ポートセキュリティの設定コマンドと確認:ネットワークの基礎を学習する CCNA対策講座(21)(1/2 ページ)
本連載では、シスコシステムズ(以下シスコ)が提供するシスコ技術者認定(Cisco Career Certification)から、ネットワーク技術者を認定する資格、CCNA(Cisco Certified Network Associate)を解説します。2007年12月に改訂された新試験(640-802J)に対応しています。
今回は、スイッチのポートにセキュリティを掛けるポートセキュリティについて解説します。
例えば、企業の会議室などにスイッチが置かれていて、来客者が自分のノートパソコンとUTPケーブルを持ち込み、スイッチのポートに接続したとしましょう。スイッチにケーブルを接続しただけで、その企業のネットワークにすぐにログインできてしまうのは、セキュリティ上好ましくありません。ポートセキュリティを使用すると、MACアドレスを基にしてセキュリティを掛けることができます。
ネットワークの基礎を学習する CCNA対策講座 各回のインデックス
第9回 ネットワーク部とホスト部の境界、クラスフルとクラスレス
第17回 MACアドレスとフレームで、スイッチの基本動作を学ぶ
第21回 ポートセキュリティの設定コマンドと確認
ポートセキュリティの概要
ポートセキュリティの機能を使用すると、ホストのMACアドレスを基にセキュリティを掛けることができます。スイッチのポートに接続を許可するホストのMACアドレスを、あらかじめ登録しておきます。接続を許可するMACアドレスのことを、セキュアMACアドレスといいます。また、そのポートで許可するセキュアMACアドレスの数も制限することができます。これにより、MACフラッディング攻撃からも防御することができます。
MACフラッディング攻撃とは、攻撃者が送信元を偽造したMACアドレスフレームを次々と送信し、MACアドレステーブルを飽和させてしまう攻撃手法です。攻撃者は送信元のMACアドレスを偽造したフレームを大量に送信します。それによってスイッチにMACアドレステーブルが正しくない情報で登録されます。その結果、MACアドレステーブルに載っていないあて先へのフレームは、フラッディングされるため、攻撃者にもフレームが届くようになります。結果、攻撃者は自分あてのフレームでなくても、フレームを入手できるようになります。スイッチがMACアドレステーブルを保持し、フォワーディングやフラッディングの動作をすることは、第17回「MACアドレスとフレームで、スイッチの基本動作を学ぶ」で説明しています。
図1 MACフラッディング攻撃(説明を簡単にするために、ホストのMACアドレスは、AA、BBなどと簡略化して示しています)図1の正しくない情報で構成されたMACアドレステーブルを保持しているときに、ホストAからホストBにフレームが送信されたとします。すると、あて先ホストBの情報は、MACアドレステーブルに載っていないため、ホストBあてのフレームが、スイッチの2番ポートと3番ポートから送信され、攻撃者であるCにも届いてしまいます。このようなMACフラッディング攻撃への対策にも、ポートセキュリティを利用できます。
ポートセキュリティの設定コマンド
スイッチでポートセキュリティを設定するコマンドは以下のとおりです。
(1)スイッチのポートで、ポートセキュリティを有効にする
(2)セキュアMACアドレスを登録する
図2 ポートセキュリティの設定(説明を簡単にするために、ホストのMACアドレスは、AAと簡略化して示しています)例えば、図2のように、FastEthernet0/4(Fa0/4)のポートでポートセキュリティを有効にします。ポートセキュリティはスタティックなアクセスポートで設定できます。なお、以下で設定しているコマンドは、スイッチの機種によって若干異なる場合がありますので、注意してください。
| Switch(config)#interface FastEthernet0/4 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security |
ポートセキュリティを無効にする場合は、コマンドの先頭にnoを付けて実行します。
| Switch(config)#interface FastEthernet0/4 Switch(config-if)#no switchport port-security |
次に、図2の場合で、セキュアMACアドレスをAAに設定する場合は、以下のコマンドを実行します。
| Switch(config)#interface FastEthernet0/4 Switch(config-if)#switchport port-security mac-address 接続を許可するMACアドレス |
ただし、上記のコマンドを実行しなくても、セキュアMACアドレスは動的に学習させることができます。デフォルトでは、セキュアMACアドレスの上限は、1です。もし変更する場合の設定コマンドは以下のとおりです。
| Switch(config)#interface FastEthernet0/4 Switch(config-if)#switchport port-security maximum セキュアMACアドレス数 |
ただし、設定できるセキュアMACアドレス数は機種によって異なります。
動的に学習したMACアドレスの情報は、スイッチを再起動したら消えてしまいます。そこでスティッキーラーニングの機能を使用すると、動的に学習したMACアドレスをrunning-configに登録することができます。
スティッキーラーニングの設定コマンドは以下のとおりです。
| Switch(config)#interface FastEthernet0/4 Switch(config-if)#switchport port-security maximum セキュアMACアドレス数 |
それでは、図2において、セキュアMACアドレスをAAと登録後に、送信元MACアドレスがCCのフレームをFastEthernet0/4ポートで受信したら、ポートの状態はどうなるでしょうか。
セキュリティ違反が起きたときのポートの動作を、バイオレーションモードといいます。そのポートをどのように処理するかはモードにより動作が異なります。しかし、いずれのモードも違反フレームの転送は行いません。
●バイオレーションモード
- protect……SNMPトラップメッセージ、syslogメッセージを送信せず、違反カウンタは増加しない
- restrict……SNMPトラップメッセージ、syslogメッセージを送信し、違反カウンタが増加する
- shutdown……SNMPトラップメッセージ、syslogメッセージを送信し、違反カウンタが増加する。そしてポートをdown、down(err-disabled)状態にする。ポートを再度使用できるようにするには、以下のコマンドを実行する
| Switch(config)#interface FastEthernet0/4 Switch(config-if)#shutdown Switch(config-if)#no shutdown |
デフォルトのバイオレーションモードはshutdownですが、セキュリティ違反時の動作を変更するには、以下のコマンドを実行します。
| Switch(config)#interface FastEthernet0/4 Switch(config-if)#switchport port-security violation {protect | restrict | shutdown} |
確認問題1
問題
スイッチのポートでの、デフォルトのセキュアMACアドレスの上限はいくつですか。1つ選択してください。
a.1
b.4
c.64
d.1024
正解
a
解説
セキュアMACアドレスの上限は、1です。「Switch(config-if)#switchport port-security maximum セキュアMACアドレス数」コマンドでセキュアMACアドレス数を変更できます。設定できるセキュアMACアドレス数は機種によって異なります。
確認問題2
問題
スイッチのポートセキュリティのバイオレーションモードには、protect・restrict・shutdownの3つのモードがあります。セキュリティ違反時の動作について、正しい項目を1つ選択してください。
a.protectは、SNMPトラップメッセージ、syslogメッセージを送信する
b.shutdownはセキュリティ違反時、ポートをdown, down(err-disabled)状態にする
c.restrictはSNMPトラップメッセージ、syslogメッセージを送信しない
d.shutdownの場合、ポートを再度使用できるようにするには、no shutdownコマンドだけ入力すればよい
正解
b
解説
バイオレーションモードのshutdownは、セキュリティ違反時に最も厳しい処理を行います。shutdownは、SNMPトラップメッセージ、syslogメッセージを送信し、ポートをdown, down(err-disabled)状態にします。
選択肢aのprotectは、SNMPトラップメッセージ、syslogメッセージを送信しないため誤りです。選択肢cのrestrictはSNMPトラップメッセージ、syslogメッセージを送信するため誤りです。選択肢dのshutdownの場合、ポートを再度使用できるようにするには、shutdown コマンドとno shutdownコマンド両方の入力が必要になるため誤りです。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。