もとらぼ

ラボや仕事で検証した技術の備忘録

Defender for IoT - ポリシー自動生成

前回 Defender for IoT の設定を行いました

www.moto-lab.neE

プロファイルという考え方がベースとなっており、グループポリシーやロール(条件設定)がすべてモジュール化されています。慣れるまでちょっと分かりづらいかな。

特にロールの設定が複雑になりがちです。なぜならネットワーク内で許可するトラフィックが把握できている場合はそのまま設定すれば良いのですが、どんなものが流れていてどれを制御すればわからない・・・という状況が多くあるからです。

トラフィックアナライザーや、パケットキャプチャでトラフィックを把握して、それからロールの作成をするの?と考えると導入にも躊躇します。

少なくとも私なら面倒で導入したくないな(苦笑)

 

そんな事もあろうかと。

 

Extreme Defender アプリにはポリシーを自動生成する機能があります。

今回はその設定方法について確認していきましょう。

 

 

ポリシー自動生成

Extreme Defenderアプリを起動します

Administration - Applications - Extreme Defender for IoT をクリック

f:id:moto_827:20200317153850p:plain

 

別画面でログインが表示されます

Username / Password は  Extreme Cloud Applianceにログインするものと同様です

f:id:moto_827:20200317154143p:plain

 

ポリシー自動生成対象のプロテクトデバイスの選択

Protected Devicesから対象の端末を選択

f:id:moto_827:20200317230904p:plain

 

トラフィックを監視する期間を選択

Policy Generatorを選択し、Capture Time を設定したら Next

f:id:moto_827:20200317231239p:plain

自動生成時には制限があります

  • キャプチャはXCAあたり1つずつ
  • 1ロールあたり最大64ルールまで作成
  • キャプチャ容量は1GBまで
 
トラフィック取得VLANの選択

VLANを選択したら、さっそく実行してみましょう

f:id:moto_827:20200317232330p:plain

 

実行されるとステータスに反映されます

f:id:moto_827:20200317232533p:plain

 

終わるまでしばらく放置です

・・・

・・・

・・・

さて、1時間経ちました

 

ポリシー保存

ロール修正

ステータスが Capture Complete になってます

トラフィック分析した結果を修正、確認するには黄色の部分をクリックします。

(Open Generated Role for Editingのあたりです)

f:id:moto_827:20200318013748p:plain

 

L3、L4ルールが239個できているのが確認できます

制限として1ロール内には64ルールまでしか登録できません。ですのでルールをまとめたり、削除する必要があります。

f:id:moto_827:20200318014215p:plain

  • Role Name - ロール名
  • Default Action - デフォルトDeny(ルールにマッチしないトラフィックはDenyする)

 

L3,L4ルールを展開してみました

これを修正して、64ルール以内に収めます。

f:id:moto_827:20200318014648p:plain

 

あ、これ、メンドクサイやつだった。。。

64ルールに収めたら保存します。

f:id:moto_827:20200318020021p:plain

 

ロールが作成されたのが確認できました。

f:id:moto_827:20200318020316p:plain

 

 

あとはこのロール用にグループを作成し、プロテクトデバイスに適用するだけとなります。

 

この例ではインターネット向けトラフィックを分析したのでかなりの数のルールが作成されましたが社内トラフィックではこんなに増えないかと思います。

最終的には管理者の調整が必要になりますが、それでもトラフィックアナライザを使うよりは簡単にルール作成ができるかと思います。