ApresiaスイッチのAccessDefenderの設定方法

AccessDefenderとはAPRESIAが提供している
ネットワーク認証などのセキュリティ機能を融合した統合セキュリティソリューションです。

認証サーバとの連携を行い、ネットワークに接続しようとするユーザや端末の認証を行い、
許可、または拒否を行います。
不正な端末の接続を防ぐことでネットワークのセキュリティを守ります。

▪️　L２セキュリティ
・Web認証
・MAC認証
・IEEE802.1X認証

▪️　L３セキュリティ
・ゲートウェイ認証（パケットフィルター2）・・・アクセスリストやQosの設定

APRESIAスイッチによるWeb認証の設定方法

Web認証とはWebブラウザを使用する認証方法で、ネットワークへ接続するユーザに対して、
Webブラウザから、ユーザ名・パスワードを入力し、認証する方法です。

通常はRADIUSサーバと連携して認証を行いますが、ローカルデータベースを使用することもできます。
方法としては、以下の２種類があります。

・固定VLAN・・・認証の前後で同じVLANを使用します。

・動的VLAN・・・認証前は暫定VLANで認証を行い、その後、正規VLANを割り当てます。

設定方法としては以下の通りとなります。

1.AccessDefenderモードに移行する。
2.認証可能な最大端末を設定する。
3.Web認証を有効にするポートを指定する。
4.Web認証サーバのIPアドレスを設定する。
5.Web認証サーバのHTTP/HTTPSのTCPポートを設定する。
6.エージングログアウト時間を設定する。(オプション)
7.Web認証を有効にする。

(config)# access-defender
(config-a-def)# packet-filter2 max-rule [最大端末]
(config-a-def)# web-authentication [port (ポート) | lag (LAG)]
(config-a-def)# web-authentication [IPアドレス]
(config-a-def)# web-authentication http port [ポート番号]
(config-a-def)# web-authentication https port [ポート番号]
(config-a-def)# logout aging-time [秒] [分　時　日] [web]
(config)# web-authentication enable

APRESIAスイッチによるMAC認証の設定方法

MAC認証とは端末のMACアドレスを使用する認証方法で、ネットワークへ接続する端末の
MACアドレスが登録済みであれば接続を許可します。

通常はRADIUSサーバと連携して認証を行いますが、ローカルデータベースを使用することもできます。
方法としては、以下の２種類があります。

・固定VLAN・・・認証の前後で同じVLANを使用します。

・動的VLAN・・・認証前は暫定VLANで認証を行い、その後、正規VLANを割り当てます。

設定方法としては以下の通りとなります。

1.AccessDefenderモードに移行する。
2.認証可能な最大端末を設定する。
3.Web認証を有効にするポートを指定する。
4.MAC認証のパスワードを設定する。
5.Web認証を有効にする。

(config)# access-defender
(config-a-def)# packet-filter2 max-rule [最大端末]
(config-a-def)# mac-authentication [port (ポート) | lag (LAG)]
(config-a-def)# mac-authentication password [パスワード]
(config)# web-authentication enable

APRESIAスイッチによるIEEE802.1x認証の設定方法

IEEE802.1x認証とはRADIUSサーバと連携し、主に証明書を使用した認証方法です。
証明書を使用した認証方式を「EAP-TLS」と言い、最もよく使われ、最もセキュリティレベルが高い方式となります。

IEEE802.1x認証の細かい説明こちらをご覧ください。
設定方法としては以下の通りとなります。

1.AccessDefenderモードに移行する。
2.認証可能な最大端末を設定する。
3.Web認証を有効にするポートを指定する。
4.MAC認証のパスワードを設定する。
5.Web認証を有効にする。

(config)# access-defender
(config-a-def)# packet-filter2 max-rule [最大端末]
(config-a-def)# mac-authentication [port (ポート) | lag (LAG)]
(config-a-def)# mac-authentication password [パスワード]
(config)# web-authentication enable

RADIUSサーバとの連携の設定方法

1.認証に使用するRADIUSサーバを指定する。
2.Web認証にRADIUSサーバを使用する。
3.MAC認証にRADIUSサーバを使用する。
4.RADIUSサーバのデッドタイムを設定する。（RADIUSサーバへの問い合わせがタイムアウトした場合に、一定時間、問い合わせに行わないようにする設定）

(config)# aaa radius [INDEX] host [IPアドレス] [auth-port (ポート)] [timeout (秒)] [retransmit (回数)] [key (共有鍵)]
///[INDEX]とは1~8の任意の番号

(config)# aaa authentication web radius [INDEX1] [INDEX2]
///[INDEX1]はプライマリRADIUSサーバで、[INDEX２]はセカンダリRADIUSサーバ

(config)# aaa authentication mac radius [INDEX1] [INDEX2]
///[INDEX1]はプライマリRADIUSサーバで、[INDEX２]はセカンダリRADIUSサーバ

(config)# aaa radius deadtime (分)

AccessDefenderの検証・確認

# show access-defender aaa-local-db
///ローカルデータベースの情報を表示

# show access-defender deny
///認証が拒否された端末を表示

# show access-defender port-configuration
///認証ポートの状態を表示

# show access-defender client [port (ポート)] [type (タイプ)]
///認証済み端末、拒否された端末を表示（MACアドレス認証に失敗した場合、300秒間は認証ができなくなる）

# show access-defender packet-filter2 rule-statistics
///パケットフィルター2のルールの使用状況を確認