クイックツアー/アクションの登録


アクションとは
アクションの登録



アクションとは

AT-SESCには、デバイス認証データや未認証グループによる処理とは別に、特定の条件を満たすデバイスを個別に隔離、遮断、または、デバイス認証データの登録と異なるネットワークへの接続を行う、アクションと呼ばれる認証ルールがあります。
連携アプリケーションを利用する場合は、連携アプリケーションによる指示に基づいてアクションが動的に生成、処理されます。
また、連携アプリケーションを介さず、アクションを個別に作成することもできます。
いずれの場合も、アクションは、デバイス認証データや未認証グループより優先して処理されます。

アクションの条件には、以下の項目を指定できます。
条件を満たした場合、デバイスの接続を通過(許可)、隔離、破棄(遮断)のうち、指定されたOpenFlowアクションを実行します。この際、通過先、または隔離先のVLAN IDを指定できます。

なお、デバイスMACアドレス、デバイスIPv4アドレス、デバイス、デバイスタグの条件が指定されたアクションは、AMFアプリケーションプロキシー機能にも適用されます。
AMFアクションに「IPフィルター」を指定する場合は、デバイスIPv4アドレスの指定が必要です。


アクションの登録

アクションを個別に作成する場合の例を示します。
アクションの登録は、「ポリシー設定」/「アクション追加」画面にて行います。
今回は、未認証グループにゲストネットワークを提供するOpenFlowスイッチ「AT-TQ4400」に接続されたMACアドレス「00:00:5E:00:53:01」のデバイスから不審なパケットの送出があったため、このデバイスの通信を遮断する場合を例にします。

  1. ポリシー設定」/「アクション一覧」画面に移動します。

    この画面には、AT-SESCに登録されているアクションの一覧が表示されます。この時点ではアクションは登録されていません。

  2. ポリシー設定」/「アクション一覧」画面の右上の「アクション追加」ボタンをクリックし、「ポリシー設定」/「アクション追加」画面に移動します。


  3. 登録するアクションの情報を入力します。

    ここでは、例として、次の情報を入力します。

    表 1:設定データ
    項目名
    設定する情報
    説明
    アクション ID(必須項目) 不審デバイス遮断 AT-SESCに登録するアクションのIDです。
    既に使用されているアクションIDを設定することはできません。
    アクションIDは最大255文字で、英数字、記号以外に日本語も使用できます。
    優先度 10 アクションの優先度です。1~65535の数字で入力します。
    同時に条件を満たすアクションが存在する場合、より小さい値が割り当てられたアクションが優先して適用されます。
    値を省略した場合は10が設定されます。
    原因 ポートスキャン アクションの原因、適用理由など、管理上の情報を登録します。
    原因は最大255文字で、英数字、記号以外に日本語も使用できます。


  4. アクションの条件を入力します。

    ここでは、例として、デバイスのMACアドレスを条件に指定します。

    表 2:設定データ:条件
    項目名
    設定する情報
    説明
    デバイス MAC アドレス 00:00:5E:00:53:01 アクションの対象とするデバイスのユニキャストMACアドレスを指定します。
    MACアドレスの表記として使用可能なフォーマットは下記となります。
    xx:xx:xx:xx:xx:xx, xx-xx-xx-xx-xx-xx, xxxx.xxxx.xxxx
    デバイス IPv4 アドレス (空欄) アクションの対象とするデバイスのユニキャストIPv4アドレスを指定します。
    デバイス (空欄) アクションの対象とするデバイスIDを指定します。
    事前に登録されたデバイスIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をデバイスID、タグ、備考のいずれかに含むデバイスIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするデバイスIDをクリックします。
    デバイスタグ (空欄) アクションの対象とする、デバイスに設定されたタグを入力します。
    ロケーション (空欄) アクションの対象とするロケーションIDです。
    事前に登録されたロケーションIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をロケーションIDまたは備考のいずれかに含むロケーションIDが、100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするロケーションIDをクリックします。
    OpenFlow スイッチ (空欄) アクションの対象とするスイッチIDです。
    事前に登録されたスイッチIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をスイッチID、Datapath ID、アップストリームポート、備考のいずれかに含むスイッチIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするスイッチIDをクリックします。
    接続中ネットワーク (空欄) アクションの対象とするネットワークIDです。
    事前に登録されたネットワークIDが100件までドロップダウンリストに表示されます。また、テキストフィールドに文字列を入力すると、入力した文字列をネットワークID、VLAN ID、備考のいずれかに含むネットワークIDが100件までドロップダウンリストに絞り込み表示されます。表示されたドロップダウンリストの候補から、対象とするネットワークIDをクリックします。


  5. 条件を満たした際に実行するアクションを入力します。
    ここでは、該当のデバイスからの通信を破棄しますので、通過/隔離VLAN IDの指定は不要です。
    また、AMFアプリケーションプロキシー機能に今回は使用していないため、AMFアクションは「AMF 依存」のままにします。

    表 3:設定データ:アクション
    項目名
    設定する情報
    説明
    OpenFlow アクション 破棄(遮断) 対象のデバイスに適用するOpenFlowアクションの内容です。
    • 通過(許可): デバイスの通信を許可します。
    • 隔離: 隔離ネットワークに接続します。
    • 破棄(遮断): デバイスからのパケットを破棄し、通信を遮断します。
    • ログ: AT-SESCからはアクションを通知せず、デバイスの情報を取得します。
    通過/隔離 VLAN ID (空欄) 対象のデバイスのパケットを通過、または、隔離するVLAN IDです。
    AMF アクション AMF 依存 AMFアプリケーションプロキシー機能を使用して、該当デバイスの通信遮断を指示する際のアクションの内容です。
    • AMF 依存: AT-SESCからはアクションを通知せず、AMF機器側の設定に依存します。
    • 隔離: 該当デバイスが接続されているポートを隔離用VLANに移動します
    • パケット破棄: 該当デバイスの通信をレイヤー2(MACレベル)で破棄します。
    • リンクダウン: 該当デバイスが接続されているポートを無効化します。
    • IPフィルター: 該当デバイスの通信をレイヤー3(IPレベル)で破棄します。
    • ログ: 該当デバイスの情報を取得します。


    Note
    AMFアクションでログ アクションを使用するには、お使いのAlliedWare Plus機器のプロキシーノード、エッジノードの双方ともファームウェアバージョン 5.4.9-0.x 以降が必要です。

  6. 「登録」ボタンを押します。
    アクションが登録されると、新規に追加した情報が「ポリシー設定」/「アクション一覧」画面に表示されます。

設定は以上です。
この例のアクションを有効にすると、以後、アクションを削除するか、より優先度の高いアクションで接続が許可されない限り、該当のMACアドレスからの通信はすべて破棄されます。



(C) 2015-2019 アライドテレシスホールディングス株式会社

PN: 613-002214 Rev.J