クイックツアー / AMF Security miniについて
AMF Security miniの位置づけ
AMF-SEC(AMF-SECurity)は、ネットワーク運用管理の効率化とセキュリティー強化をSDN技術で実現するソリューションです。
AMF Security miniは、同ソリューションの中核をなすSDNコントローラーとして、弊社のAMF(アライドテレシスマネージメントフレームワーク)対応製品と各種ビジネス・セキュリティー関連アプリケーションとの連携を実現します。
AMFアプリケーションプロキシー機能とは
AMFアプリケーションプロキシー機能は、AMFメンバー(エッジノード)に接続された端末を、AMFマスター(プロキシーノード)がAMF Security miniに認証を行うことで通信制御を行います(AMFアプリケーションプロキシーホワイトリスト機能)。
また、AMF Security miniからプロキシーノードに被疑端末の情報を通知し、エッジノードで該当端末の通信遮断を行うことも可能です(AMFアプリケーションプロキシーブラックリスト機能)。
・AMFアプリケーションプロキシーホワイトリスト機能およびブラックリスト機能
プロキシーノードはエッジノードを兼ねることもできます(サポート機種のみ)。
AMFコントローラーとの連携はできません。
ホワイトリスト機能のみ、ブラックリスト機能のみ、双方を併用して使用することもできます。
AMFアプリケーションプロキシー機能を利用するには、AMF Security mini、プロキシーノード、エッジノードのそれぞれに設定が必要です。
AMF Security miniが管理する情報(AMFアプリケーションプロキシーホワイトリスト機能)
AMF Security miniは、登録されたデバイスのMACアドレス情報に基づき、管理下のAMFメンバーのポート認証機能を使用し、デバイスのネットワーク接続を一括して制御することができます。
AMFアプリケーションプロキシーホワイトリスト機能は、AMFメンバーに接続された端末を、AMFマスターがAMF Security mini(ホワイトリストサーバー)に認証を行うことで、AMF Security miniからAMF対応機器でのアクセス制御を可能にするAMF-SEC(AMF-SECurity)の連携機能です。
これらの条件を満たした場合には、VLAN IDによって定義された論理的な「ネットワーク」への接続ができるようになります。
- ロケーション
デバイスの接続を許可する場所。
その場所に設置されたAMFメンバーを登録することで、物理的なネットワーク空間を定義します。
- スケジュール
デバイスの接続を許可する期間。
接続を許可する開始日時と終了日時が指定できます。
- スイッチポート
デバイスの接続を許可するAMFメンバーのスイッチポート。
特定のスイッチポートに接続した場合のみ、ネットワークへのアクセスを許可します。
- ネットワーク
デバイスが接続するVLANサブネット(VLAN IDによって定義された論理的なネットワーク空間)。
これらの要素をセキュリティーポリシーと呼びます。
デバイスが持つMACアドレスインターフェースは、デバイスに割り当てられたセキュリティーポリシーをもとに接続・遮断・隔離といった管理を受けます。
デバイスには、複数のMACアドレスインターフェースを設定できます。
例えば、デバイスに無線インターフェースと有線インターフェースの2つのMACアドレスが登録されている場合、設定されたロケーション、スケジュールの条件を満たせば、どちらのインターフェースからでも同じネットワークへの接続が許可されます。
表 1:設定可能なセキュリティーポリシー(AMFアプリケーションプロキシーホワイトリスト)
| デバイスが持つ管理情報
|
| デバイス
|
AMFメンバーに接続するネットワーク機器。
|
| └
|
MACアドレス
|
デバイスが持つインターフェースのMACアドレス。
|
| :
|
(複数設定可能)
|
| └
|
セキュリティーポリシー
|
ネットワーク
|
デバイスを接続するVLANセグメント(VLAN ID)。
|
| ロケーション
|
デバイスの接続を許可する物理的な場所、空間。
|
| └
|
AMFメンバー
|
ロケーションに所属するネットワーク機器。
|
| └
|
スイッチポート
|
デバイスの接続を許可するスイッチポート。
|
| :
|
(複数設定可能)
|
| スケジュール
|
デバイスの接続を許可する期間(開始・終了日時)。
|
| (複数設定可能)
|
AMFマスター(プロキシーノード)、AMFメンバー(エッジノード)の設定
管理するAMFノードで以下は必須の設定です。
- すべてのAMFノード(プロキシーノード、エッジノードの双方)で service atmf-application-proxyコマンドを有効
- すべてのAMFノード(プロキシーノード、エッジノードの双方)で service httpコマンドを有効
- すべてのAMFノード(プロキシーノード、エッジノードの双方)で共通のユーザーを権限レベル15(特権レベル)で設定
- AMFマスター(プロキシーノード)で atmf topology-gui enableコマンドを有効
- AMFマスター(プロキシーノード)で application-proxy whitelist serverコマンドを設定
- AMFメンバー(エッジノード)の端末接続ポートでホワイトリスト機能関連コマンドを設定
詳細な設定については、お使いのAlliedWare Plus機器のコマンドリファレンスをご参照ください。
なお、プロキシーノードとなるAlliedWare Plus機器の機種によっては、AMFアプリケーションプロキシー機能を利用するために、別途ライセンスが必要となる場合があります。
AMF Security miniの設定
AMFアプリケーションプロキシーホワイトリスト機能を利用するためには、AMF Security miniにAMFマスター(プロキシーノード)のIPアドレス、権限レベル15(特権レベル)のアカウントのユーザー名とパスワード、事前共有鍵(PSK)を設定する必要があります。
- 「AMF」/「AMF アプリケーションプロキシー 設定」画面を表示します。
- 「追加」ボタンをクリックします。
- 「IPv4 アドレス」に、AMFマスター(プロキシーノード)のIPアドレスを入力します。
- 「ユーザー名」、「パスワード」に、AMFマスター(プロキシーノード)に設定されている権限レベル15(特権レベル)のアカウントのユーザー名とパスワードを入力します。
- 「事前共有鍵(PSK)」にAMFマスター(プロキシーノード)の application-proxy whitelist serverコマンドのkeyパラメーターで設定した事前共有鍵を入力します。
- ダイアログ下部の「登録」ボタンをクリックします。
本設定を行うと、AMFマスター(プロキシーノード)への定期問い合わせ(30秒間隔)を行うようになります。
AMFアプリケーションプロキシーによる遮断(AMFアプリケーションプロキシーブラックリスト機能)
AMF Security miniからプロキシーノードへの被疑端末情報の通知
AMF Security miniは、被疑端末を検出するセキュリティーソフトウェアや機器から情報を受信した際、または「ポリシー設定」/「アクション追加」画面でアクションを追加した際に、プロキシーノードに被疑端末の情報を通知します。この被疑端末の情報はAMF Security mini上に登録され、「ポリシー設定」/「アクション一覧」画面に表示されます。
なお、その情報を再度プロキシーノードに通知は行いません。
被疑端末の情報を保持しているプロキシーノードが再起動した場合、被疑端末の情報はプロキシーノードから削除されます。
再起動後、AMF Security miniから被疑端末の情報の再通知はないため、プロキシーノードは被疑端末の情報を学習することはできません。
プロキシーノードに被疑端末の情報を学習させるためには、次の手順でAMF Security miniから手動で被疑端末の情報を通知してください。
1. 「ポリシー設定」/「アクション一覧」画面を開きます。
2. 「CSV にエクスポート」ボタンをクリックし、CSVファイルを保存します。
3. 「システム設定」/「システム情報」画面を開きます。
4. 認証データの「インポート」ボタンをクリックして、「認証データのアップロード」画面を開きます。
5. 「ファイルを選択」ボタンをクリックし、保存したCSVファイルを選択して、「登録」ボタンをクリックします。
AMFアクション
AMF Security miniは被疑端末の情報をプロキシーノードに通知する際に、通信遮断を指示するアクション(AMFアクション)を通知することができます。
AMF Security miniで設定するAMFアクションは次のとおりです。
- AMF 依存
- 隔離
- パケット破棄
- リンクダウン
- IPフィルター
- ログ
「隔離」、「パケット破棄」、「リンクダウン」、「IPフィルター」、「ログ」を設定した場合は、エッジノード側に設定されたAMFアクションよりも優先して、これらのAMFアクションが実行されます。
「AMF 依存」を設定した場合は、AMF Security miniからAMFアクションは送信されず、エッジノード側で設定されたAMFアクションが実行されます。
複数の外部連携アプリケーションを併用する場合など、AMFマスターに被疑デバイスの情報が複数送信されるようなケースでは同一のAMFアクションを設定してください。
外部連携アプリケーションのAMFアクションの設定は「システム設定」/「トラップ監視設定」画面の「ルール」で行います。
「ポリシー設定」/「アクション一覧」画面で既に登録されている被疑デバイスのAMFアクションを変更したい場合には、先に登録されているアクションを削除してから、新しいアクションを登録してください。
ホワイトリストで許可された端末であっても、AMFアクションの対象となった場合、該当端末からの通信はアクションに従った処理になります。
被疑端末の遮断解除
被疑端末の遮断を解除(被疑端末の情報を削除)する場合には、「ポリシー設定」/「アクション一覧」画面で該当のアクションを削除します。該当のアクションを削除すると、AMF Security miniはプロキシーノードに被疑端末情報を削除するよう通知します。
プロキシーノード上でコマンドを実行することで遮断を解除することもできますが、その場合、プロキシーノードからAMF Security miniに被疑デバイス情報を削除する指示は出しません。そのため、AMF Security mini上では被疑デバイス情報を保持したままになりますので、必要に応じて「ポリシー設定」/「アクション一覧」画面で該当のアクションを削除してください。
プロキシーノード上で実行するコマンドについては、お使いのAlliedWare Plus機器のコマンドリファレンスをご参照ください。
被疑端末の遮断ステータスの表示とメール送信
エッジノードでAMFアクションが適用された被疑端末のステータスは、「デバイス」/「接続中 デバイス一覧」画面に表示されます。
これは、AMF Security miniが30秒間隔で定期的にプロキシーノードに問い合わせを行って情報を取得します。
また、「システム設定」/「メール通知設定」画面でAMF Security miniのメール通知設定を行うことで、メールを送信することもできます。
- 「遮断時にメールを送信します。」→「パケット破棄」、「リンクダウン」、「IPフィルター」、「ログ」のアクションで遮断された場合にメールを送信
- 「隔離時にメールを送信します。」→「隔離」のアクションで隔離された場合にメールを送信
AMF Security miniがプロキシーノードに問い合わせを行った際に、被疑端末の情報に更新(別のスイッチに移動後に再度遮断等)があった場合は、「デバイス」/「接続中 デバイス一覧」画面に表示した情報を更新し、メール送信も行われます。
AMFマスター(プロキシーノード)、AMFメンバー(エッジノード)の設定
管理するAMFノードで以下は必須の設定です。
- すべてのAMFノード(プロキシーノード、エッジノードの双方)で service atmf-application-proxyコマンドを有効
- すべてのAMFノード(プロキシーノード、エッジノードの双方)で service httpコマンドを有効
- すべてのAMFノード(プロキシーノード、エッジノードの双方)で共通のユーザーを権限レベル15(特権レベル)で設定
- AMFマスター(プロキシーノード)で atmf topology-gui enableコマンドを有効
- AMFメンバー(エッジノード)の端末接続ポートで application-proxy threat-protectionコマンドを設定
詳細な設定については、お使いのAlliedWare Plus機器のコマンドリファレンスをご参照ください。
なお、プロキシーノードとなるAlliedWare Plus機器の機種によっては、AMFアプリケーションプロキシー機能を利用するために、別途ライセンスが必要となる場合があります。
AMF Security miniの設定
AMFアプリケーションプロキシーブラックリスト機能を利用するためには、AMF Security miniにAMFマスター(プロキシーノード)のIPアドレス、権限レベル15(特権レベル)のアカウントのユーザー名とパスワードを設定する必要があります。
- 「AMF」/「AMF アプリケーションプロキシー 設定」画面を表示します。
- 「追加」ボタンをクリックします。
- 「IPv4 アドレス」に、AMFマスター(プロキシーノード)のIPアドレスを入力します。
- 「ユーザー名」、「パスワード」に、AMFマスター(プロキシーノード)に設定されている権限レベル15(特権レベル)のアカウントのユーザー名とパスワードを入力します。
- ダイアログ下部の「登録」ボタンをクリックします。
本設定を行うと、AMFマスター(プロキシーノード)への定期問い合わせ(30秒間隔)を行うようになります。
AMF Security miniと連携するアプリケーションの設定については、「システム設定」/「トラップ監視設定」をご参照ください。
TQのAMFアプリケーションプロキシー機能
TQのAMFアプリケーションプロキシー機能は、TQに接続された無線端末をAMF Security miniが認証を行うことで通信制御を行います(AMFアプリケーションプロキシーホワイトリスト機能)。
また、連携する外部アプリケーションから被疑端末のIPアドレスをAMF Security miniが受け取ると、そのIPアドレスをもとにAT-Vista Manager EXに端末のMACアドレスの問い合わせを行い、AWCプラグインが保持しているMACアドレスを取得して端末の通信制御が行われます(AMFアプリケーションプロキシーブラックリスト機能)。
サポートするアクションは、パケット破棄、隔離、ログ(該当デバイスの通信制御は行わずログの出力のみ)です。
TQに対するAMFアプリケーションプロキシー機能の設定は、AWCプラグインから行います(TQの管理画面からは行えません)。
AT-VST-APL/AT-VST-VRT版のAT-Vista Manager EXを使用する場合、AMF Security miniは直接AWCプラグインに問い合わせを行います。
無線端末が接続した際の認証は、「AMFアプリケーションプロキシー(AMF Security mini)による認証」→「VAP(マルチSSID)設定のセキュリティーで設定されている認証」の順で行われます。双方の認証が成功しないと無線端末の接続は許可されません。
TQのAMFアプリケーションプロキシー機能では、以下の項目は未サポートです。
・ロケーションポリシー
・スケジュールポリシー
・セッションタイムアウト
・TQ上の認証情報の取得
・端末のIPアドレス表示
・デバイスの探索
・アカウントグループ
接続中のAMFマスターとの接続がいったん切断される設定を行うと、TQのAMFアプリケーションプロキシー機能で既に管理されているデバイス(「デバイス」/「接続中 デバイス一覧」画面に表示されているデバイス)が存在する場合、そのデバイスの認証、およびアクションは適用されたままになりますが、「デバイス」/「接続中 デバイス一覧」画面の表示からは削除されます。
AMF Security miniの設定・操作については以下が該当します。
・「システム設定」/「ネットワーク設定」画面
WebサーバーのSSL証明書のアップロード・削除
・「システム設定」/「ログ設定」画面
・「システム設定」/「時刻設定」画面
・「システム設定」/「システム情報」画面
ホスト名
システム設定 - インポート
システム設定 - リセット
サービス - 全て再起動
・「システム設定」/「トラップ監視設定」画面
デバイスルックアップ
・「システム設定」/「メール通知設定」画面
・「システム設定」/「アクションログ」画面
アクションログのクリア
・「AMF」/「AMF アプリケーションプロキシー 設定」画面
AMFマスター
ホワイトリスト設定
WebサーバーのSSL証明書のアップロード・削除
・「AMF」/「TQ設定」画面
また、AW+のWeb GUI / Vista Manager mini - AMF Security mini画面で、AMF Security miniインスタンスの再起動(停止→起動)、AW+の再起動も該当します。
対応製品と対応バージョン
本機能を使用するには、以下の製品と対応バージョンが必要です。
表 2:AT-TQ5403/AT-TQm5403/AT-TQ5403e
| 対応製品
|
対応バージョン
|
| AT-TQ5403/AT-TQm5403/AT-TQ5403e
|
6.0.1-6.1以降
|
| AT-Vista Manager EX(AWCプラグイン)
|
3.6.0(3.6.0)以降
|
| AMF Security mini
|
2.2.1以降
|
表 3:AT-TQ6602
| 対応製品
|
対応バージョン
|
| AT-TQ6602
|
7.0.1-1.1以降
|
| AT-Vista Manager EX(AWCプラグイン)
|
3.7.0(3.7.0)以降
|
| AMF Security mini
|
2.2.1以降
|
表 4:AT-TQ6602 GEN2/AT-TQm6602 GEN2/AT-TQ6702 GEN2/AT-TQm6702 GEN2
| 対応製品
|
対応バージョン
|
| AT-TQ6602 GEN2/AT-TQm6602 GEN2/AT-TQ6702 GEN2/AT-TQm6702 GEN2
|
8.0.1-1.1以降
|
| AT-Vista Manager EX(AWCプラグイン)
|
3.9.0(3.9.0)以降
|
| AMF Security mini
|
2.2.1以降
|
TQのダイナミック VLAN使用時の動作
TQのAMFアプリケーションプロキシー機能は、TQのVAP(マルチSSID)設定のセキュリティーでWPA Enterpriseを選択した場合、ダイナミック VLANの無効・有効によって認証時に無線端末に付与するVLAN IDが異なります。
ダイナミック VLAN無効時:
無線端末の認証をAMF Securityで行い、AMF Security miniからVLAN IDが付与されている場合、無線端末の所属VLANはAMF Security miniのVLAN IDとなります。AMF Security miniからVLAN IDが付与されていない場合、無線端末はVAPのVLAN IDに所属します。
AMF Security miniからVLAN IDが付与されない場合のAMF Security miniの設定は以下のとおりです。
・ポリシー設定(隔離VLAN ID)でVLAN ID 0のネットワークを設定
・ネットワークを設定しない
ダイナミック VLAN有効時:
無線端末の認証をAMF Security miniで行い、その後にWPA Enterprise側のRADIUSサーバーで認証を行います。無線端末が所属するVLANは以下のとおりです。
ただし、AMF Security miniから隔離VLANのVLAN IDが付与されている場合は、ダイナミックVLANのVLAN IDの有無にかかわらず、AMF Securityから付与される隔離VLAN IDに所属します。
表 5:無線端末が所属するVLAN
| AMF Security mini付与VLAN ID
|
RADIUSサーバー付与VLAN ID
|
無線端末所属VLAN
|
| あり
|
あり
|
RADIUSサーバー付与VLAN ID
|
| なし
|
なし
|
VAP VLAN ID
|
| なし
|
あり
|
RADIUSサーバー付与VLAN ID
|
| あり
|
なし
|
AMF Security付与VLAN ID
|
AMF Security miniでVLAN IDなしの設定は以下のとおりです。
・ポリシー設定(隔離VLAN ID)でVLAN ID 0のネットワークを設定
・ネットワークを設定しない
■ TQにVLAN ID 1が付与された場合の動作
TQにVLAN ID 1が付与された場合の動作は、TQの管理VLANタグの設定によって異なります
詳細は、TQのリファレンスマニュアルをご参照ください。
クリティカルモード
クリティカルモードは、AMF Security miniに電源断などの障害が発生した場合に、新規で接続する無線端末の処理を選択できます。
無効:
新規で接続する無線端末は、AMF Security miniによる認証ができないため接続がすべて拒否されます。
なお、既に接続していた無線端末はそのまま通信できます。
有効:
新規で接続する無線端末をAMF Security miniの認証なしで許可します。
通常は、AMF Security miniの認証が成功してからVAP(マルチSSID)設定のセキュリティーで設定されている認証が行われますが、AMF Security miniによる認証を行わずにVAP(マルチSSID)設定のセキュリティーで設定されている認証に進みます。
無線端末が所属するVLANは、VAP(マルチSSID)設定のセキュリティーで設定されている認証が成功した際に決定したVLANになります。
リダイレクトURLアクション
無線端末にリダイレクトURLアクションが適用されると、該当の無線端末は隔離アクションと同様に隔離ネットワークに接続されます。その後、該当の無線端末のWebアクセスはリダイレクトURLアクションに対応したTQから、設定された外部ページ(URL)に転送され、Webブラウザーには外部ページの内容が表示されます。
リダイレクトURLアクションを使用する場合は、使用する製品・バージョンがリダイレクトURLアクションに対応している必要があります。本アクションに対応していない製品では、意図しない動作になるため使用しないでください。また、AW+のAMFアプリケーションプロキシー機能では設定の項目がありません。OpenFlowはTQのAMFアプリケーションプロキシー機能と共通のアクションですが、未サポートのため使用しないでください。
AMF Security miniでは、リダイレクトURLアクション用のサイト(デバイス隔離用サイト)を設定することができ、その外部ページに指定することができます。リダイレクトURLアクション用のサイトの設定は「AMF」/「リダイレクトURL設定」画面で行います。なお、本サイトのプロトコルはHTTPです。
本サイトはリダイレクトされたアクセスのみをサポートしており、通常のWebサーバーとしてはサポートしていません。
TQに対するリダイレクトURL関連の設定は、AT-Vista Manager EXのAWCプラグインから行います。
AMF Security miniをリダイレクトURLアクション用のサイトとして使用する場合、AWCプラグインで行うリダイレクトURLの外部ページURLの設定は以下のようにします。
http://(AMF Security miniのIPアドレス):(設定したポート番号)/index.html
例えば、AMF Security miniに設定されたIPアドレスが「192.168.1.10」、「AMF」/「リダイレクトURL設定」画面で設定したポート番号が「8000」の場合は以下を指定します。
http://192.168.1.10:8000/index.html
コントロール対象となるネットワーク機器
AMF Security miniによる管理の対象となるAlliedWare Plusスイッチおよび無線LANアクセスポイントについての最新情報は、AMF Security miniおよび当該ネットワーク機器のリリースノートにて公開しております。
各製品のコマンドリファレンスおよびリリースノートは弊社ホームページにて公開、または保守契約者向けページに掲載されています。
http://www.allied-telesis.co.jp/
アプリケーション連携ソリューション
AMF Security miniは、脅威検出、デバイス管理、人事情報管理など、各種業務アプリケーションとの連携によって、ネットワーク運用の効率化とセキュリティー強化を図ることができます。
連携するサービスやアプリケーションの最新情報については、弊社「AMF-SEC テクノロジー パートナープログラム」を通じて提供されます。パートナープログラムの詳細は、弊社ホームページより「AMF-SEC テクノロジー パートナープログラム」をご覧ください。