ポートセキュリティは、主に「不正アクセス」を防ぐために利用されるスイッチのセキュリティ機能です。
社内ネットワークの構築には、多くのスイッチが利用されており、すべてのスイッチにどの端末が接続されているかを把握することは大変です。不正な端末が接続されると、社内ネットワークに不正アクセスされる可能性がありますが、ポートセキュリティを用いることで防ぐことができるようになっています。
今回は、ポートセキュリティの概要から仕組み、設定すべき理由や注意点について解説していきます。
ポートセキュリティとは
ポートセキュリティは、スイッチに実装されている物理的な不正アクセスを防ぐための機能のことです。スイッチに備わるLANポートごとに、許可されているMACアドレスを持つ端末以外を、ネットワークに接続させないようにします。
主にCisco社のCatalystシリーズに搭載されている機能です。機能の名前は異なりますが、Alaxala社やPIOLINK社、APRESIA社から販売されているインテリジェントスイッチにも搭載されています。
ポートセキュリティの仕組み
ポートセキュリティの仕組みは、原則としてあらかじめスイッチに接続する端末のMACアドレスを登録しておき、登録していないMACアドレスを持つ端末の通信を遮断する仕組みです。スイッチに搭載されているLANポート単位に許可するMACアドレスを設定します。
Cisco Catalystでは次の3つの遮断モードがあります。
protect | 許可されていない端末の通信のみを遮断(フレームを破棄) |
---|---|
restrict | protectと同じ処理をし、管理者へ通知(SNMPやSyslog) |
shutdown | 対象のLANポートを論理的に切断し、管理者へ通知(SNMPやSyslog) |
もう少し詳しく解説しましょう。接続を許可する端末のMACアドレスと、接続されるLANポートのセットを「セキュアMACアドレステーブル」と呼ばれるリストとして、スイッチに保存します。スイッチを通過する通信は「フレーム」と呼ばれるデータで、フレームの中には接続元端末のMACアドレスが記載されています。スイッチ内に登録されたセキュアMACアドレステーブルをもとに、フレーム内のMACアドレスと、接続元のLANポートを照らし合わせ、リストに無い場合は該当するフレームを破棄する仕組みです。
スイッチのどのLANポートに接続されたものか、接続元のMACアドレスが許可したものか、という2点を基準に判定することにより、物理的な不正アクセスを防ぐことができるようになります。
セキュアMACアドレスのタイプ
セキュアMACアドレスとは、スイッチへの接続を許可するMACアドレスのことです。原則としてあらかじめスイッチに設定するものですが、ほかにもセキュアMACアドレスのタイプがありますので、一つずつ紹介していきます。
スタティック
スタティック(static)は「静的」を意味します。セキュアMACアドレスのタイプとしては、手動で設定をすることが該当するものです。ポートセキュリティを施すための基本的なセキュアMACアドレスのタイプであり、接続を許可したい該当端末のMACアドレスを手動で設定します。設定したMACアドレスは、スイッチ内のMACアドレステーブルとあわせて、running-configに保存されます。
ダイナミック
ダイナミック(dynamic)は「動的」を意味します。セキュアMACアドレスのタイプとしては、自動で設定することが該当するものです。ダイナミックなセキュアMACアドレスは、端末をスイッチに接続した際に受信したフレームを自動的に学習し、MACアドレステーブルにのみ追加されます。
MACアドレスは覚えづらいものであり、許可する端末の数が多いと設定することが大変です。ダイナミックなセキュアMACアドレスを用いることで、その煩雑な作業から解放されます。ポートごとに学習するMACアドレスの数を制限することもできますが、ポートのshutdownやスイッチの再起動によって、学習したMACアドレスは削除されます。
sticky
stickyなセキュアMACアドレスは、ダイナミックなセキュアMACアドレスと同様に、端末をスイッチに接続した際に受信したフレームを自動的に学習します。ダイナミックとの違いは、MACアドレステーブルと合わせて、running-configにも学習したMACアドレスを保存することです。
ダイナミックでは、ポートのshutdownやスイッチの再起動によって、学習したMACアドレスが削除されてしまいます。しかし、stickyではrunning-configに学習したMACアドレスが保存されるため、startup-configに設定をコピーすることで、設定を永続化することが可能です。
ポートごとに学習するMACアドレスの数を制限することもでき、手動でMACアドレスを登録することもできます。そのため、スタティックとダイナミックの両方を兼ね備えたセキュアMACアドレスのタイプであると言えるでしょう。
ポートセキュリティを設定する理由
そもそも、ポートセキュリティを設定する理由は何でしょうか?ポートセキュリティを設定する理由としては、社内ネットワークへの不正アクセスを防ぐことが最大の理由です。
スイッチはネットワークの橋渡し役を担う機器であり、スイッチに端末を接続することでネットワークにつながります。ポートセキュリティを設定していないスイッチは、接続された端末がどのようなものであれ、正常に通信ができるように動作するものです。社外から持ち込んだ端末であっても、スイッチに接続することで簡単に社内ネットワークへ不正に接続することが可能なのです。社内ネットワークに不正アクセスし、あらゆる情報を盗み出すことも可能でしょう。
また、私物PCなどを接続することによるマルウェア感染も注意しなければなりません。基本的に社内で利用する端末には、あらゆるセキュリティ対策が施されているものです。そのため、マルウェアなどに感染している可能性は低いでしょう。しかし、社外から持ち込んだ私物PCなどの場合、セキュリティ対策が万全であるとは言えません。場合によっては、マルウェアに感染済みの可能性も考えられ、そのような端末が社内ネットワークに接続したら、マルウェア感染が広がってしまうかもしれません。
ポートセキュリティを設定すべき理由は、「不正アクセスを防ぐこと」「マルウェア感染の拡大を防ぐこと」にあります。
ポートセキュリティの注意点
ポートセキュリティの仕様上、注意すべき点が2点あります。ポートセキュリティを利用する上では、覚えておかなければならないことですので、一つずつ解説していきます。
セキュアMACアドレスの端末が盗難された場合は防げない
ポートセキュリティは、送信元のMACアドレスとスイッチのLANポートの組み合わせによって、接続可否を判断するものです。そのため、セキュアMACアドレスとして登録された端末が盗難された場合、不正アクセスを防ぐことは難しくなります。
盗難された端末を、別のスイッチに接続した場合は、スイッチのLANポートの組み合わせによって接続できない可能性もあります。しかし、スイッチへの接続を保ったまま悪意のある第三者に端末を利用されれば、防ぐことはできません。
端末のMACアドレスが書き換えられた場合は防げない
端末のMACアドレスは、IPアドレスほど簡単に変更できるものではありませんが、書き換えることは可能です。端末が送信するフレームを偽装して、MACアドレスを変更することもできます。
ポートセキュリティは、送信元MACアドレスとLANポートの組み合わせのみであるため、不正アクセスに対して万全の対策では無いことを知っておきましょう。
まとめ
ポートセキュリティは、「不正アクセス」と「マルウェア感染の拡大」を防ぐために利用されるスイッチのセキュリティ機能です。送信元MACアドレスとスイッチのLANポートの組み合わせによって、許可した端末以外からの通信を遮断することができます。
ポートセキュリティを実現するためのセキュアMACアドレスのタイプは複数あり、状況に応じて使い分けると良いでしょう。注意点として、不正アクセスに対して万全の対策でないことは覚えておかなければなりません。しかし、ポートセキュリティを設定することで、手軽にスイッチのセキュリティ対策が行なえますので、ぜひ一度試してみてはいかがでしょうか。