クイックツアー / 一覧からのデバイス登録
ここでは、AMF Security管理下のOpenFlowスイッチおよびAMFメンバーに対して物理的に接続しているデバイスを選択し、AMF Securityに登録する方法を説明します。
IPアドレスによるデバイスの探索
「デバイス」/「接続中 デバイス一覧」画面では、AMF Security管理下のOpenFlowスイッチおよびAMFメンバーが受信したパケットからMACアドレスを参照し、検出されたデバイスを一覧に表示します。
しかし、一部のネットワーク機器(オフィス用複合機など)は定期的にパケットを送出しないため、「デバイス」/「接続中 デバイス一覧」画面にMACアドレスが表示されない場合があります。
この場合にはデバイス探索機能を使用して、AMF SecurityはOpenFlowスイッチおよびAMFメンバーに対して、Probe ARPまたはARPを送信するように指示を出します。
OpenFlowスイッチおよびAMFメンバーは、Probe ARPまたARPに対する応答があった場合、AMF Securityに認証の問い合わせを行います。
AMF Securityは、OpenFlowスイッチおよびAMFメンバーからの問い合わせに記録されたMACアドレスを参照することで、デバイスを「デバイス」/「接続中 デバイス一覧」画面に表示させることができます。
- 「デバイス」/「接続中 デバイス一覧」画面を表示します。
- 画面右上の「デバイスの探索」ボタンをクリックし、「デバイス」/「デバイスの探索」ダイアログを表示します。
- デバイス探索を行うIPv4アドレス、またはIPv4アドレス範囲を指定します。
IPv4アドレス範囲は、xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx(始点アドレス・終点アドレス)、または、xxx.xxx.xxx.xxx/xx(IPv4アドレスとサブネットマスク長)の形式で指定できます。
デバイス探索の方法にARPを選択した場合は、送信元IPを指定します。送信元IPは、検索範囲と同一ネットワークのIPアドレスのうち、探索を行うネットワーク内で使用されていないものを指定してください。
始点アドレス・終点アドレスの指定は、IPアドレス数が4,094以下になるようにしてください。
サブネットマスク長の指定は、20~32ビットマスクの範囲で指定してください。
- 「検索」ボタンをクリックし、「デバイス」/「接続中 デバイス一覧」画面に戻ります。
デバイスの探索は、OpenFlowスイッチでは指定したIPv4アドレスまたはIPv4アドレス範囲に対して3回行われ、AMFメンバーでは1回行われます。
デバイス探索の状況は、画面右上の「デバイス探索状況」欄に随時表示されます。
探索範囲内のデバイスから応答があった場合、「デバイス」/「接続中 デバイス一覧」画面右上の「更新」ボタンをクリックすると、応答のあったMACアドレスが一覧に追加されます。デバイス探索によって検出されたデバイスは、既存のアクション、デバイス、未認証グループの各種セキュリティーポリシーに準じて処理され、いずれのセキュリティーポリシーにも一致しない場合は認証失敗となります。
この場合、クイックツアー「一覧からのデバイス登録」/「未認証グループによるデバイスの検出」の手順に従って、検出のみの未認証グループのセキュリティーポリシーを適切に設定することで、該当のデバイスを検出することができます。
接続中 デバイス一覧からのデバイスの登録
「デバイス」/「接続中 デバイス一覧」画面には、AMF Security管理下のOpenFlowスイッチおよびAMFメンバーに接続しているデバイスのMACアドレスが一覧表示されます。
「デバイス」/「接続中 デバイス一覧」画面に表示されたMACアドレスがまだデバイスに関連付けられていない場合、新規デバイス、または、既存のデバイスのインターフェースとしてMACアドレスを関連付けることができます。
新規デバイスにMACアドレスを関連付ける
- 「デバイス」/「接続中 デバイス一覧」画面を表示します。
OpenFlowスイッチに接続してパケットを送出しており、AMF Securityのデバイス認証データに登録のないデバイスのMACアドレスは、「認証失敗」として一覧に表示されています。
- 対象とする未登録のMACアドレスの、デバイスID欄の「登録」ボタンをクリックし、「デバイス」/「デバイス追加」ダイアログを表示します。
- 「デバイス」/「デバイス追加」ダイアログにて、「このMAC アドレスを新規デバイスとして登録します。」を選択して「登録」ボタンをクリックします。
- 「デバイス」/「デバイス追加」画面が表示されます。
インターフェース欄には、「デバイス」/「接続中 デバイス一覧」画面で選択したMACアドレスが登録されます。
新規に登録するデバイスのデバイスID(必須項目)、タグ、備考を設定します。
必要に応じて、セキュリティーポリシーを設定することもできます。また、このデバイスの異なるインターフェースがあり、MACアドレスが判明している場合は、この時点でインターフェースを新規に追加することもできます。
- 「登録」ボタンをクリックします。
- 「デバイス」/「デバイス一覧」画面が表示されます。
登録したデバイスが新たに追加されました。
既存のデバイスにMACアドレスを関連付ける
接続中のMACアドレスが未登録で、どのデバイスのインターフェースのものか判明している場合、「デバイス」/「接続中 デバイス一覧」画面から、該当のMACアドレスを既存のデバイスに関連付けることもできます。
- 「デバイス」/「接続中 デバイス一覧」画面を表示します。
OpenFlowスイッチまたはAMFメンバーに接続してパケットを送出しており、AMF Securityのデバイス認証データに登録のないデバイスのMACアドレスは、「認証失敗」として一覧に表示されています。
- 対象とする未登録のMACアドレスの、デバイスID欄の「登録」ボタンをクリックし、「デバイス」/「デバイス追加」ダイアログを表示します。
- 「デバイス」/「デバイス追加」ダイアログにて、「このMAC アドレスを既存のデバイスに追加します。」を選択します。
- 該当のMACアドレスを登録するデバイスIDを指定します。
事前に登録されたデバイスIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をデバイスID、タグ、備考のいずれかに含むデバイスIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするデバイスIDをクリックします。
- 「登録」ボタンをクリックします。
- 「デバイス」/「デバイス更新」画面が表示されます。
インターフェース欄には、「デバイス」/「接続中 デバイス一覧」画面で選択したMACアドレスが追加されます。
必要に応じて、デバイスID(必須項目)、タグ、備考、セキュリティーポリシーを設定することもできます。また、このデバイスの異なるインターフェースがあり、MACアドレスが判明している場合は、この時点でインターフェースを新規に追加することもできます。
- 「登録」ボタンをクリックします。
- 「デバイス」/「デバイス一覧」画面が表示されます。
デバイスのフローエントリーを自動でOpenFlowスイッチに登録させる
オフィス用複合機など自発的にパケットを送信しないデバイスに対して、OpenFlowスイッチ接続時にフローエントリーを自動で登録させることができます。
これにより、そのデバイスが自発的にパケットを送信しない場合でも認証済みの状態にすることができるため、他の端末からの通信が行えるようになります。
端末から送信されるパケットを契機にした認証を行わないため、フローエントリーに合致するネットワークのブロードキャスト等が該当のOpenFlowポートから送信されるようになります。そのため、セキュリティー面の制限があることを考慮した上でご使用ください。
フローエントリーを自動でOpenFlowスイッチに登録させるように設定したデバイスが、ポリシーに設定した以外のOpenFlowスイッチおよびOpenFlowポートに接続されてパケットを送信した場合には通常の認証が行われ、ポリシーに合致しないため認証失敗となります。その際に自動登録のフローエントリーは削除されるため、正しいOpenFlowスイッチおよびOpenFlowポートに接続し直しても状況が「認証失敗」のままとなり、通信が行えなくなる場合があります。通信が行えなくなった場合は、正しいOpenFlowスイッチおよびOpenFlowポートに接続し、クイックツアー「一覧からのデバイス登録」/「IPアドレスによるデバイスの探索」の手順に従って、デバイスの探索を行ってください。
- 「デバイス」/「接続中 デバイス一覧」画面を表示します。
OpenFlowスイッチに接続してパケットを送出しており、AMF Securityのデバイス認証データに登録のないデバイスのMACアドレスは、「認証失敗」として一覧に表示されています。
パケットを自発的に送信しないデバイスの場合は、クイックツアー「一覧からのデバイス登録」/「IPアドレスによるデバイスの探索」の手順に従って、デバイスを表示させます。
該当のMACアドレスを持つインターフェースが接続しているOpenFlowスイッチのスイッチIDが登録されている場合、デバイスID欄に「固定登録」ボタンが表示されます。
- 対象とする未登録のMACアドレスの、デバイスID欄の「固定登録」ボタンをクリックします。
- 「デバイス」/「デバイス追加」画面が表示されます。
インターフェース欄には、「デバイス」/「接続中 デバイス一覧」画面で選択したMACアドレスが登録されます。
ポリシーのロケーション欄には、該当のMACアドレスが接続されているOpenFlowスイッチのスイッチIDとスイッチポート、および「フローの有効期限を無限にします。」が自動で設定されます。
OpenFlowスイッチのスイッチIDとスイッチポート、および「フローの有効期限を無限にします。」がすべて設定されているデバイスが、フローエントリーを自動で登録させる対象になります。
「デバイス」/「デバイス追加」画面で手動で入力した場合も、フローエントリーの自動登録の対象になります。
新規に登録するデバイスのデバイスID(必須項目)、タグ、備考を設定します。
また、必要に応じて、別の既知のインターフェースのMACアドレスやセキュリティーポリシーを設定することもできます。
- 「登録」ボタンをクリックします。
- 「デバイス」/「デバイス一覧」画面が表示されます。
未認証グループによるデバイスの検出
AMF Security管理下のOpenFlowスイッチまたはAMFメンバーに接続しているデバイスが多数ある場合、未認証グループの機能を利用して、特定のロケーションおよびスケジュール条件に一致するものを未認証グループにまとめ、識別することができます。
検出を有効にした未認証グループのセキュリティーポリシーに一致するMACアドレスは、「デバイス」/「接続中 デバイス一覧」画面において、デバイスID欄に該当の未認証グループのグループIDが、状況欄には「検出」が表示されます。
この際、該当の未認証グループからのネットワークの接続は行いません。AMFアプリケーションプロキシー機能のTQも上記の未認証グループの機能は使用できますが、ロケーションとスケジュールの項目は未サポートです。
- 「グループ」/「未認証グループ一覧」画面を表示します。
- 画面右上の「未認証グループ追加」ボタンをクリックし、「グループ」/「未認証グループ追加」画面を表示します。
- 「有効」チェックボックスにチェックが入っていることを確認します。
- 未認証グループのグループID、備考を入力します。
この例では、グループIDを「1F 未認証端末」とし、備考は空欄とします。
- 「端末の検出のみを行います。」チェックボックスをクリックしてチェックを入れます。
- ポリシーの「追加」ボタンをクリックして、「グループ」/「ポリシー編集」ダイアログを表示します。
- セキュリティーポリシーの優先度を設定します。
ここでは、優先度を「10」に設定します。
- 今回は検出のみを行うため、ネットワークは空欄のままにします。
「端末の検出のみを行います。」チェックボックスにチェックが入っていない場合、ネットワークを空欄にすると、デバイスはOpenFlowスイッチではタグなしVLAN(VLANなしのサブネット)、AMFメンバーの場合はAMFメンバーに設定されているVLANに接続されます。タグなしVLANにアクセス可能な場合、スイッチの設定によっては、デバイスからコントロールプレーン上の機器に対して接続できてしまうことがあります。AMFアプリケーションプロキシー機能のTQでは、TQの設定に依存します。
詳細は、クイックツアー「AMF Securityについて」/「TQのAMFアプリケーションプロキシー機能」の「TQのダイナミック VLAN使用時の動作」をご参照ください。
- デバイスの検出条件となるセキュリティーポリシーを設定します。
ここでは、ロケーションに「1F」を指定します。
AMF Securityのデバイス認証データに登録されていないMACアドレスのうち、ロケーション「1F」のいずれかのOpenFlowスイッチまたはAMFメンバーに接続されたものを、未認証グループ「1F 未認証端末」として検出します。
- 「登録」ボタンをクリックして、「グループ」/「未認証グループ追加」画面に戻ります。
- 「登録」ボタンをクリックして、「グループ」/「未認証グループ一覧」画面に戻ります。
- 「デバイス」/「接続中 デバイス一覧」画面を表示します。
AMF Security管理下のOpenFlowスイッチおよびAMFメンバーに接続しているデバイスのMACアドレスが一覧表示されます。
AMF Securityのデバイス認証データに登録されていないMACアドレスのうち、ロケーション「1F」のいずれかのOpenFlowスイッチまたはAMFメンバーに接続されたものは、状況欄に「検出」が表示されるようになりました。
- 「デバイス」/「接続中 デバイス一覧」画面の状況ドロップダウンメニューから「検出」を選択します。
AMF Securityのデバイス認証データに登録されていないMACアドレスのうち、状況が「検出」となっているMACアドレス、すなわち、ロケーション「1F」のいずれかのOpenFlowスイッチまたはAMFメンバーに接続されたもののみが一覧表示されます。
- クイックツアー「一覧からのデバイス登録」/「接続中 デバイス一覧からのデバイスの登録」の手順に従って、必要なデバイスをAMF Securityに登録します。
検出されたデバイスの登録
上記の未認証グループやIPアドレス探索を利用して、「デバイス」/「接続中 デバイス一覧」画面に表示された機器は、クイックツアー「一覧からのデバイス登録」/「接続中 デバイス一覧からのデバイスの登録」の手順に従って、正規に接続されたデバイスとして登録することができます。
また、多数のデバイスが検出された場合は、上記の手順による登録のほか、「デバイス」/「接続中 デバイス一覧」画面の機器をCSVファイルにエクスポートし、CSVファイルを編集して、AMF Securityにインポートすることもできます。
詳しくは、付録「CSVを利用した認証データの作成」をご覧ください。