第21回　ポートセキュリティの設定コマンドと確認

内藤佳弥子（グローバル ナレッジ ネットワーク）
2009/7/17

第20回｜1　2｜次のページ

本連載では、シスコシステムズ（以下シスコ）が提供するシスコ技術者認定（Cisco Career Certification）から、ネットワーク技術者を認定する資格、CCNA（Cisco Certified Network Associate）を解説します。2007年12月に改訂された新試験（640-802J）に対応しています。

　今回は、スイッチのポートにセキュリティを掛けるポートセキュリティについて解説します。

　例えば、企業の会議室などにスイッチが置かれていて、来客者が自分のノートパソコンとUTPケーブルを持ち込み、スイッチのポートに接続したとしましょう。スイッチにケーブルを接続しただけで、その企業のネットワークにすぐにログインできてしまうのは、セキュリティ上好ましくありません。ポートセキュリティを使用すると、MACアドレスを基にしてセキュリティを掛けることができます。

ネットワークの基礎を学習する　CCNA対策講座　各回のインデックス

第1回　新CCNA試験について知ろう

第2回　ネットワークのABC、OSI参照モデルとプロトコル

第3回　データはどうやって伝わるの？

第4回　LANの基礎を丸かじり

第5回　データ同士の通せんぼ――コリジョンてなぁに？

第6回　TCP/IPを制するものはネットワークを制す

第7回　TCPで、確実＆効率よくデータを送受信しよう

第8回　サブネットマスクの計算をマスターする

第9回　ネットワーク部とホスト部の境界、クラスフルとクラスレス

第10回　シスコ ソフトウェアの基礎

第11回　Cisco IOSモードの設定

第12回　Cisco IOSのモードの設定情報と識別情報

第13回　インターフェイスの設定とルータの初期化

第14回　ネイバーの検出とCDPによるデバイス管理

第15回　Telnetを使用したリモートデバイスの情報収集

第16回　SDMによるルータの設定と管理

第17回　MACアドレスとフレームで、スイッチの基本動作を学ぶ

第18回　スパニングツリープロトコル、動作の仕組み

第19回　スイッチにVLANを設定する

第20回　VLAN操作を容易にするVTPの機能

第21回　ポートセキュリティの設定コマンドと確認

■ポートセキュリティの概要

エンジニアライフ コラムニスト募集中！

あなたも＠ITでコラムを書いてみないか 自分のスキル・キャリアの棚卸し、勉強会のレポート、 プロとしてのアドバイス……書くことは無限にある！ コードもコラムも書けるエンジニアになりたい挑戦者からの応募、絶賛受付中

　ポートセキュリティの機能を使用すると、ホストのMACアドレスを基にセキュリティを掛けることができます。スイッチのポートに接続を許可するホストのMACアドレスを、あらかじめ登録しておきます。接続を許可するMACアドレスのことを、セキュアMACアドレスといいます。また、そのポートで許可するセキュアMACアドレスの数も制限することができます。これにより、MACフラッディング攻撃からも防御することができます。

　MACフラッディング攻撃とは、攻撃者が送信元を偽造したMACアドレスフレームを次々と送信し、MACアドレステーブルを飽和させてしまう攻撃手法です。攻撃者は送信元のMACアドレスを偽造したフレームを大量に送信します。それによってスイッチにMACアドレステーブルが正しくない情報で登録されます。その結果、MACアドレステーブルに載っていないあて先へのフレームは、フラッディングされるため、攻撃者にもフレームが届くようになります。結果、攻撃者は自分あてのフレームでなくても、フレームを入手できるようになります。スイッチがMACアドレステーブルを保持し、フォワーディングやフラッディングの動作をすることは、第17回「MACアドレスとフレームで、スイッチの基本動作を学ぶ」で説明しています。

図1　 MACフラッディング攻撃（説明を簡単にするために、ホストのMACアドレスは、AA、BBなどと簡略化して示しています）

　図1の正しくない情報で構成されたMACアドレステーブルを保持しているときに、ホストAからホストBにフレームが送信されたとします。すると、あて先ホストBの情報は、MACアドレステーブルに載っていないため、ホストBあてのフレームが、スイッチの2番ポートと3番ポートから送信され、攻撃者であるCにも届いてしまいます。このようなMACフラッディング攻撃への対策にも、ポートセキュリティを利用できます。

■ポートセキュリティの設定コマンド

　スイッチでポートセキュリティを設定するコマンドは以下のとおりです。

（1）スイッチのポートで、ポートセキュリティを有効にする
（2）セキュアMACアドレスを登録する

図2　ポートセキュリティの設定（説明を簡単にするために、ホストのMACアドレスは、AAと簡略化して示しています）

　例えば、図2のように、FastEthernet0/4（Fa0/4）のポートでポートセキュリティを有効にします。ポートセキュリティはスタティックなアクセスポートで設定できます。なお、以下で設定しているコマンドは、スイッチの機種によって若干異なる場合がありますので、注意してください。

Switch(config)#interface FastEthernet0/4 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security

　ポートセキュリティを無効にする場合は、コマンドの先頭にnoを付けて実行します。

Switch(config)#interface FastEthernet0/4 Switch(config-if)#no switchport port-security

　次に、図2の場合で、セキュアMACアドレスをAAに設定する場合は、以下のコマンドを実行します。

Switch(config)#interface FastEthernet0/4 Switch(config-if)#switchport port-security mac-address 接続を許可するMACアドレス

　ただし、上記のコマンドを実行しなくても、セキュアMACアドレスは動的に学習させることができます。デフォルトでは、セキュアMACアドレスの上限は、1です。もし変更する場合の設定コマンドは以下のとおりです。

Switch(config)#interface FastEthernet0/4 Switch(config-if)#switchport port-security maximum セキュアMACアドレス数

　ただし、設定できるセキュアMACアドレス数は機種によって異なります。

　動的に学習したMACアドレスの情報は、スイッチを再起動したら消えてしまいます。そこでスティッキーラーニングの機能を使用すると、動的に学習したMACアドレスをrunning-configに登録することができます。

　スティッキーラーニングの設定コマンドは以下のとおりです。

Switch(config)#interface FastEthernet0/4 Switch(config-if)#switchport port-security mac-address sticky

　それでは、図2において、セキュアMACアドレスをAAと登録後に、送信元MACアドレスがCCのフレームをFastEthernet0/4ポートで受信したら、ポートの状態はどうなるでしょうか。

　セキュリティ違反が起きたときのポートの動作を、バイオレーションモードといいます。そのポートをどのように処理するかはモードにより動作が異なります。しかし、いずれのモードも違反フレームの転送は行いません。

●バイオレーションモード

・protect……SNMPトラップメッセージ、syslogメッセージを送信せず、違反カウンタは増加しない

・restrict……SNMPトラップメッセージ、syslogメッセージを送信し、違反カウンタが増加する

・shutdown……SNMPトラップメッセージ、syslogメッセージを送信し、違反カウンタが増加する。そしてポートをdown、down（err-disabled）状態にする。ポートを再度使用できるようにするには、以下のコマンドを実行する

Switch(config)#interface FastEthernet0/4 Switch(config-if)#shutdown Switch(config-if)#no shutdown

　デフォルトのバイオレーションモードはshutdownですが、セキュリティ違反時の動作を変更するには、以下のコマンドを実行します。

Switch(config)#interface FastEthernet0/4 Switch(config-if)#switchport port-security violation {protect | restrict | shutdown}

確認問題1

問題

　スイッチのポートでの、デフォルトのセキュアMACアドレスの上限はいくつですか。1つ選択してください。

a．1
b．4
c．64
d．1024

正解

　a

解説

　セキュアMACアドレスの上限は、1です。「Switch(config-if)#switchport port-security maximum セキュアMACアドレス数」コマンドでセキュアMACアドレス数を変更できます。設定できるセキュアMACアドレス数は機種によって異なります。

確認問題2

問題

　スイッチのポートセキュリティのバイオレーションモードには、protect・restrict・shutdownの3つのモードがあります。セキュリティ違反時の動作について、正しい項目を1つ選択してください。

a．protectは、SNMPトラップメッセージ、syslogメッセージを送信する

b．shutdownはセキュリティ違反時、ポートをdown, down(err-disabled)状態にする

c．restrictはSNMPトラップメッセージ、syslogメッセージを送信しない

d．shutdownの場合、ポートを再度使用できるようにするには、no shutdownコマンドだけ入力すればよい

正解

　b

解説

　バイオレーションモードのshutdownは、セキュリティ違反時に最も厳しい処理を行います。shutdownは、SNMPトラップメッセージ、syslogメッセージを送信し、ポートをdown, down(err-disabled)状態にします。

　選択肢aのprotectは、SNMPトラップメッセージ、syslogメッセージを送信しないため誤りです。選択肢cのrestrictはSNMPトラップメッセージ、syslogメッセージを送信するため誤りです。選択肢dのshutdownの場合、ポートを再度使用できるようにするには、shutdown コマンドとno shutdownコマンド両方の入力が必要になるため誤りです。

ポートセキュリティの確認

第20回｜1　2｜次のページ

» ＠IT自分戦略研究所 トップページへ

» ＠IT自分戦略研究所 全記事一覧へ

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）