スイッチ特有のセキュリティ機能

スイッチ特有のセキュリティ機能

セキュリティ機能一覧

では最後にスイッチ特有のセキュリティ機能として以下、3つの代表的な機能を紹介します。

  • ポートセキュリティ
  • DHCPスヌーピング
  • ダイナミックARPインスペクション(DAI)

ポートセキュリティ

主な概要

ポートセキュリティとは、ポート別に接続を許可するMACアドレスを設定することで、許可されていないMACアドレスからの通信を拒否する機能です。

特定のMACアドレス以外のMACアドレスからの通信を拒否できるので、結果的に不正アクセスを防ぐことができます。この接続を許可されたMACアドレスのことをセキュアMACアドレスと呼びます。

以下ポートセキュリティの主な内容をまとめたものになります。

  • 接続を許可するMACアドレスを設定することで、許可しないMACアドレスからの通信を拒否できる
  • ポートごとに設定する必要がある
  • ポートセキュリティの設定は初期設定では無効になっている
  • 各ポートで登録可能なMACアドレスは初期設定では一つだが、登録可能なアドレスの個数を変更可能。

許可されていないMACアドレスからの通信を検知した場合の動作

もし接続を許可していないMACアドレスからの通信を検知した場合の動作として、以下3つのモードがあります。

【違反モード】
  • protect:フレームを破棄する
  • restrict:フレームを破棄し、Syslogメッセージ(違反通知)が発生する
  • shutdown:フレームを破棄し、Syslogメッセージ(違反通知)が発生した上で、ポートがerror disable状態になる

DHCPスヌーピング

概要

DHCPスヌーピングは、DHCPスプーフィング(正規のDHCPサーバを装うことで通信内容を盗聴、改ざんなどをする行為)を防ぐための機能です。

具体的にはスイッチのポートをTrusted(信頼できる) ポートと、 Untrusted(信頼できない)ポートに分類することで、DHCPサーバとしての通信を、特定のポート(Trusted ポート)だけに限定することで、DHCPサーバを装った通信を防ぐことができ、DHCPスヌーピングによる攻撃を回避できるようになります。

Trusted(信頼できる) ポートとUntrusted(信頼できない)ポートの役割については、以下の通りです。

Trusted(信頼できる) ポート

DHCPサーバとしての通信を許可するポート(全DCHP関連のメッセージを許可)

Untrusted(信頼できない)ポート

DHCPクライアントからのDHCP要求を受け取るポート

(DCHPクライアントとして送られるDHCP Discover/Requestは許可、DCHPサーバとして送られるDHCP Offer/Askなどはブロック)

スヌーピングバインディングデータベース

DHCPスヌーピングにより、DHCPクライアントの端末のMACアドレス、IPアドレス、リース時間などをまとめた情報を、スヌーピングバインディングデータベースとしてスイッチに保管されます。

ダイナミックARPインスペクション(DAI)

概要

ダイナミックARPインスペクション(DAI)は、ARPスプーフィング(※)を防止するためのセキュリティ機能です。

※ARPスプーフィング:正規のホストより先にARP要求に応答し、偽のMACアドレスを学習させ、通信内容の盗聴や改ざんなどの攻撃を行うこと

具体的にはDHCPスヌーピングと同じく、Trusted(信頼できる) ポートと、 Untrusted(信頼できない)ポートに分類し、
Untrusted(信頼できない)ポートへ届いたARP応答の中身を、破棄するかどうか検証します。

各ポートの役割

Trusted(信頼できる) ポートとUntrusted(信頼できない)ポートの役割については、以下の通りです。

Trusted(信頼できる) ポート

ダイナミックARPインスペクション(DAI)による検査が行われないポート

Untrusted(信頼できない)ポート

検査が行われるポート

※初期設定では全てのポートが、Untrusted(信頼できない)ポートです。

検証方法

またUntrusted(信頼できない)ポートにARP応答が届いた場合の、中身の検証方法については、以下の通りです。

  • DHCPスヌーピングバインディングテーブルを元に、IPアドレスとMACアドレスの対応が一致しているか確認し、一致していないARP応答を破棄する
  • テーブルがない場合は手動(スタティック)で登録したIPアドレスとMACアドレスの対応表を元に、一致しているかを検証し、一致していないARP応答を破棄する

NEXT>> 8章 スイッチ特有のセキュリティ機能