ポートセキュリティの設定コマンドと確認ネットワークの基礎を学習する CCNA対策講座(21)(1/2 ページ)

本連載では、シスコシステムズ(以下シスコ)が提供するシスコ技術者認定(Cisco Career Certification)から、ネットワーク技術者を認定する資格、CCNA(Cisco Certified Network Associate)を解説します。2007年12月に改訂された新試験(640-802J)に対応しています。

» 2009年07月17日 00時00分 公開
[内藤佳弥子グローバル ナレッジ ネットワーク]

 今回は、スイッチのポートにセキュリティを掛けるポートセキュリティについて解説します。

 例えば、企業の会議室などにスイッチが置かれていて、来客者が自分のノートパソコンとUTPケーブルを持ち込み、スイッチのポートに接続したとしましょう。スイッチにケーブルを接続しただけで、その企業のネットワークにすぐにログインできてしまうのは、セキュリティ上好ましくありません。ポートセキュリティを使用すると、MACアドレスを基にしてセキュリティを掛けることができます。

ポートセキュリティの概要

 ポートセキュリティの機能を使用すると、ホストのMACアドレスを基にセキュリティを掛けることができます。スイッチのポートに接続を許可するホストのMACアドレスを、あらかじめ登録しておきます。接続を許可するMACアドレスのことを、セキュアMACアドレスといいます。また、そのポートで許可するセキュアMACアドレスの数も制限することができます。これにより、MACフラッディング攻撃からも防御することができます。

 MACフラッディング攻撃とは、攻撃者が送信元を偽造したMACアドレスフレームを次々と送信し、MACアドレステーブルを飽和させてしまう攻撃手法です。攻撃者は送信元のMACアドレスを偽造したフレームを大量に送信します。それによってスイッチにMACアドレステーブルが正しくない情報で登録されます。その結果、MACアドレステーブルに載っていないあて先へのフレームは、フラッディングされるため、攻撃者にもフレームが届くようになります。結果、攻撃者は自分あてのフレームでなくても、フレームを入手できるようになります。スイッチがMACアドレステーブルを保持し、フォワーディングやフラッディングの動作をすることは、第17回「MACアドレスとフレームで、スイッチの基本動作を学ぶ」で説明しています。

図1  MACフラッディング攻撃(説明を簡単にするために、ホストのMACアドレスは、AA、BBなどと簡略化して示しています) 図1  MACフラッディング攻撃(説明を簡単にするために、ホストのMACアドレスは、AA、BBなどと簡略化して示しています)

 図1の正しくない情報で構成されたMACアドレステーブルを保持しているときに、ホストAからホストBにフレームが送信されたとします。すると、あて先ホストBの情報は、MACアドレステーブルに載っていないため、ホストBあてのフレームが、スイッチの2番ポートと3番ポートから送信され、攻撃者であるCにも届いてしまいます。このようなMACフラッディング攻撃への対策にも、ポートセキュリティを利用できます。

ポートセキュリティの設定コマンド

 スイッチでポートセキュリティを設定するコマンドは以下のとおりです。

(1)スイッチのポートで、ポートセキュリティを有効にする

(2)セキュアMACアドレスを登録する

図2 ポートセキュリティの設定(説明を簡単にするために、ホストのMACアドレスは、AAと簡略化して示しています) 図2 ポートセキュリティの設定(説明を簡単にするために、ホストのMACアドレスは、AAと簡略化して示しています)

 例えば、図2のように、FastEthernet0/4(Fa0/4)のポートでポートセキュリティを有効にします。ポートセキュリティはスタティックなアクセスポートで設定できます。なお、以下で設定しているコマンドは、スイッチの機種によって若干異なる場合がありますので、注意してください。

Switch(config)#interface FastEthernet0/4
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security

 ポートセキュリティを無効にする場合は、コマンドの先頭にnoを付けて実行します。

Switch(config)#interface FastEthernet0/4
Switch(config-if)#no switchport port-security

 次に、図2の場合で、セキュアMACアドレスをAAに設定する場合は、以下のコマンドを実行します。

Switch(config)#interface FastEthernet0/4
Switch(config-if)#switchport port-security mac-address 接続を許可するMACアドレス

 ただし、上記のコマンドを実行しなくても、セキュアMACアドレスは動的に学習させることができます。デフォルトでは、セキュアMACアドレスの上限は、1です。もし変更する場合の設定コマンドは以下のとおりです。

Switch(config)#interface FastEthernet0/4
Switch(config-if)#switchport port-security maximum セキュアMACアドレス数

 ただし、設定できるセキュアMACアドレス数は機種によって異なります。

 動的に学習したMACアドレスの情報は、スイッチを再起動したら消えてしまいます。そこでスティッキーラーニングの機能を使用すると、動的に学習したMACアドレスをrunning-configに登録することができます。

 スティッキーラーニングの設定コマンドは以下のとおりです。

Switch(config)#interface FastEthernet0/4
Switch(config-if)#switchport port-security maximum セキュアMACアドレス数

 それでは、図2において、セキュアMACアドレスをAAと登録後に、送信元MACアドレスがCCのフレームをFastEthernet0/4ポートで受信したら、ポートの状態はどうなるでしょうか。

 セキュリティ違反が起きたときのポートの動作を、バイオレーションモードといいます。そのポートをどのように処理するかはモードにより動作が異なります。しかし、いずれのモードも違反フレームの転送は行いません。

バイオレーションモード

  • protect……SNMPトラップメッセージ、syslogメッセージを送信せず、違反カウンタは増加しない
  • restrict……SNMPトラップメッセージ、syslogメッセージを送信し、違反カウンタが増加する
  • shutdown……SNMPトラップメッセージ、syslogメッセージを送信し、違反カウンタが増加する。そしてポートをdown、down(err-disabled)状態にする。ポートを再度使用できるようにするには、以下のコマンドを実行する
Switch(config)#interface FastEthernet0/4
Switch(config-if)#shutdown
Switch(config-if)#no shutdown

 デフォルトのバイオレーションモードはshutdownですが、セキュリティ違反時の動作を変更するには、以下のコマンドを実行します。

Switch(config)#interface FastEthernet0/4
Switch(config-if)#switchport port-security violation {protect | restrict | shutdown}

確認問題1

問題

 スイッチのポートでの、デフォルトのセキュアMACアドレスの上限はいくつですか。1つ選択してください。

a.1

b.4

c.64

d.1024

正解

 a

解説

 セキュアMACアドレスの上限は、1です。「Switch(config-if)#switchport port-security maximum セキュアMACアドレス数」コマンドでセキュアMACアドレス数を変更できます。設定できるセキュアMACアドレス数は機種によって異なります。

確認問題2

問題

 スイッチのポートセキュリティのバイオレーションモードには、protect・restrict・shutdownの3つのモードがあります。セキュリティ違反時の動作について、正しい項目を1つ選択してください。

a.protectは、SNMPトラップメッセージ、syslogメッセージを送信する

b.shutdownはセキュリティ違反時、ポートをdown, down(err-disabled)状態にする

c.restrictはSNMPトラップメッセージ、syslogメッセージを送信しない

d.shutdownの場合、ポートを再度使用できるようにするには、no shutdownコマンドだけ入力すればよい

正解

 b

解説

 バイオレーションモードのshutdownは、セキュリティ違反時に最も厳しい処理を行います。shutdownは、SNMPトラップメッセージ、syslogメッセージを送信し、ポートをdown, down(err-disabled)状態にします。

 選択肢aのprotectは、SNMPトラップメッセージ、syslogメッセージを送信しないため誤りです。選択肢cのrestrictはSNMPトラップメッセージ、syslogメッセージを送信するため誤りです。選択肢dのshutdownの場合、ポートを再度使用できるようにするには、shutdown コマンドとno shutdownコマンド両方の入力が必要になるため誤りです。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。