Acces Controlについて

Firewall Policy(ファイアウォールポリシー)とRole(ロール)の2つがある。

FWポリシー
 通常のFWのACLと考えればよい。
 適用方法は、Port(またはPort Channel)に適用するか、Roleに割り当てる。

Role
 Role = (1つまたは複数の)FWポリシーをまとめたもの。
 通常のFWのルールと同じように、上から順に適用。最後に暗黙のDENYがある。
 適用方法は、AAA Profileに割り当てる。
 また、Web認証を行う場合にはWeb認証のProfileであるCaptive Portal Profileにも設定する。

Firewall Policy(ファイアウォールポリシー)

FWのACLである。
画面を見てみよう。以下がデフォルトで作成されているFWポリシーである。
fw
この中の、allowallを見てみよう。IPv4とIPv6の両方で、すべての通信が許可されていることが分かる。
書き方のフォーマットは正しくFWのルールと同じである。

fw2

i

これらの内容は変更できますか?

Editボタンからできる。

roleとは

i
roleってなんですか?
直訳すると、役割だと思いますが。

roleはアクセスリストのグループからなる。
どんな役割というか権限を持っているかと考えればいいだろう。
例えば、未認証ユーザがデフォルトで適用されるlogonというroleがある。
Security > Access Control > User Rolesを見てみよう。デフォルトでいろいろなRoleがある。
たとえば、以下である。

Name Firewall Policies
authenticated allowall/,v6-allowall/
logon logon-control/,captiveportal/,vpnlogon/,
v6-logon-control/,captiveportal6/

role

 

このように、logonロールには5つのFWポリシーが割り当てられている。

それぞれのFirewall Policies(access-list)の中身は、「Policies」タブで確認できる。
または、
show ip access-list <acl_name>
で確認できる。
詳しくは上記のコマンドで確認いただきたい。
認証前と認証後では、当然役割が変わってくるので、Roleは別のものが割り当てられることになる。認証前のRoleは、AAAプロファイルで変更できる。たとえば、roleの「logon」ではログオンに必要な通信以外は基本的に何もできない。認証後のRoleはauthenticatedにすることが多いだろう。

ロールの例

【認証前】
認証されていないので、最低限の
アクセスに限定する
 Role例:logon
【認証後】
認証がされたので、すべての
通信を許可する
 Role例:authenticated

Firewall Policy(ACL)の設定

Firewall Policy=ACL(Access List)と考えてもらっていいが、種類がいくつかある。
aaa

上記の下の赤枠でくくった部分を見てみよう。いくつかのポリシーが表示されている。

IP Session
 通常のFWのACLと考えればよいだろう。以下のように、送信元IPや宛先IPなどにてACLを作成する。
 一方、4と5のStandard/Extendedは、通常のルータのACLと考えればいい。
f
通常のFWのACLと通常のルータのACLですか?
違いが分からないんですけど。

通常のルータのACLは、Cisco社などのACLを想定してもらえばいい。静的なフィルタリングであり、行きと戻りのルールは別々に書く必要がある。
一方、FWのルータは、動的フィルタリング(ステートフルインスペクションも似たような概念)であり、Sessionを保持していれば、戻りのパケットも許可される。
今回のArubaのIP Sessionの Sessionという言葉からも、動的フィルタリングと考えればよい。

fw

g

Actionの中の、dropとrejectはどう違うのですか?
どちらも通信をブロックするのですよね?

drop(CLIではdeny)もrejectも、どちらも通信をDROPするのは同じ。rejectの場合はさらに、ICMP メッセージを送信元へ送信する。

Ethernet Type ACL

MAC ACL
 MACアドレスフィルタの設定。※MACアドレス認証とは別物である。

(config) #ip access-list mac macacl ←macaclという名前で作成
(config-mac-macacl)# permit host 11:22:33:44:55:66
(config-mac-macacl)# deny host 11:11:11:11:11:11

Standard ACL Extended ACL
Cisco社などの一般的なACLと同じで、標準と拡張のACLである。静的なフィルタリング。
Arubaの場合は、動的フィルタリングであるSession ACLをFirewall機能として使うことが一般的で、こちらはあまり利用しないだろう。戻りのパケットを考えるのは面倒なので。
実際に使う場合、StandardとExtendedはPortのInbound/Outboundに適用する。
 
RoleとACL
RoleとACLは別物である。
また、ACLをRoleに適用することができる。ただし、roleに適用できるACLは限られていて、Ethernet Type ACL,MAC ACL,Session ACLの3つだけである。

FWポリシーの適用① Roleへの割り当て

Access Controlの具体的な設定を解説する。
まずはACLを作成し、次にそのACLをRoleに割り当てる。
こうしてできたRoleをAAA Profileに適用する。

ACLの設定
※表記がCLIとGUIで違ったりするから注意だ。途中でFirewall Policyになったりもする。
Security > Access Controlから「Policies」タブをクリック
「Add」
Policiesにて「Add」
「PolicyType」はSessionを選択する。
j
例えば、サーバ群(10.1.1.0/24)へのhttp(80)のみを許可したい場合は、どのように設定すればいいですか?

以下の画面のような設定をする。
policy

FWと同様に、暗黙のDENYがある(はずな)ので、ANY ANY DENYは不要。

Roleの作成
設定したACLをUser Roleに割り当てる。設定画面は以下。
「Firewall Policies」に「Add」するrole

FWポリシーの適用② ポートへの割り当て

Configuration > Port画面から「Firewall Policy」にて適用する。
Port Channelでも、「Port-Channel」タブから同じように設定できる。
j

「in/out」と「Session」とあります。
どう割り当てればいいのでしょうか?

両者では、適応可能なACLが異なる。
In/out
Inbound /outboundそれぞれへの物理ポートに対するACL。
StandardやExtended ACLが適応可能。一方、Session ACLを適用することはできない。
Session
Session ACLが適用可能。

fw2

Roleの適用

Roleを適用するには、AAA Profileに設定する。
適用するのは2つある。
 ①Initial Role
  アソシエーション時の割り当てられるルール(ACL)
 ②dot1xdefault role
  dot1x認証が成功した後に割り当てられるルール(ACL)

f
具体的に教えてください。
例えば、認証後の端末に、特定のサーバによみ通信させたいというようなACLとRoleを作成したとします。
これを適用するにはどうすればいいですか? 

802.1x認証の場合
802.1X Authentication Default Roleに、作成したRoleを割り当てればよい。

WPA-PSKの場合
WPA-PSKの場合は、Aruba的には認証フェーズは無いと考えているようだ。PSKの交換も認証の一つと思うのだが、そう考えてはいないらしい。だから、無線通信が開始した後でもInitial roleに作成したRoleを割り当てる。

Roleの確認

CLIの場合、以下のコマンドで、全てのRoleが表示される。
CLI

(Aruba650) #show rights

RoleTable
———
Name              ACL  Bandwidth                  ACL List                                                                                                            Type
—-              —  ———                  ——–                                                                                                            —-
ap-role           4    Up: No Limit,Dn: No Limit  control/,ap-acl/                                                                                                    System
authenticated     43   Up: No Limit,Dn: No Limit  allowall/,v6-allowall/                                                                                              User

■GUIの場合
以下で全てのロールが見れる
Security > Access Control > User Roles

その中身であるallowallなどの内容はSecurity > Access Control > Firewall Policiesで確認できる。

【参考】 メモレベル

dot1Xの場合のロールを適用の優先度が高い順から並べると。
①サーバからVSAを受け取る
②ServerからRadiusのAttributeを受け取る。Filter-Idなどを使い、そこに入っている。名前と一致するルールを使う。
③デフォルトのロールを使う