クイックツアー/AT-SESCについて

AT-SESCの位置づけ

AT-SESCが管理する情報（OpenFlow）

AMFアプリケーションプロキシー機能とは

AT-SESCが管理する情報（AMFアプリケーションプロキシーホワイトリスト機能）

AMFアプリケーションプロキシーによる遮断

AT-SESCからプロキシーノードへの被疑端末情報の通知

AMFアクション

被疑端末の遮断解除

被疑端末の遮断ステータスの表示とメール送信

AMFマスター（プロキシーノード）、AMFメンバー（エッジノード）の設定

AT-SESCの設定

コントロール対象となるネットワーク機器

アプリケーション連携ソリューション

AT-SESCの位置づけ

Secure Enterprise SDN（SES）ソリューションは、オフィス環境のネットワーク運用管理の効率化とセキュリティーの強化をSDN技術で実現するソリューションです。
AT-SESCは接続デバイス管理のシステムの中核をなすSDNコントローラーとして機能します。
弊社ネットワーク装置の運用管理を一元化・簡便化するAllied Telesis Management Framework（AMF）と並び、システム全体の運用の効率化を図ることができます。

AT-SESCが管理する情報（OpenFlow）

AT-SESCは、登録されたデバイスのMACアドレス情報に基づき、管理下のOpenFlow対応ネットワークスイッチおよび無線LANアクセスポイント（以後、総称して「OpenFlowスイッチ」と記載します）にパケット制御フロー（フローエントリー）を設定（送信）し、デバイスのネットワーク接続を一括して制御することができます。

管理下のOpenFlowスイッチとはTCPセッションを確立し、OpenFlowプロトコルを使用して制御を行います。

デバイスには、ネットワークに接続可能な「ロケーション（場所）」と「スケジュール（期間）」の2つの条件を設定します。
また、「ロケーション」に設置された「OpenFlowスイッチ」やその「スイッチポート」といった、より細かな条件を指定することもできます。
これらの条件を満たした場合には、VLAN IDによって定義された論理的な「ネットワーク」への接続ができるようになります。

ロケーション
デバイスの接続を許可する場所。
その場所に設置されたOpenFlowスイッチを登録することで、物理的なネットワーク空間を定義します。
スケジュール
デバイスの接続を許可する期間。
接続を許可する開始日時と終了日時が指定できます。
OpenFlowスイッチ
デバイスの接続を許可するOpenFlowスイッチ。
特定のOpenFlowスイッチに接続した場合のみ、ネットワークへのアクセスを許可します。
スイッチポート
デバイスの接続を許可するOpenFlowスイッチのスイッチポート。
特定のスイッチポートに接続した場合のみ、ネットワークへのアクセスを許可します。
ネットワーク
デバイスが接続するVLANサブネット（VLAN IDによって定義された論理的なネットワーク空間）。

これらの要素をセキュリティーポリシーと呼びます。

デバイスが持つMACアドレスインターフェースは、デバイスに割り当てられたセキュリティーポリシーをもとに接続・遮断・隔離といった管理を受けます。
デバイスには、複数のMACアドレスインターフェースを設定できます。
例えば、デバイスに無線インターフェースと有線インターフェースの2つのMACアドレスが登録されている場合、設定されたロケーション、スケジュールの条件を満たせば、どちらのインターフェースからでも同じネットワークへの接続が許可されます。

表 1：設定可能なセキュリティーポリシー（OpenFlow）

デバイスが持つ管理情報
デバイス	OpenFlowスイッチに接続するネットワーク機器。
└	MACアドレス	デバイスが持つインターフェースのMACアドレス。
	：	（複数設定可能）
└	セキュリティーポリシー	ネットワーク			デバイスを接続するVLANセグメント（VLAN ID）。
		ロケーション			デバイスの接続を許可する物理的な場所、空間。
		└	OpenFlowスイッチ		ロケーションに所属するネットワーク機器。
			└	スイッチポート	デバイスの接続を許可するスイッチポート。
			：		（複数設定可能）
		スケジュール			デバイスの接続を許可する期間（開始・終了日時）。
		（複数設定可能）

OpenFlowスイッチのネットワークポートには、OpenFlowコントローラーとの通信を行うための「コントロールプレーンポート」と、OpenFlowによって制御されユーザートラフィックが流れる「データプレーンポート」があります。
AT-SESCでは、データプレーンポートは、さらに役割の異なる「アップストリームポート」と「クライアントポート」の2つに分かれます。

アップストリームポート
装置上に1つのみ設定され、上位ネットワークに接続されます。
クライアントポート
残りすべてのデータプレーンポート。ユーザーデバイスはこのポートに接続されます。

AT-SESCは、ファイアウォールなどによって、アップストリームポートがより高位のセキュリティーによって保護されていることを前提としており、クライアントポートに接続されるデバイスを管理対象とします。
アップストリームポートは、初期設定では、最もOpenFlowポート番号が小さいポートに設定されます。この設定はOpenFlowスイッチ単位で変更可能です。

AMFアプリケーションプロキシー機能とは

AMFアプリケーションプロキシー機能は、AMFメンバー（エッジノード）に接続された端末を、AMFマスター（プロキシーノード）がAT-SESCに認証を行うことで通信制御を行います。
また、AT-SESCからプロキシーノードに被疑端末の情報を通知し、エッジノードで該当端末の通信遮断を行うことも可能です。

Note
プロキシーノードはエッジノードを兼ねることもできます。

AMFアプリケーションプロキシー機能を利用するには、AT-SESC、プロキシーノード、エッジノードのそれぞれに設定が必要です。

AT-SESCが管理する情報（AMFアプリケーションプロキシーホワイトリスト機能）

AT-SESCは、登録されたデバイスのMACアドレス情報に基づき、管理下のAMFメンバーのポート認証機能を使用し、デバイスのネットワーク接続を一括して制御することができます。

AMFアプリケーションプロキシーホワイトリスト機能は、AMFメンバーに接続された端末を、AMFマスターがAT-SESC（ホワイトリストサーバー）に認証を行うことで、AT-SESCからAMF対応機器でのアクセス制御を可能にするAMF-SEC（AMF-SECurity）の連携機能です。
これらの条件を満たした場合には、VLAN IDによって定義された論理的な「ネットワーク」への接続ができるようになります。

ロケーション
デバイスの接続を許可する場所。
その場所に設置されたAMFメンバーを登録することで、物理的なネットワーク空間を定義します。
スケジュール
デバイスの接続を許可する期間。
接続を許可する開始日時と終了日時が指定できます。
スイッチポート
デバイスの接続を許可するAMFメンバーのスイッチポート。
特定のスイッチポートに接続した場合のみ、ネットワークへのアクセスを許可します。
ネットワーク
デバイスが接続するVLANサブネット（VLAN IDによって定義された論理的なネットワーク空間）。

表 2：設定可能なセキュリティーポリシー（AMFアプリケーションプロキシーホワイトリスト）

デバイスが持つ管理情報
デバイス	AMFメンバーに接続するネットワーク機器。
└	MACアドレス	デバイスが持つインターフェースのMACアドレス。
	：	（複数設定可能）
└	セキュリティーポリシー	ネットワーク			デバイスを接続するVLANセグメント（VLAN ID）。
		ロケーション			デバイスの接続を許可する物理的な場所、空間。
		└	AMFメンバー		ロケーションに所属するネットワーク機器。
			└	スイッチポート	デバイスの接続を許可するスイッチポート。
			：		（複数設定可能）
		スケジュール			デバイスの接続を許可する期間（開始・終了日時）。
		（複数設定可能）

Note
本機能を使用するには、お使いのAlliedWare Plus機器のプロキシーノード、エッジノードの双方ともファームウェアバージョン 5.4.9-0.x 以降が必要です。

AMFアプリケーションプロキシーによる遮断

AT-SESCからプロキシーノードへの被疑端末情報の通知

AT-SESCは、被疑端末を検出するセキュリティーソフトウェアや機器から情報を受信した際、または「ポリシー設定」/「アクション追加」画面でアクションを追加した際に、プロキシーノードに被疑端末の情報を通知します。この被疑端末の情報はAT-SESC上に登録され、「ポリシー設定」/「アクション一覧」画面に表示されます。
なお、その情報を再度プロキシーノードに通知は行いません。

Note
被疑端末の情報を保持しているプロキシーノードが再起動した場合、被疑端末の情報はプロキシーノードから削除されます。
再起動後、AT-SESCから被疑端末の情報の再通知はないため、プロキシーノードは被疑端末の情報を学習することはできません。
プロキシーノードに被疑端末の情報を学習させるためには、次の手順でAT-SESCから手動で被疑端末の情報を通知してください。
1. 「ポリシー設定」/「アクション一覧」画面を開きます。
2. 「CSV にエクスポート」ボタンをクリックし、CSVファイルを保存します。
3. 「システム設定」/「メンテナンス」画面を開きます。
4. 認証データの「認証データをインポートします。」欄の「参照...」ボタンで保存したCSVファイルを選択し、「インポート」ボタンをクリックします。

AMFアクション

AT-SESCは被疑端末の情報をプロキシーノードに通知する際に、通信遮断を指示するアクション（AMFアクション）を通知することができます。
AT-SESCで設定するAMFアクションは次のとおりです。

パケット破棄
リンクダウン
隔離
AMF依存
IPフィルター
ログ

「パケット破棄」、「リンクダウン」、「隔離」、「IPフィルター」、「ログ」を設定した場合は、エッジノード側に設定されたAMFアクションよりも優先して、これらのAMFアクションが実行されます。
「AMF依存」を設定した場合は、AT-SESCからAMFアクションは送信されず、エッジノード側で設定されたAMFアクションが実行されます。

Note
複数の外部連携アプリケーションを併用する場合など、AMFマスターに被疑デバイスの情報が複数送信されるようなケースでは同一のAMFアクションを設定してください。
外部連携アプリケーションのAMFアクションの設定は「システム設定」/「トラップ監視設定」画面のルールで行います。
「ポリシー設定」/「アクション一覧」画面で既に登録されている被疑デバイスのAMFアクションを変更したい場合には、先に登録されているアクションを削除してから、新しいアクションを登録してください。

Note
ホワイトリストポートでは「隔離」アクションを併用できません。他のアクションは併用可能です。ホワイトリストで許可された端末であっても、他の遮断アクションの対象となった場合、該当端末からの通信はブロックされます。

被疑端末の遮断解除

被疑端末の遮断を解除（被疑端末の情報を削除）する場合には、「ポリシー設定」/「アクション一覧」画面で該当のアクションを削除します。該当のアクションを削除すると、AT-SESCはプロキシーノードに被疑端末情報を削除するよう通知します。

Note
プロキシーノード上でコマンドを実行することで遮断を解除することもできますが、その場合、プロキシーノードからAT-SESCに被疑デバイス情報を削除する指示は出しません。そのため、AT-SESC上では被疑デバイス情報を保持したままになりますので、必要に応じて「ポリシー設定」/「アクション一覧」画面で該当のアクションを削除してください。
プロキシーノード上で実行するコマンドについては、お使いのAlliedWare Plus機器のコマンドリファレンスをご参照ください。

被疑端末の遮断ステータスの表示とメール送信

エッジノードでAMFアクションが適用された被疑端末のステータスは、「デバイス」/「接続中デバイス一覧」画面に表示されます。
これは、AT-SESCが30秒間隔で定期的にプロキシーノードに問い合わせを行って情報を取得します。

Note
本機能を使用するには、お使いのAlliedWare Plus機器のプロキシーノード、エッジノードの双方ともファームウェアバージョン 5.4.8-1.x 以降が必要です。

また、AT-SESCのメール通知設定を行うことでメールを送信することもできます。

「遮断時にメールを送信します。」→「パケット破棄」、「リンクダウン」、「IPフィルター」のアクションで遮断された場合にメールを送信
「隔離時にメールを送信します。」→「隔離」のアクションで隔離された場合にメールを送信

Note
AT-SESCがプロキシーノードに問い合わせを行った際に、被疑端末の情報に更新（別のスイッチに移動後に再度遮断等）があった場合は、「デバイス」/「接続中デバイス一覧」画面に表示した情報を更新し、メール送信も行われます。

AMFマスター（プロキシーノード）、AMFメンバー（エッジノード）の設定

プロキシーノード、エッジノードの設定については、お使いのAlliedWare Plus機器のコマンドリファレンスをご参照ください。
なお、プロキシーノードとなるAlliedWare Plus機器の機種によっては、AMFアプリケーションプロキシー機能を利用するために、別途ライセンスが必要となる場合があります。

Note
被疑端末の遮断ステータスの表示とメール送信を行うためには、AMFアプリケーションプロキシー機能の基本設定に加えて、AMFマスター（プロキシーノード）で、atmf topology-gui enableコマンドを有効にしてください。

AT-SESCの設定

AMFアプリケーションプロキシー機能を利用するためには、本製品にAMFマスター（プロキシーノード）のIPアドレス、権限レベル15（特権レベル）のアカウントのユーザー名とパスワードを設定する必要があります。

「AMF」/「AMF アプリケーションプロキシー設定」画面を表示します。
「追加」ボタンをクリックします。
「IPv4 アドレス」に、AMFマスター（プロキシーノード）のIPアドレスを入力します。
「ユーザー名」、「パスワード」に、AMFマスター（プロキシーノード）に設定されている権限レベル15（特権レベル）のアカウントのユーザー名とパスワードを入力します。
ダイアログ下部の「登録」ボタンをクリックします。

Note
設定後に別の設定画面へ移動すると、ログイン画面が表示されます。実施した操作は正常に完了していますので、再度ログインを行ってください。
本設定を行うと、AMFマスター（プロキシーノード）への定期問い合わせ（30秒間隔）を行うようになります。

AT-SESCと連携するアプリケーションの設定については、「システム設定」/「トラップ監視設定」をご参照ください。

コントロール対象となるネットワーク機器

AT-SESCによる管理の対象となるAlliedWare Plusスイッチおよび無線LANアクセスポイントについての最新情報は、AT-SESCおよび当該ネットワーク機器のリリースノートにて公開しております。
各製品のコマンドリファレンスおよびリリースノートは弊社ホームページにて公開、または保守契約者向けページに掲載されています。
http://www.allied-telesis.co.jp/

アプリケーション連携ソリューション

AT-SESCは、脅威検出、デバイス管理、人事情報管理など、各種業務アプリケーションとの連携によって、ネットワーク運用の効率化とセキュリティー強化を図ることができます。

連携するサービスやアプリケーションの最新情報については、弊社「AMF-SEC テクノロジーパートナープログラム」を通じて提供されます。パートナープログラムの詳細は、弊社ホームページより「テクノロジーパートナープログラム」をご覧ください。

PN: 613-002214 Rev.K