NetSHAKER Version5.2
検疫システム
ご注意
1. 本製品の仕様およびマニュアルに記載されている内容は、バージョンアップ等に伴い、予告なしに変更すること があります。あらかじめご了承ください。 2. マニュアルの内容には万全を期しておりますが、万一技術的もしくは校正上の誤りやお気づきの点がございまし たら、ご連絡くださいますようお願いいたします。 3. 2.に関わらず、マニュアルの適用の結果生じた間接損害を含めいかなる損害についても、責任を負いかねますの でご了承ください。 4. このマニュアルの内容の一部、または全部を無断で転載することは固くお断りいたします。 5. 本書に記載されている機種名、ソフトウェアのバージョンなどは、本書を作成した時点で確認されている情報で す。本書作成後の最新情報については、販売店または弊社営業までお問い合わせください。 6. 本製品を使用して収納したデータが、ハードウェアの故障、誤動作、その他どのような理由によって破壊された 場合でも、弊社での保証はいたしかねます。万一に備えて、重要なデータはあらかじめバックアップしていただ くようお願いいたします。 7. 弊社は、本製品の仕様がお客様の特定の目的に適合することを保証するものではありません。 8. 本製品は、人命に関わる設備や機器、および高い信頼性や安全性を必要とする設備や機器(医療関係、航空宇宙 関係、輸送関係、原子力関係等)への組み込み等は考慮されていません。これらの設備や機器で本製品を使用し たことにより人身事故や財産損害等が発生しても、弊社ではいかなる責任も負いかねます。 9. 本製品は日本国内仕様ですので、本製品を日本国外で使用された場合、弊社ではいかなる責任も負いかねます。 また、弊社では海外での(海外に対してを含む)サービスおよび技術サポートを行っておりません。 マニュアルに記載されている会社名、製品名は、各社の商標または登録商標です。 Copyright (C) 2013 YASKAWA INFORMATION SYSTEMS Corporation All Rights Reserved.目次
はじめに... 1 ... 3 1. 初期設定編 ... 3 1.1. 運用開始までの流れ ... 4 1.2. NetSHAKERの設定 ... 4 1.2.1. システムアップデート ... 5 1.2.2. 各サービスの起動 ... 6 1.2.3. 検疫システムの設定 ... 8 1.2.4. VLAN設定 ... 10 1.3. 検疫サーバ(NX NetMonitor)機能の初期設定 ... 10 1.3.1. NX NetMonitor管理画面へのアクセス ...11 1.3.2. 検疫対象ネットワーク登録 ... 12 1.3.3. 検疫対象ネットワーク接続機器情報の取得 ... 16 1.4. 検疫システム運用開始 ... 16 1.4.1. 検疫機能有効化 ... 18 1.4.2. 接続許可リスト(固定機器、許可機器)の登録 ... 27 2. 運用上の注意点 ... 27 2.1. 検疫対象ネットワークの変更 ... 27 2.2. DHCPの使用制限はじめに
この度は、NetSHAKER をご利用いただきまして、まことにありがとうございます。
このマニュアルでは、NetSHAKER の検疫システム機能の設定手順、運用上でご注意いただく事 項等についてご説明します。
NetSHAKER のその他の機能の設定手順につきましては、別途『NetSHAKER Version5.2 ユーザ ーズマニュアル』をご覧ください。
NetSHAKER の検疫サーバ機能の詳細につきましては、『不正持込み PC 監視&強制排除システ ム NX NetMonitor マニュアル』をご覧ください。
1.
初期設定編
初
期
設
定
編
ここでは、NetSHAKER の検疫システム機能を有効にし、動作させるまでの設定について説明し ます。検疫システム機能を有効化すると各種サービスをご利用いただけるようになります。 なお、検疫システム機能を有効にするためには、事前にサービス契約が必要となります。1.1.
運用開始までの流れ
検疫ネットワーク運用開始までの基本的な流れは、次の通りです。 1.2 NetSHAKER の設定 1.2.1 システムアップデート 1.2.2 各サービスの起動 1.2.3 検疫システムの設定 1.2.4 VLAN 設定 1.3 検疫サーバ(NX NetMonitor)機能の初期設定 1.3.1 NX NetMonitor 管理画面へのアクセス 1.3.2 検疫対象ネットワーク登録 1.3.3 検疫対象ネットワーク接続機器情報の取得 1.4 検疫システム運用開始 1.4.1 検疫機能有効化 1.4.2 接続許可リスト(固定機器、許可機器)の登録本マニュアルでは、以下に示すネットワーク環境を前提にご説明します。
初
期
設
定
編
インターネット
ルータ
eth1 172.16.1.2
NetSHAKER の検疫システムでは、監視可能なクライアント数として最大 200 台までをサポート します。複数ネットワークを監視対象とする場合は、各ネットワークのクライアント数の合計が 200 台になります。200 台以上のクライアント数をご検討の場合は、別途ご相談ください。1.2.
NetSHAKER の設定
NetSHAKER の設定(サービス設定、検疫システム設定等)を行います。1.2.1.
システムアップデート
「システム」-「システムアップデート」メニューからシステムアップデートを実行してくださ い。 検疫システム機能は NetSHAKER とは別に、別途ライセンスが必要なオプション機能ですので、 システムアップデートを実行し、機能を有効化する必要があります。システムアップデートが完 了するまで検疫システム機能は有効になりませんので注意してください。検疫対象ネットワーク
eth0 192.168.1.1
192.168.1.0/24
クライアント
初
期
設
定
編
1. 「システム」-「システムアップデート」で[すぐに実行]ボタンをクリックしてください。 システムアップデートに、プロキシサーバの指定が必要な場合は、使用するプロキシサーバ の IP アドレスもしくは FQDN と、ポート番号を指定してください。 2. システムアップデートが開始され、次のような画面が表示されます。 ※ 「検疫システム機能」以外に、他のシステムアップデートがダウンロード可能な場合は、合 わせて表示されます。 ※ 画面の指示に従って、NetSHAKER を再起動してください。検疫システム機能が有効化され、 メニュー項目が表示されます。1.2.2.
各サービスの起動
検疫サーバ(NX NetMonitor)管理画面へのアクセスのために、WWW サービスを起動させてく ださい。 NetSHAKER 管理画面の「サービス」-「サービス管理」-「サービス一括設定」画面でサービ スの起動を設定します。初
期
設
定
編
①
1. 以下の各項目を入力してください。 ① WWW サービスの「起動設定」欄で、“起動”を選択してください。 2. [設定]ボタンをクリックしてください。1.2.3.
検疫システムの設定
検疫システムを設定します。 「オプション」-「検疫システム」-「検疫システム設定」画面で検疫システムの設定を行いま す。「管理画面へのアクセス」は、検疫システムが“起動”の場合のみ表示されます。初
期
設
定
編
1. 検疫システムの「起動設定」欄で、“起動”を選択してください。 2. [設定]ボタンをクリックしてください。 ■ 複数ネットワークを検疫する場合は、本マニュアルの「1.2.4 VLAN 設定」をご覧くだ さい。 ご注意1.2.4. VLAN 設定
複数ネットワークを検疫するために、VLAN を設定します。VLAN の設定に必要な VLAN ID と IP アドレス(ネットマスク)は、使用する L3 スイッチの設定に合わせる必要があります。VLAN ID と IP アドレス(ネットマスク)は事前に準備してください。使用可能な L3 スイッチの条件は以 下の 2 つです。
初
期
設
定
編
1. タグ VLAN の設定が可能であること。 2. トランク接続(複数の VLAN を 1 つのポートにまとめ送受信する機能)が可能であること。 以下に構成例を示します。 L3 スイッチの設定は以下です。 VLAN ID IP アドレス サブネットマスク 10 192.168.1.254 255.255.255.0 20 192.168.2.254 255.255.255.0 ※ L3 スイッチと NetSHAKER を接続するポートの設定を、上記 VLAN ID のトランクポートと して設定してください。L3 スイッチの設定等につきましては、各製品のマニュアルをご覧くださ い。検疫対象ネットワーク 1
クライアント
192.168.1.0/24
eth0.10 192.168.1.1
eth0.20 192.168.2.1
L3 スイッチ
検疫対象ネットワーク 2
VLAN ID = 10
VLAN ID = 20
192.168.1.254 192.168.2.254
192.168.2.0/24
IP アドレス サブネットマスク VLAN ID 10 192.168.1.1 255.255.255.0
初
期
設
定
編
20 192.168.2.1 255.255.255.0「システム」-「ネットワーク設定」-「VLAN 設定」画面で VLAN を設定します。必要な VLAN をすべて設定してください。上記例であれば、VLAN ID が 10 と 20 の 2 つを設定します。
①
②
③
④
1. 以下の各項目を入力してください。① 「VLAN ID」欄に L3 スイッチに設定した VLAN ID を指定してください。
② 「IP アドレス」欄に設定する VLAN に割り当てる IP アドレスを指定してください。 ③ 「サブネットマスク」欄に VLAN に割り当てるサブネットマスクを指定してください。 ④ コメントがあれば「備考」欄に入力してください。 2. [追加]ボタンをクリックしてください。 ■ VLAN は、eth0(内向け)のネットワークのみ登録できます。eth1(外向け)のネットワー クには登録できません。 ■ VLAN の登録最大数は、4 つです。 ■ 各クライアントのデフォルトゲートウェイは、L3 スイッチに設定した IP アドレスを 指定してください。 ■ [追加]、[修正]、もしくは、[削除]ボタンをクリックした場合、設定が一覧に反映され るまで、30 秒程度の時間がかかる場合があります。設定反映が完了するまで、他の操 ご注意
1.3.
検疫サーバ(NX NetMonitor)機能の初期設定
検疫サーバ(NX NetMonitor)機能の設定は、NetSHAKER 管理画面とは別の NX NetMonitor 管理画面から行います。初
期
設
定
編
NX NetMonitor 管理画面の操作方法の詳細は、『不正持込み PC 監視&強制排除システム NX NetMonitor マニュアル』の「6. 操作方法」をご覧ください。1.3.1. NX
NetMonitor 管理画面へのアクセス
NX NetMonitor 管理画面は、「オプション」-「検疫システム」-「検疫システム設定」画面を 表示し、「管理画面へのアクセス」欄の[管理]ボタンをクリックすることで表示されます。 NX NetMonitor との接続が確立すると、基本認証ダイアログが表示され、「ユーザ名」と「パス ワード」の入力を求められます。 「ユーザ名」には“user”を、「パスワード」には NX NetMonitor で設定されているパスワード を入力してください。初期設定時のパスワードは“Mamorukun”に設定されています。 正しい「ユーザ名」と「パスワード」を入力すると、NX NetMonitor の管理画面が表示されます。 ■ 「管理画面へのアクセス」欄が表示されない場合は、検疫システムが起動しているこ とを確認してください(「1.2.3 検疫システムの設定」参照)。検疫システムが起動して いない場合は、表示されません。 ■ NX NetMonitor 管理画面が表示されない場合は、NetSHAKER 管理画面の「サービス 一括設定」画面で、WWW サービスが起動しているかを確認してください(「1.2.2 各 サービスの起動」)。WWW サービスが起動していない場合は、WWW サービスを起動 して、再度、NX NetMonitor 管理画面にアクセスしてください。 ご注意1.3.2.
検疫対象ネットワーク登録
NX NetMonitor 管理画面で、「ネットワーク登録」を行います。初
期
設
定
編
①
②
③
1. 以下の各項目を入力してください。 ① 「ネットワーク登録」のリンクをクリックし、「ネットワーク登録」画面を表示してくださ い。 ② 「ネットワーク名」「グループ名」入力欄には、「NX NetMonitor 統合メニュー」画面に表 示するためのネットワークに対する名称とグループ名を指定してください。 ③ 「IP アドレス」「ネットマスク」入力欄には、eth0(内向け)の IP アドレスを指定してくだ さい。複数ネットワークの設定を行う場合は、VLAN 設定で指定した IP アドレスを指定し てください。 2. [登録]ボタンをクリックすると、下図のような確認ダイアログが表示されます。3. [OK]ボタンをクリックすると、下図のような登録確認画面が表示されます。
初
期
設
定
編
1.3.3.
検疫対象ネットワーク接続機器情報の取得
「1.3.2 検疫対象ネットワーク登録」で登録したネットワークについて、検疫対象となる機器を登 録するために、ネットワークに接続された機器情報の取得(モニターラン)を行います。 モニターランの前に、クライアント PC やプリンタなど、通常使用するネットワーク機器を電源 が入っている状態でネットワークにつなげてください。 次に、モニターランを設定します。モニターランの設定は、ネットワーク毎の管理画面から行い ます。ネットワーク毎の管理画面へのアクセスは、「ネットワーク一覧」画面から、ネットワーク の名称の部分のリンクをクリックしてください。該当のネットワークについての画面が別ウイン ドウに表示されます。 ネットワーク毎の管理画面の「環境設定」画面で、それぞれの環境設定を行います。初
期
設
定
編
①
②
③
④
⑤
⑥
⑦
1. 以下の各項目を入力してください。 ① 「環境設定」リンクをクリックし、「環境設定」画面を表示してください。
初
期
設
定
編
② 「監視モード」設定は、「ネットワークの監視を行う」を選択してください。 ③ 「排除モード」設定は、「不正機器を検出しても排除しない」(検出のみ行う)を選択して ください。 ④ 「トラップ情報(共通)」設定は、「情報」を選択してください。 ⑤ 「トラップ情報(独自)」設定は、「送信先 IP アドレス」に「127.0.0.1」を、「送信先ポー ト番号」に「4649」を入力してください。 ⑥ 「検疫支援情報」設定は、「許可機器登録時の対処」に「切断のままにする」を選択して ください。「検疫実行方法」に「登録機器のみ検疫可能」を選択してください。 ⑦ 「監視情報」設定は、「監視状態見直し時の対処」に「状態を保持する」を選択してくだ さい。 2. [更新]ボタンをクリックすると、下図のような確認ダイアログが表示されます(初めて設定を 更新する場合は、“変更&監視処理起動(初期構築時)”を選択してください)。 3. [OK]ボタンをクリックすると、下図のような登録確認画面が表示されます(下図は、“変更& 監視処理起動(初期構築時)”を選択した場合の画面です)。初
期
設
定
編
■ 初めて設定を行う際は、“変更&監視処理起動(初期構築時)”を選択して、[更新]ボタ ンをクリックしてください。その他を選択した場合は、エラーになる場合があります。 その場合は、「その他」画面から、監視エージェントを起動して、再度設定を行ってく ださい。 ■ 次回以降の設定を行った場合は、“変更&再読み込み”を選択し、[更新]ボタンをクリ ックすることで自動的に監視エージェントに反映されます。また、NetSHAKER 再起 動後も監視エージェントは自動的に起動します。 ご注意1.4.
検疫システム運用開始
NX NetMonitor 管理画面で、検疫機能を有効にし、運用を開始します。運用開始時に、許可機器 登録、固定機器登録を実施します。初
期
設
定
編
1.4.1.
検疫機能有効化
NX NetMonitor 管理画面の「環境設定」画面を表示し、以下の設定を行ってください。初
期
設
定
編
①
②
③
④
⑤
⑥
⑦
1. 以下の各項目を入力して、“変更&再読込み”を選択し、 [更新]ボタンをクリックしてくださ い。
初
期
設
定
編
① 「環境設定」リンクをクリックし、「環境設定」画面を表示してください。 ② 「監視モード」設定は、「ネットワークの監視を行う」を選択してください。 ③ 「排除モード」設定は、「不正機器を検出したら排除する」を選択してください。 ④ 「トラップ情報(共通)」設定は、「情報」を選択してください。 ⑤ 「トラップ情報(独自)」設定は、「送信先 IP アドレス」に「127.0.0.1」を、「送信先ポー ト番号」に「4649」を入力してください。 ⑥ 「検疫支援情報」設定は、「検疫支援モード」に「ON」を選択してください。「許可機器 起動時の対処」に「強制排除する」を選択してください。「許可機器登録時の対処」に「切 断のままにする」を選択してください。「検疫実行方法」に「登録機器のみ検疫可能」を選 択してください。 ⑦ 「監視情報」設定は、「監視状態見直し時の対処」に「状態を保持する」を選択してくだ さい。1.4.2.
接続許可リスト(固定機器、許可機器)の登録
「接続機器」画面に、ネットワークに接続された機器の一覧が表示されます。この「接続機器」 画面で、許可機器登録、固定機器登録を行い、許可機器と固定機器を登録してください。なお、 許可機器、固定機器の設定は、後から変更可能です。 検疫対象ネットワーク内のネットワーク接続機器のうち、検疫対象となるネット ワーク機器のこと。 許可機器 検疫対象ネットワーク内のネットワーク接続機器のうち、検疫 OK/NG に関わら ずネットワーク接続を許可する機器のこと。 NetSHAKER 管理 PC、プリンタ、ルータなどの機器は、常にネットワーク接続 できるように固定機器として登録しておくことをお勧めします。 固定機器 ※ 複数ネットワークを検疫する環境で使用する L3 スイッチは、「MAC アドレス のみ」で固定機器登録してください。「IP アドレスのみ」、もしくは、「IP アドレ ス+MAC アドレス」で登録した場合は、通信ができない場合があります。 ご参考 許可機器、固定機器の登録方法につきましては、『不正持込み PC 監視&強制排除システム NX NetMonitor マニュアル』の「6. 操作方法」にも記載がございます。不明な点があり ましたら、まずそちらをご参照ください。初
期
設
定
編
ご注意 許可機器及び固定機器が1つも登録されていない初期の状態では、排除機能は無効状態にな っております。許可機器及び固定機器が登録された時点で、初めて、排除機能が有効になり ます。 従いまして、NX NetMonitor及びNetSHAKERの管理画面にアクセスする為の管理端末が監 視対象ネットワークに存在する場合は、必ず最初に、管理端末を固定機器に登録してくださ い。その後、「その他の固定機器(スイッチなど)」、「許可機器」の順番で登録をおこなって ください。 ■ 固定機器の登録(管理端末) 1. 「接続機器一覧」画面で登録対象クライアントの IP アドレスが表示されていることを確認し てください。登録対象のクライアントを選択し、[固定機器登録]ボタンをクリックしてくだ さい。①
:クリック
③
:クリック
②
:選択
固定 IP アドレスを使用する場合は、通常、MAC アドレスと IP アドレスの両方を指定 (「MAC+IP」にチェック)して設定します。DHCP 環境の場合は、IP アドレスが変更に なる場合があるため、通常、MAC アドレスのみ(「MAC のみ」にチェック)で設定します。 ご注意2. 登録するクライアントの MAC アドレスと IP アドレスが表示されていることを確認し、[実 行]ボタンをクリックしてください。
初
期
設
定
編
クリック
3. [実行]ボタンをクリックすると、下図のような確認ダイアログが表示されます。 4. [OK]ボタンをクリックすると、下図の確認画面が表示され固定機器が登録されます。 ■ 固定機器の登録(L3 スイッチ) ご注意1. 「接続機器一覧」画面で登録する L3 スイッチの IP アドレスが表示されていることを確認し てください。登録対象の機器を選択し、[MAC のみ]にチェックを入れて、[固定機器登録] ボタンをクリックしてください。
初
期
設
定
編
①
:クリック
2. 登録する L3 スイッチの MAC アドレスのみが表示されていることを確認し、[実行]ボタン をクリックしてください。 以降の手順は、「■ 固定機器の登録(管理端末)」と同様です。③
:チェック
④
:クリック
②
:選択
クリック
■ 許可機器の登録方法
初
期
設
定
編
1. 「接続機器一覧」画面で登録対象クライアントの IP アドレスが表示されていることを確認し てください。登録対象のクライアントを選択し、[許可機器登録]ボタンをクリックしてくだ さい。①
:クリック
③
:クリック
②
:選択
固定 IP アドレスを使用する場合は、通常、MAC アドレスと IP アドレスの両方を指定 (「MAC+IP」にチェック)して設定します。DHCP 環境の場合は、IP アドレスが変更に なる場合があるため、通常、MAC アドレスのみ(「MAC のみ」にチェック)で設定します。 ご注意2. 登録するクライアントの MAC アドレスと IP アドレスが表示されていることを確認し、[実 行]ボタンをクリックしてください。
初
期
設
定
編
クリック
3. [実行]ボタンをクリックすると、下図のような確認ダイアログが表示されます。 4. [OK]ボタンをクリックすると、下図の確認画面が表示され許可機器が登録されます。5. 登録直後の許可機器は、ネットワークから切断されている状態になります。「接続機器一覧」 画面では、以下の通り「切断*」と表示されます。次の「0 」にて、検疫を実施すると、下図 の状態が「動作中」(黒文字)に変わり、ネットワークへの接続が許可されます。
初
期
設
定
編
初
期
設
定
編
2.
運用上の注意点
付
録
NetSHAKER で検疫ネットワークを運用するにあたり、注意する点を以下に示します。
2.1.
検疫対象ネットワークの変更
NetSHAKER の eth0(内向け)、もしくは、VLAN のネットワーク設定(IP アドレス、サブネット マスクのいずれか、もしくは、両方)を変更した場合は、NX NetMonitor の設定がすべてクリア されます。ネットワーク設定を変更する場合は、以下の手順でネットワーク設定を変更してくだ さい。 1. NetSHAKER の IP アドレス/サブネットマスク変更 2. 検疫対象 PC の再設定 1. NetSHAKER の IP アドレス/サブネットマスク変更 NetSHAKER の「システム」-「ネットワーク設定」-「TCP/IP 設定画面」、もしくは、「シ ステム」-「ネットワーク設定」-「VLAN 設定画面」から、IP アドレス/サブネットマスク を変更してください。変更したタイミングで NX NetMonitor の設定がすべてクリアされます。 検疫がされない状態となり、すべての PC の通信が可能な状態となります。 2. 検疫対象PCの再設定 (a)「1.3 検疫サーバ(NX NetMonitor)機能の初期設定」の流れで、新しいネットワークに 対応する監視装置の登録、設定を行ってください。
