付録/CSVを利用した認証データの作成
既設のネットワークにAMF Securityを導入する場合、多数のスイッチやデバイスをAMF Securityに登録する必要があります。
デバイスやスイッチの一覧をCSVファイルにエクスポートし、CSVファイルを編集して、AMF Securityにインポートすることで、新規導入時の機器の登録作業を大幅に軽減することができます。
ここでは、「デバイス」/「接続中 デバイス一覧」画面や「スイッチ」/「接続中 AMF メンバー 一覧」画面から出力したCSVファイルから、AMF Securityの認証データとしてインポート可能なホワイトリストを作成するための手順を説明します。
接続中のデバイスとAMFメンバーの両方について、ホワイトリストを作成、インポートする必要がある場合は、AMFメンバーからホワイトリストの作成、インポートを行うことをおすすめします。
AMFメンバーから登録し、続いてAMFメンバーのロケーションを設定しておくことで、デバイスが接続されたAMFメンバーによって登録するデバイスを切り分けることができます。
AMFメンバーの認証データの作成
多数のAMFメンバーが接続されており、これらを一括してAMF Securityに登録する場合は、以下の流れで行います。
- 接続中 AMF メンバー 一覧のCSVファイルのエクスポート
- テキストエディターによるCSVファイルの編集
- CSVファイルのインポート
接続中 AMF メンバー 一覧のCSVファイルのエクスポート
接続中のAMFメンバーの一覧を、CSVファイルに書き出します。
- 「スイッチ」/「接続中 AMF メンバー 一覧」画面を表示します。
- 画面右上の「CSV にエクスポート」ボタンをクリックし、CSVファイルをダウンロードします。
エクスポート時のファイル名は、デフォルトではamf_member_active.csvです。
テキストエディターによるCSVファイルの編集
ダウンロードしたAMFメンバー一覧のCSVファイルを、テキストエディターで編集します。
必要に応じて、ファイルのバックアップを作成してください。
- 文字コード「UTF-8」を取り扱いできるテキストエディターで、ダウンロードしたCSVファイルを開きます。
今回は、CSVファイルの内容は次のとおりであるとします。
以下の例では画面表示による折り返しと実際のデータの改行を区別するため、行末に矢印( ↓)を表示していますが、実際にエクスポートされるCSVファイルでは、行末に矢印は含まれません。
カンマの前後や行末など、二重引用符("")の外に文字や記号を含むCSVファイルをインポートするとエラーになります。
"#","table","名称","ドメイン名","Datapath ID","","アカウントグループ ID" ↓
"+","amf_member_active","AMF-Master","AMF-Master.local.AMF001.atmf","-","","" ↓
"+","amf_member_active","AMF-Member","AMF-Member.local.AMF001.atmf","-","","group1" ↓
- 1行目はコメント行です。
コメント行の内容は無視されるため、修正する必要はありません。また、不要な場合は削除しても構いません。
ここでは、簡便のため、コメント行は削除します。
"#","table","名称","ドメイン名","Datapath ID","","アカウントグループ ID" ↓
"+","amf_member_active","AMF-Master","AMF-Master.local.AMF001.atmf","-","","" ↓
"+","amf_member_active","AMF-Member","AMF-Member.local.AMF001.atmf","-","","group1" ↓
- 2番目のフィールドを「"amf_member_active"」から「"switch"」に書き換えます。
"+","switch","AMF-Master","AMF-Master.local.AMF001.atmf","-","","" ↓
"+","switch","AMF-Member","AMF-Member.local.AMF001.atmf","-","","group1" ↓
- 4番目のフィールドを備考に変更します。
ここでは、備考に「20XX/11 ホワイトリストによる登録」を入力します。
"+","switch","AMF-Master","20XX/11 ホワイトリストによる登録","-","","" ↓
"+","switch","AMF-Member","20XX/11 ホワイトリストによる登録","-","","group1" ↓
- 以上で、基本的なスイッチ認証データの記述は完了です。
ファイルを文字コード「UTF-8」で保存します。
CSVファイルのインポート
編集したCSVファイルをAMF Securityにインポートします。
なお、先ほど編集したCSVファイルにはアカウントグループ ID「"group1"」が含まれているため、事前に設定が必要です。
アカウントグループの設定は「システム設定」/「アカウントグループ一覧」画面から行ってください。
- 「システム設定」/「システム情報」画面を開きます。
- 「認証データ」の「インポート」ボタンをクリックし、「認証データのアップロード」画面を開きます。
- 「ファイルを選択」ボタンをクリックし、先ほど編集したCSVファイルを選択して、 「登録」ボタンをクリックします。
認証データの各フィールドが正しく記述されており、AMF Securityの既存の認証データとの整合性が確認できると、AMF Securityのデータベースに新しいAMFメンバーとして登録されます。
デバイスの認証データの作成
多数のデバイスが接続され、その中から正規にネットワークに接続可能なデバイスを一括してAMF Security miniに登録する場合は、以下の流れで行います。
- 未認証グループによる対象機器の絞り込み・検出
- 検出デバイス一覧のCSVファイルのエクスポート
- テキストエディターによるCSVファイルの編集
- CSVファイルのインポート
未認証グループによる対象デバイスの絞り込み・検出
「グループ」/「未認証グループ追加」画面から、ホワイトリストの対象とするデバイスを、未認証グループとして検出します。
これにより、多数のデバイスから、ロケーションまたはスケジュールによって、対象とするデバイスを絞り込むことができます。
ロケーションの登録や未認証グループの作成の詳細な手順は、クイックツアー「手動によるデバイスの追加」/「ロケーションの登録」、および、クイックツアー「一覧からのデバイス登録」/「未認証グループによるデバイスの検出」をご覧ください。
デバイス一覧のCSVファイルのエクスポート
MACアドレス一覧を、CSVファイルに書き出します。
画面上の検索や絞り込みは、出力されるCSVファイルの内容に影響しません。CSVのエクスポートの際は接続中のすべてのデバイスがエクスポートされます。
- 「デバイス」/「接続中 デバイス一覧」画面を表示します。
- 画面右上の「CSV にエクスポート」ボタンをクリックし、CSVファイルをダウンロードします。
エクスポート時のファイル名は、デフォルトではclient.csvです。
テキストエディターによるCSVファイルの編集
ダウンロードしたMACアドレス一覧のCSVファイルを、テキストエディターで編集します。
必要に応じて、ファイルのバックアップを作成してください。
- 文字コード「UTF-8」を取り扱いできるテキストエディターで、ダウンロードしたCSVファイルを開きます。
今回は、CSVファイルの内容は次のとおりであるとします。
以下の例では画面表示による折り返しと実際のデータの改行を区別するため、行末に矢印( ↓)を表示していますが、実際にエクスポートされるCSVファイルでは、行末に矢印は含まれません。
カンマの前後や行末など、二重引用符("")の外に文字や記号を含むCSVファイルをインポートするとエラーになります。
"#","table","デバイス ID","備考","タグ","%ports","%port","MAC アドレス","名称","備考","%status","IPv4 アドレス","アクション","更新日時","VLAN ID","アクションの実行者","アクションの原因","ベンダー" ↓
"+","client","","","","%ports","%port","00:00:5e:00:53:30","","","%status","","検出","20XX-11-22 17:32:29","接続なし","sesc.unauthGroup","","xxxx, Inc." ↓
"+","client","","","","%ports","%port","00:00:5e:00:53:31","","","%status","","検出","20XX-11-22 17:32:29","接続なし","sesc.unauthGroup","","xxxx, Inc." ↓
"+","client","","","","%ports","%port","00:00:5e:00:53:32","","","%status","","検出","20XX-11-22 17:32:29","接続なし","sesc.unauthGroup","","xxxx, Inc." ↓
- 1行目はコメント行です。
コメント行の内容は無視されるため、修正する必要はありません。また、不要な場合は削除しても構いません。
ここでは、簡便のため、コメント行は削除します。
"#","table","デバイス ID","備考","タグ","%ports","%port","MAC アドレス","名称","備考","%status","IPv4 アドレス","アクション","更新日時","VLAN ID","アクションの実行者","アクションの原因","ベンダー" ↓
"+","client","","","","%ports","%port","00:00:5e:00:53:30","","","%status","","検出","20XX-11-22 17:32:29","接続なし","sesc.unauthGroup","","xxxx, Inc." ↓
"+","client","","","","%ports","%port","00:00:5e:00:53:31","","","%status","","検出","20XX-11-22 17:32:29","接続なし","sesc.unauthGroup","","xxxx, Inc." ↓
"+","client","","","","%ports","%port","00:00:5e:00:53:32","","","%status","","検出","20XX-11-22 17:32:29","接続なし","sesc.unauthGroup","","xxxx, Inc." ↓
- 「デバイス」/「接続中 デバイス一覧」画面上の検索や絞り込みは、出力されるCSVファイルの内容に影響しません。
未認証グループによって検出されたデバイス以外に、接続済み、隔離、遮断、認証失敗のデバイスが存在するネットワークでは、出力されたCSVファイルには接続済み、隔離、遮断、認証失敗のMACアドレス情報も出力されます。これらのデバイスの状況は、CSVの12番目のフィールドに記述されます。
12番目のフィールドが「検出」以外の行を削除します。
- 11番目のフィールド("%status")以降はデバイス認証データには不要なため、記述は無視されます。また、不要な場合は削除しても構いません。
ここでは、簡便のため、直前のカンマから削除します。
"+","client","","","","%ports","%port","00:00:5e:00:53:30","","","%status","","検出","20XX-11-22 17:32:29","接続なし","sesc.unauthGroup","","xxxx, Inc." ↓
"+","client","","","","%ports","%port","00:00:5e:00:53:31","","","%status","","検出","20XX-11-22 17:32:29","接続なし","sesc.unauthGroup","","xxxx, Inc." ↓
"+","client","","","","%ports","%port","00:00:5e:00:53:32","","","%status","","検出","20XX-11-22 17:32:29","接続なし","sesc.unauthGroup","","xxxx, Inc." ↓
- 2番目のフィールドを「"client"」から「"device"」に書き換えます。
"+","device","","","","%ports","%port","00:00:5e:00:53:30","","" ↓
"+","device","","","","%ports","%port","00:00:5e:00:53:31","","" ↓
"+","device","","","","%ports","%port","00:00:5e:00:53:32","","" ↓
- 3番目のフィールドに、既にAMF Securityに登録されているものと重複しないデバイス ID(例:「device1」、「device2」、「device3」)を入力します。
"+","device","device1","","","%ports","%port","00:00:5e:00:53:30","","" ↓
"+","device","device2","","","%ports","%port","00:00:5e:00:53:31","","" ↓
"+","device","device3","","","%ports","%port","00:00:5e:00:53:32","","" ↓
- 必要に応じて、4番目のフィールドにデバイスの備考、5番目のフィールドにデバイスのタグを入力します。
ここでは、備考に「20XX/11 ホワイトリストによる登録」を入力します。タグは空欄とします。
"+","device","device1","20XX/11 ホワイトリストによる登録","","%ports","%port","00:00:5e:00:53:30","","" ↓
"+","device","device2","20XX/11 ホワイトリストによる登録","","%ports","%port","00:00:5e:00:53:31","","" ↓
"+","device","device3","20XX/11 ホワイトリストによる登録","","%ports","%port","00:00:5e:00:53:32","","" ↓
- 必要に応じて、9番目のフィールドにインターフェースの名称、10番目のフィールドにインターフェースの備考を入力します。
ここでは、名称に「(デバイス ID)-1」(例:device1-1)を入力します。備考は空欄とします。
"+","device","device1","20XX/11 ホワイトリストによる登録","","%ports","%port","00:00:5e:00:53:30","device1-1","" ↓
"+","device","device2","20XX/11 ホワイトリストによる登録","","%ports","%port","00:00:5e:00:53:31","device2-1","" ↓
"+","device","device3","20XX/11 ホワイトリストによる登録","","%ports","%port","00:00:5e:00:53:32","device3-1","" ↓
- デバイス IDが、既にAMF Securityに登録されているもの、またはCSV内の他の行の記述されているものと重複する場合、最後に書かれた行の記述のみが有効になります。
複数のMACアドレスを1つのデバイスに関連付ける場合は、7~10番目のフィールド("%port"、MACアドレス、インターフェース名称、インターフェース備考)を繰り返して記述します。
例えば、上記の例のMACアドレス「00:00:5e:00:53:30」と「00:00:5e:00:53:31」をデバイス ID「device1」に関連付ける場合は、次のように整形します。
"+","device","device1","20XX/11 ホワイトリストによる登録","","%ports","%port","00:00:5e:00:53:30","device1-1","","%port","00:00:5e:00:53:31","device1-2","" ↓
"+","device","device3","20XX/11 ホワイトリストによる登録","","%ports","%port","00:00:5e:00:53:32","device3-1","" ↓
- 以上で、基本的なデバイス認証データの記述は完了です。
デバイスにセキュリティーポリシーを設定しない場合は、ファイルを文字コード「UTF-8」で保存して、以下の手順を省略し、CSVファイルのインポートに進みます。
- デバイスに対してセキュリティーポリシーを設定する場合は、「device」テーブルの各行に「rule」テーブルのCSV行を追加します。
ここでは、例として、すべてのデバイスに対して、以下のセキュリティーポリシーを設定します。
セキュリティーポリシーの各項目は、あらかじめAMF Security miniに登録されている必要があります。セキュリティーポリシーに指定されたロケーション ID、スケジュール ID、ネットワーク ID、スイッチ ID、スイッチポートのうち、いずれか1つでもAMF Security miniに登録されていないIDを記述した場合は、インポートに失敗し、デバイス認証データは更新されません。
表 1:セキュリティーポリシー
| 項目 |
設定 |
| 優先度 |
10 |
| ネットワーク |
営業部 |
書式の詳細については、付録「CSVファイル」/「出力される項目」の「デバイス」をご覧ください。
"+","device","device1","20XX/11 ホワイトリストによる登録","","%ports","%port","00:00:5e:00:53:30","device1-1","" ↓
"+","rule","device1","sesc.device","","pass","10","True","%options","m_network_name=営業部" ↓
"+","device","device2","20XX/11 ホワイトリストによる登録","","%ports","%port","00:00:5e:00:53:31","device2-1","" ↓
"+","rule","device2","sesc.device","","pass","10","True","%options","m_network_name=営業部" ↓
"+","device","device3","20XX/11 ホワイトリストによる登録","","%ports","%port","00:00:5e:00:53:32","device3-1","" ↓
"+","rule","device3","sesc.device","","pass","10","True","%options","m_network_name=営業部" ↓
- 以上で、セキュリティーポリシーを含むデバイス認証データの記述は完了です。
ファイルを文字コード「UTF-8」で保存します。
CSVファイルのインポート
編集したCSVファイルをAMF Security miniにインポートします。
- 「システム設定」/「システム情報」画面を開きます。
- 「認証データ」の「インポート」ボタンをクリックして、「認証データのアップロード」画面を開きます。
- 「ファイルを選択」ボタンをクリックし、先ほど編集したCSVファイルを選択して、「登録」ボタンをクリックします。
認証データの各フィールドが正しく記述されており、AMF Security miniの既存の認証データとの整合性が確認できると、AMF Security miniのデータベースに新しいデバイスとして登録されます。
(C) 2021 アライドテレシスホールディングス株式会社
PN: 613-003003 Rev.B