます。

  14. 無線AP「TQ5403-1」と「TQ5403-2」のチェックボックスにチェックを入れます。

  15. コンテンツ欄右上のスパナアイコンにマウスオーバーし、表示されるメニューから「設定適用」をクリックします。

  16. 「設定適用」ダイアログが表示されますので、「OK」ボタンをクリックします。

  17. 完了のメッセージが表示されたら、「閉じる」ボタンをクリックします。


  18. 「設定状態」が「最新」になっていることを確認します。

AWCプラグインの設定は以上です。

AMF Securityの設定手順

  1. 「AMF」/「TQ設定」画面を表示して、隔離 VLAN ID、Vista Manager EX、TQの情報を設定します。

  2. 共通設定の隔離/リダイレクトURL VLAN IDに隔離VLANの「250」を入力して、「登録」ボタンをクリックします。
    Note
    パケット破棄、ログのアクション使用時は、デフォルトのままで設定は行わないため、手順4に進んでください。リダイレクトURLのアクション使用時は、隔離のアクション使用時と同様に本設定を行います。なお、リダイレクトURLのアクション使用時は、「リダイレクトURLのアクション使用時の設定」もご参照ください。

  3. 確認のダイアログが表示されますので、「OK」ボタンをクリックします。


  4. VistaManagerEXの「追加」ボタンをクリックします。
    「VistaManagerEX 編集」ダイアログが表示されます。

  5. Vista Manager EXの情報を設定します。
    次の情報を設定します。
    表 13:設定する情報
    項目名 設定する情報
    Vista Manager EXのIPv4アドレス 192.168.1.20
    AWCプラグインのポート番号 5443
    Vista Manager EXのユーザー名 manager
    Vista Manager EXのパスワード TopSecret0!
    Note
    AT-VST-APLのAT-Vista Manager EXを使用するため、「Vista Manager EXのIPv4アドレス」にはAWCプラグインのIPv4アドレスを指定します。

  6. 上記の情報を設定後、「登録」ボタンをクリックします。
    確認のダイアログが表示されますので、「OK」ボタンをクリックします。


  7. TQ 一覧の「追加」ボタンをクリックします。
    「TQ 編集」ダイアログが表示されます。

  8. TQの情報を設定します。
    次の情報を設定します。
    表 14:設定する情報
    項目名 設定する情報
    TQ5403-1のIPv4アドレス 192.168.10.151
    事前共有鍵(PSK) password

  9. 上記の情報を設定後、「登録」ボタンをクリックします。
    確認のダイアログが表示されますので、「OK」ボタンをクリックします。


  10. 1台目のTQと同じ手順で、2台目のTQも設定します。
    表 15:設定する情報
    項目名 設定する情報
    TQ5403-2のIPv4アドレス 192.168.10.152
    事前共有鍵(PSK) password

    Note
    TQの設定はCSVファイルを使用してインポートすることができます。
    CSVファイルの書式については、リファレンス編「AMF」/「TQ設定」をご参照ください。
    連携アプリケーションの設定
  11. 「システム設定」/「トラップ監視設定」画面を表示して、連携するアプリケーションとして使用するAT-AR3050S/AR4050SのUTM関連機能のルールを設定します。

  12. ルールで「このシステムのトラップ監視を有効にします。」のチェックボックスにチェックを入れます。

  13. ARルーター、アクション、トラップ監視対象の情報を設定します。
    次の情報を設定します。
    表 16:設定する情報
    項目名 設定する情報
    ホストアドレス 192.168.1.1
    OpenFlow/TQ アクション 隔離
    トラップ監視対象 選択リスト すべてにチェック

    パケット破棄、ログのアクション使用時は、「パケット破棄」、もしくは「ログ」を設定し、リダイレクトURLのアクション使用時は、「リダイレクトURL」を設定してください。なお、リダイレクトURLのアクション使用時は、「リダイレクトURLのアクション使用時の設定」もご参照ください。
    Note
    ホストアドレスは、設定されたIPアドレスからの通知のみを受信する設定です。
    トラップ監視対象は、ここではすべてを対象にしていますが、連携はARルーターで設定されているファイアウォール/UTMになります。
    連携可能な機能については、付録「AT-AR3050S/AT-AR4050Sの設定」をご参照ください。
  14. 上記の情報を設定後、「登録」ボタンをクリックします。
    確認のダイアログが表示されますので、「OK」ボタンをクリックします。


    認証情報(ポリシー)の登録
  15. デバイス(無線端末)の認証情報を登録します。
    「ポリシー設定」/「ネットワーク一覧」画面を開き、「ネットワーク追加」ボタンをクリックして、「ネットワーク追加」画面を開きます。
    Note
    TQのVAP(マルチSSID)設定のセキュリティーでWPA エンタープライズを選択しダイナミック VLANを有効にして、WPA エンタープライズ側のRADIUSサーバーから付与されるVLAN IDに無線端末を所属させる場合には、ネットワークのポリシーの設定は不要です。

  16. VLAN100を登録するため、ネットワーク ID、VLAN IDを次のとおり入力して、「登録」ボタンをクリックします。
    表 17:設定する情報
    項目名 設定する情報
    ネットワーク ID VLAN100
    VLAN ID 100


  17. VLAN100の登録と同じ手順で、VLAN101を登録します。
    表 18:設定する情報
    項目名 設定する情報
    ネットワーク ID VLAN101
    VLAN ID 101

    デバイスの登録
  18. デバイスを登録します。
    「デバイス」/「デバイス一覧」画面を開き、「デバイス追加」ボタンをクリックして、「デバイス追加」画面を開きます。

  19. 最初に登録するのは「Device1」です。
    デバイス IDに「Device1」を入力します。

  20. デバイス IDを入力したらインターフェース欄の「追加」ボタンをクリックして、「インターフェース編集」ダイアログを開きます。

  21. 同ダイアログではデバイスのMACアドレスの「00:00:00:00:00:01」を入力して、「登録」ボタンをクリックします。


  22. 次に、同デバイスにアサインするネットワークを指定するため、ポリシー欄の「追加」ボタンをクリックして、「ポリシー編集」ダイアログを開きます。
    Note
    TQのVAP(マルチSSID)設定のセキュリティーでWPA エンタープライズを選択しダイナミック VLANを有効にして、WPA エンタープライズ側のRADIUSサーバーから付与されるVLAN IDに無線端末を所属させる場合には、ポリシーの設定は不要です。

  23. 同ダイアログでは、ドロップダウンリストからアサインするネットワーク「VLAN100」を選択し、優先度「10」を入力して、「登録」ボタンをクリックします。


  24. デバイス IDの入力と、インターフェース、ポリシーの追加が完了したら、「登録」ボタンをクリックします。
    「デバイス」/「デバイス一覧」画面に戻ります。

  25. 「Device1」の登録と同じ手順で、「Device2」を登録します。
    表 19:設定する情報
    項目名 設定する情報
    デバイス ID Device2
    インターフェース 00:00:00:00:00:02
    ポリシー 優先度 10
    ポリシー ネットワーク VLAN101

AMF Securityの設定は以上です。

ARルーターの設定

  1. logコマンドでUTM関連機能で検知された脅威情報を、syslogメッセージでAMF Securityに送信する設定を行います。
    syslogメッセージの送信元IPv4アドレスは、vlan1インターフェースに設定されているIPv4アドレスを指定します。

    Note
    log date-formatコマンドで設定するログの日時フォーマットは、default, iso のどちらの設定でも動作可能です。
すべての製品の設定は以上です。

リダイレクトURLのアクション使用時の設定

リダイレクトURLのアクション使用時の設定について説明します。本アクション使用時はパケット破棄、隔離、ログのアクション使用時とは異なり、AWCプラグインとAMF Securityで設定が異なる箇所があります。一部、隔離のアクションと共通の項目もありますが、各製品の設定を記載します。

AWCプラグインの設定

AWCプラグインで行う設定では、VAP(マルチSSID)で「リダイレクトURL」と「外部ページURL」の設定が追加になります。
ここでは「外部ページURL」にはAMF SecurityのリダイレクトURLアクション用のサイトを指定しています。
AWCプラグインの設定 - 「無線設定」→「AP共通設定」→「VAP(マルチSSID)設定」→「詳細設定」
表 20:設定する情報
項目名 設定する情報
リダイレクトURL 有効
外部ページURL http://192.168.1.30:8000/index.html
AMFアプリケーションプロキシーサーバー Primary IPアドレス 192.168.1.30
AMFアプリケーションプロキシーサーバー Primary シークレット password
AMFアプリケーションプロキシーサーバー ポート番号 1812
クリティカルモード 有効

AMF Securityの設定

AMF Securityでは、以下の設定がリダイレクトURLのアクションに関連した項目です。
なお、「AMF」/「リダイレクトURL設定」は、AMF SecurityのリダイレクトURLアクション用のサイトの設定です。他のサイトを使用する場合には本設定は不要です。
表 21:AMF Securityの設定 - 「AMF」/「TQ設定」
項目名 設定する情報
共通設定
隔離/リダイレクトURL VLAN ID 250



表 22:AMF Securityの設定 - 「システム設定」/「トラップ監視設定」/「ルール」
項目名 設定する情報
ホストアドレス 192.168.1.1
OpenFlow/TQ アクション リダイレクトURL
トラップ監視対象 選択リスト すべてにチェック



表 23:AMF Securityの設定 - 「AMF」/「リダイレクトURL設定」
項目名 設定する情報
デバイス隔離用サイトを有効にします。 チェック
デバイス隔離用サイトの設定
ポート番号 8000
サイトコンテンツのカスタマイズ
現在のサイトコンテンツ デフォルト



表示例

TQに接続した無線端末を、AMF Securityは登録された認証情報をもとに認証を行うようになります。
認証の結果は、「デバイス」/「接続中 デバイス一覧」画面で確認できます。

ARルーターのUTM関連機能で無線端末が検知されると、その無線端末の情報はAMF Security上に登録され、「ポリシー設定」/「アクション一覧」画面に表示されます。同時に、AMF Securityはその端末の情報(IPアドレス)をもとにAT-Vista Manager EXにMACアドレスの問い合わせを行い、AWCプラグインが保持している無線端末のMACアドレスを取得して通信制御が行われます。以下の表示では、無線端末のMACアドレスを取得してIPアドレスとMACアドレスが紐付いた状態です。

無線端末にアクションが適用されている状態は、「デバイス」/「接続中 デバイス一覧」画面で確認できます。

「解除」→「OK」ボタンをクリックするとアクションを解除できます。



(C) 2020-2023 アライドテレシスホールディングス株式会社

PN: 613-002874 Rev.H