社内ネットワークなど多くのホストが接続されている環境で、正規のホストが接続されていることを逐一確認することは困難です。スイッチへの不正なホストの接続を制限する方法の一つにポートセキュリティがあります。これはホストのMACアドレスをベースにホストの接続を制限する方法であり、不正アクセス対策として高い効果を持ちます。
この記事ではポートセキュリティの概要と必要性、設定のポイントなどを詳しく解説します。
ポートセキュリティとは
ポートセキュリティとは、ネットワーク機器であるスイッチに接続されているホストのMACアドレスを検証して、不正なMACアドレスのホストであったときにポートの利用を拒否させる機能のことです。スイッチには多くのホストを接続することができますが、その真正性をデータリンク層レベルのMACアドレスをベース認証するのがポートセキュリティであるといえます。
社内ネットワークなどセキュリティが求められる環境において、スイッチはいわばそのネットワークの入り口と言えます。そのネットワークの入り口において、ポートセキュリティは簡易的な認証機能として動作しているというわけです。
ポートセキュリティの必要性
さきほど、ポートセキュリティはネットワークの入り口における認証機能であると紹介しましたが、なぜそのような認証が必要なのでしょうか。
社内ネット―ワークなど、ある程度の規模のネットワークにはスイッチが設置されており、そのスイッチにホストを接続することで、そのホストはネットワークに参加できるようになります。
もしスイッチにポートセキュリティが設定されていなければ、スイッチに接続されたホストはどのようなものであっても、そのネットワークにて通信ができる状態になります。
もし悪意を持つホストが接続してしまうと、そのネットワークを経由して不正に情報を盗み出すことが可能となってしまいます。
基本的に、社内ネットワークに参加しているホストは必要最低限のセキュリティ対策が施されていることが多く、マルウェアなどに感染している可能性は低いと言えます。
しかし、社員の私物のパソコンは十分なセキュリティ対策が施されているとは限りません。もしそのようなセキュリティ対策の甘いホストが社内ネットワークに接続されてしまうと、ネットワーク内にマルウェアの感染が広がってしまう可能性もあります。そのため、ポートセキュリティを設定して、私物のパソコンのような不正なホストがネットワークに接続されることを防ぐ必要があるわけです。
ポートセキュリティの仕組み
ポートセキュリティは、スイッチに接続されるホストのMACアドレスを登録しておき、もし登録されていないMACアドレスを持つ端末が接続されたら、その通信を遮断するように機能します。
ここで接続を許可されているMACアドレスのことをセキュアMACアドレスといいます。
ここで登録されていないMACアドレスを遮断するには、3つのモードがあります。
- protect
- 許可されていないホストの通信を遮断
- restrict
- 通信を遮断して管理者へ通知
- shutdown
- ポートを論理的に切断して管理者へ通知
ポートセキュリティでは、接続を許可するホストのMACアドレスと、接続されているポートの組み合わせをセキュアMACアドレステーブルとしてスイッチに保存しています。スイッチを流れるデータには接続元のMACアドレスが含まれており、そのMACアドレスとセキュアMACアドレステーブルを照らし合わせて、テーブルに含まれていないMACアドレスのデータを破棄します。これがポートセキュリティの基本的な仕組みです。
ポートセキュリティを活用する際のポイント
ポートセキュリティを活用する際には、以下の2点に注意が必要です。
セキュアMACアドレスをもつホストの盗難に注意
セキュアMACアドレスをもつホストが盗難されてしまうと、盗難者によってそのホストが不正にネットワークに接続されてしまう恐れがあります。これはポートセキュリティがあくまでもホストのMACアドレスをベースに接続の可否を決定しているからです。
ただし、ポートセキュリティの設定はスイッチごとに行われるため、盗難されたホストがセキュアMACアドレステーブルの異なる別のスイッチに接続を試みた場合には、接続が拒否されることもあります。その場合を考慮しても、スイッチと接続が維持された状態でホストが盗難されてしまうと、盗難されたホストがネットワークへの接続を拒否させることはできません。
ホストのMACアドレスの書き換えに注意
ホストにもよりますが、MACアドレスは自由に書き換えることができます。
またホストから送信されたフレームを偽装することで、本来の送信元のMACアドレスではなく別のMACアドレスのホストからのフレームであると偽ることも可能です。もし本来のMACアドレスではスイッチへの接続を拒否されるとしても、偽装されたMACアドレスがセキュアMACアドレスである場合は、ポートセキュリティの設定が効かず、スイッチへ不正に接続されてしまうことも起こりえます。
ポートセキュリティ設定の流れ
ポートセキュリティの設定は、ポートセキュリティの有効化とMACアドレスの登録により行います。
まず、インターフェースコンフィグレーションモードで、以下のコマンドを入力します。
Switch (config)#interface <interface-name>
Switch (config-if)#switchport port-security 次に、ポートセキュリティを有効にしたポートに接続を許可するMACアドレスの数を設定します。
デフォルトでは1ですが、2つ以上の数値を指定することも可能です。
Switch(config-if)#switchport port-security maximum 1引き続き、許可するMACアドレスを登録します。この例では、0000.1111.2222を登録するMACアドレスと想定します。
Switch(config-if)#switchport port-security mac-address 0000.1111.2222最後はバイオレーションモードの設定です。この設定は、不正なMACアドレスのホストが接続されたときに、どのように動作するかの設定を行います。
Switch(config-if)# switchport port-security violation [protect | restrict | shutdown]バイオレーションモードは、protect・restrict・shutdownの3つから選択します。この3つの違いは「ポ―トセキュリティの仕組み」で解説した内容と同様です。
また、ポートセキュリティの現在の設定を確認するには、show port-securityコマンドを使います。
Switch#show port-security addressまとめ
ポートセキュリティの設定は、社内ネットワークへの不正アクセスやマルウェアの感染を防御するために重要な設定です。しかし、MACアドレスをベースとしたホストの接続制限は、完全ではありません。記事中でも紹介したように、スイッチごとホストを盗難された場合や、ホストのMACアドレスを改ざんされてしまった場合は、ポートセキュリティの設定は無力です。あくまでも社内ネットワークの保護の手段の一つとして、その他のセキュリティ対策と組み合わせることで、効果を発揮する設定であるといえるでしょう。
