もとらぼ

ラボや仕事で検証した技術の備忘録

Defender for IoT - 設定編

前回 Defender for IoTアプリのインストールまで行いました

www.moto-lab.net

今回は設定を確認してみたいと思いますが、ポイントとなるのはプロファイルです。

プロファイルは承認されたデバイスとフローのリストを提供し、SA201は他の全てのトラフィックをブロックします。

プロファイル内にはそれぞれリストを作成する事ができ、L2~L7レベルで監視を行い適合しないトラフィックをブロックする事が可能です。

 

今回の設定ではまず通信が可能となるところまで見てみましょう

 

 

初期設定

Extreme Defenderアプリを起動します

Administration - Applications - Extreme Defender for IoT をクリック

f:id:moto_827:20200317153850p:plain

 

別画面でログインが表示されます

Username / Password は  Extreme Cloud Applianceにログインするものと同様です

f:id:moto_827:20200317154143p:plain

 

WELCOME画面にて初期セットアップのパラメータを入力します

入力完了後、Run Setup で実行します。

f:id:moto_827:20200317154347p:plain

 

SA201の登録

SA201のアクティベーションを行います

Administration - Activationを選択し、アクティベーション方法を選択

(例はマニュアル登録)

f:id:moto_827:20200317201109p:plain

登録機器台数によって、3パターンから登録方法を選択できます

  • Scan QR Code - 外箱についてるQRコードを読み取ってシリアル番号を登録
  • Manual Onboading - シリアル番号、ホスト名を手動登録
  • Browse/Drop CSV file - シリアル番号、ホスト名をリスト化して一括登録

 

f:id:moto_827:20200317201827p:plain

  • Serial Number -  SA201のシリアル番号
  • Model - SA201
  • Site - 初期セットアップで作成したサイト名
  • Name - 登録ホスト名

 

InventoryでSA201が認識されていることを確認

f:id:moto_827:20200317155313p:plain

 

プロテクトデバイスの登録

次にプロテクトしたい端末の登録を行います

SA201の DEVICE 表記があるポートに端末を接続します。スイッチを接続することで、最大8端末までプロテクトする事が可能です。

f:id:moto_827:20200317170950j:image

 

端末を接続・・・

これで完了すれば良いのですが、デフォルトで端末からの通信はすべて拒否されているので通信可能なポリシーを作成して適用する必要があります。

 

ポリシー作成

ロールの作成

条件(L2~L7)に対してどういった動作をさせるかのリストを作成します。ここで注意しなくてはいけないのは、作成する場所がいままでのExtreme Defenderアプリ(Docker側)では無く、 ExtremeCloudAppliacne(XCA)側で作成する必要があります。

 

XCAの画面

Configure - Policy - Roles を選択し、ADDボタンで新しいロールを追加します

f:id:moto_827:20200317203549p:plain

 

全通信を許可する動作とします
f:id:moto_827:20200317204456p:plain

  • Name - ロール名
  • Default Action - このロールの基本動作(Allow 許可 or Deny 拒否)

ちなみにここのL2 / L3,L4 / L7で細かく条件設定可能ですが、いまは通信ができるまでを確認するのでとりあえず設定無しでOKです。

 

つぎにこのロールをプロファイルに紐づけます

Associated Polifes の鉛筆マークをクリックします

f:id:moto_827:20200317205220p:plain

 

初期セットアップで自動作成されたSA201用のプロファイルとロールを紐づけます

f:id:moto_827:20200317205437p:plain

  • Name - DFNDR_SA201 を選択

 

紐づけが終わったら、保存します

Role is associated with 1 Profile と表示があり、1つのプロファイルに適用済みであることが確認できます。

f:id:moto_827:20200317205711p:plain

 

グループの作成

XCA側で作成したロールをグループポリシーと連携します

(このグループポリシーが端末に適用されます)

Extreme Defenderアプリ(Docker側)に戻って設定します・・・

うーん、ちょっとメンドクサイ。。

 

Dockerアプリ側で

Policy - Groups を選択し、ADDボタンで新しいグループを追加します

f:id:moto_827:20200317211424p:plain

ロールとグループを紐づけて、保存します

f:id:moto_827:20200317211728p:plain

  • Group Name - グループ名を入力
  • Associated Role - 作成したロールを選択

 

グループのアサイ

プロテクトするデバイスにグループを適用します

Inventoryから、プロテクトしたい端末が接続されているSA201をクリックします。

f:id:moto_827:20200317212202p:plain

 

Protected Devices の Assigned Group で、作成したグループを選択して保存します。

f:id:moto_827:20200317212414p:plain

 

ネットワーク設定の修正

よし!これでOK!!と思ったら・・・あれ?通信できない??なんで???

・・・

あ、そうだ。ネットワーク側のポリシーがデフォルトでDeny ALLサービスが適用されるんだった。

これを修正します

 

これはXCA側で変更します。。もう行ったり来たり・・メンドクサ

Configure - Networks - WLANs からDefender用のネットワークを選択します

(例では DFNDR_Service)

f:id:moto_827:20200317213957p:plain

 

ロールを通信許可ルールのものに修正します

先ほど作成した DFNDR_PermitALL  を選択します。

f:id:moto_827:20200317214323p:plain

 

とりあえず、ここまでで接続および通信ができるとこまでになりました。

いまは条件無しで通信OKとしてますが、本来の運用では条件に合ったものを許可し、それ以外は拒否する事が多いと思います。

次回は条件(ロール)の詳細を確認したいと思います。