スイッチのポートセキュリティ設定:CCENT/CCNA 試験対策 2015年版(31)(1/2 ページ)
シスコの認定資格「CCENT/CCNA」のポイントを学ぶシリーズ。今回はスイッチへの「悪意ある機器」の接続を防ぐセキュリティ設定の方法を解説します。
ネットワーク初心者がCCENT/CCNAを受験するために必要な知識を学ぶ本連載。前回は、シスコシステムズが発表しているCCENT試験内容の6.1「ネットワーク デバイスのセキュリティ機能の設定と確認」から、ルーターやスイッチなどの各種機器に対するセキュリティ対策の設定方法を説明しました。
今回は6.2「スイッチのポートセキュリティ機能の設定と確認」です。今回の内容は、前回の内容とも関係します。サーバやクライアントPCを接続する機会が最も多いスイッチに「悪意のある機器が接続された」場合の防御方法を説明します。
論理的なアクセス制限の必要性
前回、ルーターやスイッチに対するセキュリティ対策として説明したのは、大きく以下の3点でした。
- 施錠できるラックに機器を設置する
- ラック自体も施錠できるスペースに設置する
- 機器にはパスワード認証を設定する
しかし、これらの対策を施しても、管理しているネットワーク機器に「悪意のある機器」が物理的に接続された場合には、ネットワーク内部への通信を簡単に許してしまう可能性があります。そこで、今回説明する「ポートセキュリティ」という機能を使用します。ポートセキュリティが適切に設定されていれば、仮に「悪意のある機器」が物理的に接続されたとしても、“論理的に”通信を遮断することでネットワークを守ることができます。
ポートセキュリティ
ポートセキュリティは、シスコシステムズのスイッチに設定できる機能です。信頼できないデバイスがスイッチに接続されたと判断できた場合、そのデバイスが接続されたポートを使用不可にします。つまり、信頼できないデバイスからのデータをスイッチで受信しないように保護する機能です。ポートセキュリティでは、信頼できるデバイスを判断するために、MACアドレスを使用します。
セキュリティ違反(violation)
信頼できないデバイスが接続された、または登録最大数よりも多くのMACアドレスを登録しようとした場合、「セキュリティ違反(violation:バイオレーション)」となります。セキュリティ違反をスイッチが検出したときの保護処置(違反モード)として、以下の3種類があります。標準設定は「shutdown」となります。
- protect:受信パケットを破棄する
- restrict:protectに加え、SNMPトラップやSYSLOGでメッセージ送信する
- shutdown:restrictに加え、ポートを使用不可(Errdisable)状態にする
保護の強度は下にいくほど強くなります。
MACアドレスの登録
ポートセキュリティを設定したスイッチは、接続されているデバイスのMACアドレスを基に、そのデバイスが信頼できるものかどうかを判断します。スイッチのポートで受信したフレーム中の送信元MACアドレスと、ポートセキュリティで設定したMACアドレスの値を比較します。両者のMACアドレスが同じであれば、信頼できるデバイスであると判断して、そのMACアドレスからの通信を許可します。MACアドレスが異なる場合は、前述のセキュリティ違反の状態となります。
スイッチへの「信頼できるMACアドレス」の登録方法には、手動で設定する方法(スタティック)、デバイスが接続されている間だけ動的にMACアドレスを取得する方法(ダイナミック)、動的にMACアドレスを学習した後にconfigファイルにMACアドレスを保存する方法(スティッキー)の3種類があります。
| 種類 | 設定方法 | configに保存 |
|---|---|---|
| スタティック | 手動 | される |
| ダイナミック | 自動 | されない |
| スティッキー | 自動 | される |
| MACアドレスの学習方法 | ||
Errdisable
違反モードとしてshutdownを選択した場合、セキュリティ違反を検出すると、そのポートはErrdisable状態となります。Errdisable状態からは、ケーブルを抜き挿ししても自動復旧はしません。ポートを復旧するためには、shutdownコマンドで一度ポートを無効化し、その後no shutdownコマンドをあらためて対象ポートに設定します。
ポートセキュリティの設定コマンド
ポートセキュリティを設定するには次のようにします。
Switch> enable Switch# configure terminal Switch(config)# interface GigabitEthernet0/1 Switch(config-if)# switchport mode access ……ポートをアクセスモードとする Switch(config-if)# switchport access vlan 10 ……VLAN10のアクセスポート Switch(config-if)# switchport port-security ……ポートセキュリティの有効化 Switch(config-if)# switchport port-security maximum 2 ……登録可能MACアドレスの最大数の設定 Switch(config-if)# switchport port-security mac-address sticky ……スティッキーラーニングでMACアドレスを学習 Switch(config-if)# switchport port-security violation shutdown ……セキュリティ違反時の保護動作はshutdownと定義
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。