スイッチセキュリティ|基礎知識
なぜスイッチセキュリティが必要なのか
近年増加し続けているサイバー攻撃に対し、不正アクセスや情報漏えいからネットワークを守るためにはセキュリティの確保が重要となります。しかし、一般的にネットワークのセキュリティをより強固にしようとすると、複雑な構成や設定が求められ、維持にも人・工数・コストが掛かり、加えて強固にしたからこそ利便性が損なわれてしまうというトレードオフの問題があります。そのため、セキュリティ対策をする上では、「どういう脅威から」「どれくらいのレベルでセキュリティを保つのか」というポリシーが重要になります。
このページでは、当社スイッチ製品にも搭載されている各種セキュリティ対策機能についてBasicセキュリティ、Advancedセキュリティ、LAN環境の不正アクセス対策の3つに分け、各機能の説明や設定例などを交えて紹介しています。
Basicセキュリティ
Basicセキュリティでは、ピンポイントで対策をしたい場合、または対象となる機器、PCの移動がほとんどない場合にスイッチの設定だけで実施・適用できるセキュリティ対策を紹介します。
- パケットフィルター
-
機能概要
- パケットフィルターには、パケットのフィルタリングを、ハードウェア(ASIC)で行う「ハードウェアパケットフィルター」と、ソフトウェア(CPU)で行う「ソフトウェアパケットフィルター」の2種類があります。
- ハードウェアパケットフィルターは、ハードウェアで処理するため高速です。
- ソフトウェアパケットフィルターは、ハードウェアパケットフィルターよりも柔軟な設定ができることや、パケットのログが取得できること、ポリシーフィルターによる経路選択フィルターとして使用できることが、メリットとしてあげられます。
- ソフトウェアパケットフィルターでフィルタリングできるパケットは、IPルーティングの対象となる(VLANを越える)パケットに限られます。
- 以下の条件でパケットをフィルタリングできます。
- Ethernetヘッダーの送信元、宛先MACアドレスとプロトコルタイプ(タグ付き、タグなし)
- 入出力スイッチポート
- IPヘッダーのTOS優先度(precedence)またはDSCP(DiffServ Code Point)、TTL、プロトコル、始点・終点IPアドレス
- TCPヘッダーの始点・終点ポート、制御フラグ(Syn、Ack、Fin)
- UDPヘッダーの始点・終点ポート
- TCPセッションの方向 (ソフトウェアのみ)
効果
設定例 : サーバーへのtelnetを禁止する
- DHCPスヌーピング
-
機能概要
- DHCPパケットをスヌーピング(監視)してバインディングデータベースを構築し、動的に送信元IPフィルタリングを行う機能です。DHCPを使用したネットワーク環境において、正当なPC(DHCPクライアント)だけがIP通信をすることができます。
- 物理ポートをTrustedポートとUntrustedポートで定義します。Trustedポートではスヌーピングせずに、全てのパケットを転送します。
- Untrustedポートでは、正しくDHCPサーバーからIPアドレスを割り当てられたDHCPクライアントだけが通信することができます。
固定IP端末を接続しても通信を行うことはできません。 - Untrustedポートに固定IP端末を接続する場合は、StaticにMACアドレスを登録することで通信を許可するようにすることもできます。
- 物理ポートごとに、DHCPクライアント数の上限を設定することができます。
- ARPセキュリティ機能を利用することで、不正なARPを利用した不正アクセスを防止することができます。
- リレーエージェント情報オプション(オプションコード82)の付加・検査・削除が行えます。
効果
- ARP poisoning attacksやIP address spoofingなどの様々な不正アクセスを防止することができます。
- DHCPサーバーと連動させることで、持込PCを禁止することができます。
- ProxyARPが有効になっている装置やDHCPサーバーが誤ってネットワークに接続された場合に、その影響でネットワークが利用できなくなる場合がありますが、DHCPスヌーピングでは不当なARPパケットやDHCPパケットを破棄しますので、これらの影響をなくすことができます。
設定例 : Port1のみDHCPサーバーを許可する
- ポートセキュリティ
-
機能概要※1
- MACアドレスに基づき、ポートごとに通信を許可するデバイスを制限する機能です。(MACアドレスレベルのフィルタリング機能)
- 通信を許可するMACアドレスは手動登録が行えるほか、スイッチの物理ポートごとに学習可能なMACアドレス数の上限を設定することで、自動登録することが可能です。
- 自動登録したMACアドレスは、Staticエントリとして保持する※2ことも、FDBのエージアウトに合わせて削除する※3ことも可能です。
- アクションとして、パケット破棄、SNMPトラップ送信、物理ポートのディセーブルなどから選択することができます。
- ポートセキュリティでは、複数のポートに同じMACアドレスを登録することができません。登録する機器が移動する場合などMACアドレスが複数ポートにまたがる場合は、MACアドレスベース認証をご利用ください。
- Limitedモード/Secureモード
- Dynamic Limitedモード
効果
- MACアドレスをStaticに登録することで、該当ポートから通信が行える端末を制限することができます。
- MACアドレスの上限値を設定することで、MACアドレスを偽造しながら大量のフレームを送信する不正アクセスを防止することができます。(MAC flooding attacksなど)
- MACアドレスの上限値を設定することで、サービス(インフラ)を提供する事業者などにおいて、利用者側で利用可能な端末の接続台数を制限することができます。
設定例 : Port11のMACアドレス数を2に制限し、それを超えたら接続禁止(不正フレームを破棄)
Advancedセキュリティ
ネットワーク全体でセキュリティポリシーを管理したい、または対象となる機器、PCの移動がある場合は、サーバーを用意し集中管理するタイプであるAdvancedセキュリティを適用できます。
- IEEE 802.1認証/MACアドレスベース認証
-
機能概要
- IEEE 802.1X認証は、EAP(Extensible Authentication Protocol)というプロトコルを使って、ユーザー単位で認証を行うしくみです。認証される機器には、EAPで通信する機能(サプリカント)が必要になります。
- MACアドレスベース認証は、機器のMACアドレスに基づいて機器単位で認証を行うしくみです。スイッチが認証される機器のMACアドレスを検出し、認証を行うため、機器側に認証機能を用意する必要がありません。
- また、認証したユーザーに応じて指定したVLANを割り振る機能(ダイナミックVLAN)も可能です。
- ポート配下に複数の機器が接続している場合でも、個別に認証することができます。
(Multiple Authentication (Multiple Supplicant))
- ポートごとにSingle/Multiple Authenticationの選択が可能
- Multiple Authentication機能使用時、配下に設置するスイッチはEAP透過機能が必要(対応製品またはHUBなどのシェアードメディア)
- ポート配下に複数の機器が接続しており、EAPを使用できない機器(例: プリンター) と、使用できる機器が混在する環境でも、以下に対応していれば認証することが可能です。
- MACアドレスベース認証との併用機能: ポート配下の機器をIEEE 802.1X 認証、MAC認証いずれかで認証することが可能
- サプリカントMAC:スイッチに登録したMACアドレスを認証済みにすることが可能
- Web認証
-
機能概要
- Web認証は、スイッチ-機器間のプロトコルとしてHTTP/HTTPSを使って、ユーザー単位で認証を行うしくみです。認証される機器には、Webブラウザーがあれば良く、MACアドレスベース認証と同様にサプリカントを必要としません。また、HTTPSによりセキュリティもより強化できます。
- スイッチがWebブラウザーに入力されたログイン情報をHTTP/HTTPSで機器から取得し、RADIUSサーバーに問い合わせることにより、ユーザー認証が行われます。
- また、認証したユーザーに応じて指定したVLANを割り振る機能(ダイナミックVLAN)も可能です。
- ポート配下に複数の機器が接続している場合でも、個別に認証することができます。(Multiple Authentication (Multiple Supplicant))
- ポートごとにSingle/Multiple Authenticationの選択が可能
- Multiple Authentication機能使用時、配下に設置するスイッチにEAP透過機能は不要です
- Web認証は、IEEE 802.1X認証・MACアドレスベース認証と組み合わせることで、より柔軟で強固なセキュリティとすることが可能となります。
- IEEE 802.1X認証/MACアドレスベース認証/Web認証の動作と効果
-
概要
IEEE802.1X認証/MACアドレスベース認証/Web認証の3つの認証方式を1つのポート上で併用した場合の動作は以下となります。詳細については、コマンドリファレンスをご参照ください。
[認証方式の併用時の動作]
SBx8100
SBx908
x900
x610
x600x510
x510DP
IX5
x310
x230x210
x200
GS900M V2
FS900M
9048XL9424T MAC認証を先に実施し、MAC認証が失敗した場合、802.1X認証かWeb認証のどちらか先に開始されたほうで認証を実施可能 MACベース認証を先に実行するが、EAPOL-Startを受信したときはただちに802.1X認証を実施する 効果
- 登録されていないユーザー/機器のネットワークへの進入を防ぐことができます。
- Web認証では、基本的にWebブラウザーを搭載した機器であれば、認証が可能です。PCを統一できない環境に適しています。
- MACアドレスベース認証では、スイッチがMACアドレスを検出するため認証する機器を選びません。
- MAC flooding attacks、DHCP starvation attacksの様な攻撃を防止することができます。
- ローカルRADIUSサーバー機能により、サーバーを用意することなく認証が可能になります。これにより、コスト/運用面/ネットワーク設計での負担が削減可能です。
- 2ステップ認証
-
機能概要
- 2ステップ認証とは、SupplicantがIEEE 802.1X認証/MACアドレスベース認証/Web認証のうち2つの認証方式を連続して成功したときに初めて通信が許可される認証方式です。
- 2ステップ認証で認証成功となる組み合わせは次のとおりです。
- MACアドレスベース認証 ○ → IEEE 802.1X認証 ○
- MACアドレスベース認証 ○ → Web認証 ○
- IEEE 802.1X認証 ○ → Web認証 ○
効果
- 従来の認証では、IEEE 802.1X認証/MACアドレスベース認証/Web認証のいずれか1つの方式で認証に成功すれば通信が許可されていましたが、2ステップ認証では2つの方式に成功したときだけ通信を許可するため、セキュリティをより高めることが可能です。
- 不正ユーザーによる正規ユーザーPCの使用や、許可されていない持ち込みPCの使用、万が一のID/PASSの漏えい時などにネットワークへの不正アクセスを未然に防ぐことが可能になります。
2ステップ認証を利用する場合の設定方法①
- 認証スイッチとRADIUSサーバーとの間で使用する認証方式を、それぞれ別の方式に設定する
2ステップ認証では、異なる認証要素で2段階の認証を実施する為に、認証スイッチとRADIUSサーバーとの間で使用する認証方式をそれぞれ別の方式にて設定して下さい。これにより、RADIUSサーバー側で1回目の認証と2回目の認証のユーザー名/パスワードを区別可能になるため、2回目の認証時に1回目の認証情報を入力しても、認証成功となりません。
2ステップ認証を利用する場合の設定方法②
- MAC認証のパスワードを共通パスワードに設定する
当社スイッチ製品ではファームウェアバージョン5.5.4以降で、MAC認証で使用するパスワードに共通のパスワードを設定することが可能になります。認証スイッチで、MAC認証のパスワードを共通のパスワード(全ユーザー共通)に設定し、RADIUSサーバー側では、MAC認証ユーザーを登録する際に、パスワードにMACアドレスではなく認証スイッチで設定した値を設定します。
※ 本設定は 「MAC認証 + Web認証」、「MAC認証 + Web認証」の組み合わせ時に有効となります。
- L3モード エンハンスト ゲストVLAN
-
機能概要・効果
- 認証前端末に対してDHCPによるIPの取得や、特定のサーバー/ネットワークへのアクセスを許容し、柔軟な認証ネットワークを構築できます。
- NAP環境に適した認証前端末のウィンドウズドメインへのアクセス制御を実現可能です。
- 同一ドメイン内のスイッチングアクセス制御のみならず、L3モード エンハンスト ゲストVLANでは他のネットワーク(VLAN)へのルーティングを伴うアクセスをも制御できます。
例えば、NAPはActive Directoryを前提としていますが、IEEE 802.1X認証(およびNAP検疫)とActive Directoryのドメイン認証は同期していません。そのため、IEEE 802.1X認証前にActive Directoryのドメイン認証が行われた場合、ポートが開放されていないため通信ができず、ドメイン認証が失敗します。
しかし、例えば、L3モード エンハンスト ゲストVLANを使用することで、認証前端末でもActive Directoryへアクセス可能となり、ドメイン認証が可能となり、構成変更・設定変更をすること無く、NAP環境実現が可能となります。
- Auth-fail VLAN
-
機能概要・効果
- 認証失敗時に、ユーザーが設定した任意のVLANへ移動可能です。
通常、IEEE 802.1X認証やMAC認証、Web認証などで認証NGとなると、その端末の通信は全てブロックされてしまいますが、本機能を使用する事で、例えば正規のアカウントを持たないユーザーでも制限付きネットワーク(例:インターネットアクセスのみ)へのアクセスなどが実現出来ます。
- プロミスキャス/インターセプト Web認証
-
機能概要・効果
- Web認証装置となるスイッチ(Authenticator)をL2スイッチとして動作させる事が可能です。
- クライアント(Supplicant)のデフォルトゲートウェイをスイッチ(Authenticator) とせずとも、Web認証を強制的に動作させる事が可能です。
- これにより、Authenticatorごとにセグメントを分割することなく、エッジ/ディストリビューション・スイッチでのWeb認証を行なうことが可能となります。
- ローカルRADIUSサーバー
-
機能概要・効果
- スイッチ内部に登録されたアカウントで認証を行い、外部RADIUSサーバーを不要とします。
- IEEE 802.1X認証/MACアドレスベース認証/Web認証機能に対応可能
- PEAP/TLSなど様々な認証方式に対応可能
- 配下のAuthenticator(RADIUSクライアント(NAS))に対するRADIUSサーバーとしても使用可能
- 独自の証明書を発行するローカルCA機能が付属しており、別途認証局(CA)を用意が不要
- ユーザー登録:100件まで登録 NAS登録数:最大24件まで登録
- SBx8100シリーズ、SBx908シリーズ、x900シリーズ、x610シリーズ、x600シリーズはオプションライセンスを導入することでユーザー登録数を1000件まで、NAS登録数を100件まで拡張できます。
認証方式 ローカルRADIUSサーバー サポート機能 IEEE 802.1X認証 MACアドレスベース認証 Web認証 PAP/CHAP - ○ ○ EAP-MD5 ○ ○ ○ EAP-TLS ○ - - EAP-PEAP ○ - -
LAN環境の不正アクセス対策
近年、インターネットなどのWAN環境だけでなく、LAN環境における不正アクセス対策も重要な課題になりつつあります。サーバーやPCの対策は、セキュリティ対策ソフトなどでの強化が常識となっていますが、スイッチなどのネットワーク機器を狙った不正アクセスによっても場合によっては企業活動に重大な影響を及ぼします。ここでは、LAN環境での不正アクセスの実例とアライドテレシスのスイッチ製品のセキュリティ機能で実現する対策について解説します。
- MAC flooding attacks
-
MAC flooding attacksとは?
スイッチのFDB(Forwarding Database)を枯渇させることによりフレームをフラッディングさせて盗聴を行う攻撃手法です。通常、スイッチはMACアドレスを学習して該当ポートのみフレームを転送する仕組みのため盗聴することはできません。
ただし、FDBが枯渇するとMACアドレスの学習ができなくなるため、枯渇後の未学習フレームは全てのポートにフラッディングされます。MAC flooding attacksへの対策
ポートセキュリティ機能を適用
- ・クライアントPC接続ポートに学習可能なMACアドレスの上限を設ける
- – FDBを枯渇させない
- – ポートごとに閾値を変更可能
- ・上限値を超えた時の動作は選択可能
- – 受信フレームの破棄
- – 受信フレームの破棄&SNMP-Trapの送出
- – 受信フレームの破棄&SNMP-Trapの送出&ポートをディセーブル
適用箇所
- ・クライアントPCの接続ポートで設定するのが効果的
- ・上限値はセキュリティ面と利便性/拡張性を考慮して決定
その他
- ・IEEE 802.1X認証(SingleHost構成)も有効
- DHCP starvation attacks
-
DHCP starvation attacksとは?
送信元MACアドレスを変更しながらDHCPサーバーへIPアドレス割り当てを要求してIPアドレスプールを枯渇させる攻撃手法です。
DHCP starvation attacksへの対策
ポートセキュリティ機能を適用
- ・クライアントPC接続ポートに学習可能なMACアドレスの上限を設ける
- – DHCPサーバーのIPアドレスプールを枯渇させない
- – ポートごとに閾値を変更可能
- ・上限値を超えた時の動作は選択可能
- – 受信フレームの破棄
- – 受信フレームの破棄&SNMP-Trapの送出
- – 受信フレームの破棄&SNMP-Trapの送出&ポートをDisable
DHCPスヌーピング機能を適用
- ・DHCPクライアント数を制限することで、IPアドレスプールを枯渇させる不正なDHCPパケットを放棄することが可能
適用箇所
- ・クライアントPCの接続ポートで設定するのが効果的
- ・上限値はDHCPサーバーのIPアドレスプール数を考慮して決定
- – IPアドレスプールに余裕が少ない場合は、上限値を低くする
その他
- ・IEEE 802.1X認証(SingleHost構成)も有効
- DHCP rogue server attacks
-
DHCP rogue server attacksとは?
不正なDHCPサーバーを構築して不正なゲートウェイの IPアドレスやDNSサーバーの情報をクライアントに割り当て、盗聴などを行う攻撃手法です。攻撃を成立させやすくするため、DHCP starvation attacksなども併用されます。
DHCP rogue server attacksへの対策
パケットフィルター機能を適用
- ・68/udpをフィルタリングして不正DHCPサーバーを排除
- – 正規のDHCPサーバーのIPアドレスのみ許可
- – その他IPアドレスからの68/udpは全て破棄
DHCPスヌーピング機能を適用
- ・Untrustedポート(クライアントポート)からの68/udp(宛先ポート)が破棄されるため、不正なDHCPサーバーを排除することが可能
適用箇所
- ・L2スイッチでフィルタリングするのが効果的
- – クライアントを収容するスイッチで適用すると最も被害範囲が少なくなる
- – 通常のL2スイッチでL4レベル(tcp/udp)のフィルタリングは困難
L2 Plus製品群ではL4情報のフィルタリングが行えます(ハードウェア処理)
L3製品群もL2モードでL4情報のフィルタリングが行えます(ハードウェア処理)
- IP address spoofing
-
IP address spoofingとは?
IPアドレスの詐称を行い、アクセスリストなどのセキュリティ機能を回避して不正アクセスを行う攻撃手法です。
- ルーターやL3スイッチでは、宛先IPを参照してルーティング動作を行うため送信元IPアドレスは通常チェックされない
- IP OptionのStrict/Loose Source Routeを併用することで、戻りパケットを不正端末に戻すことも可能
IP address spoofingへの対策
DHCPスヌーピング機能を適用
- ・DHCPクライアント数を制限することで、IPアドレスプールを枯渇させる不正なDHCPパケットを放棄することが可能
パケットフィルターによる送信元IPの制限
- ・LAN側=正しい送信元IPアドレスのパケットのみ許可
- ・WAN側=LAN側に存在するIPアドレスが送信元のパケットを破棄
Loose(Strict) Source Routeが指定されたパケットを破棄する。
- ・アライドテレシス製品のルーター、L3製品はデフォルトで破棄する動作
適用箇所
- ・DHCPスヌーピングは、末端のスイッチで設定するのが効果的
- ・フィルターは、全てのルーター、L3スイッチで設定するのが効果的
- – 構成によっては、基幹ルーター(L3スイッチ)のみで十分な場合も多い
適用箇所が多いとネットワーク拡張や構成変更の際に更新するのが大変
設定を忘れてネットワークを拡張すると障害と間違える場合も・・
設定の適用効果と運用負荷を考慮して適用箇所を判断する
- ARP poisoning attacks
-
ARP poisoning attacksとは?
通信している端末のARP情報を更新させることで通信の間に割り込み、盗聴などを行う攻撃手法です。
- ARP応答によるARPテーブルの更新は一般的な実装でバグではない。
- 盗聴だけでなく中継する際にデータの改ざんを行うことも可能。
- 鍵交換などに割り込まれると暗号通信が盗聴される可能性もある。
- クライアント間の通信に影響がないため、検出するのが難しい。
ARP poisoning attacksへの対策①
ARPテーブルをStaticに登録する
- ・偽造ARP応答によるARPテーブルの更新をStatic登録により防ぐ
DHCPスヌーピング機能を適用
- ・ARPセキュリティオプションを利用することで、不正なARPパケットを破棄することが可能
適用箇所
- ・Static登録 =全てのクライアントPC、サーバー、ゲートウェイなど
- ・DHCP Snooping = 末端のスイッチ
ARP poisoning attacksへの対策②
IEEE 802.1X認証+クライアントPC管理
- ・IEEE 802.1X(TLS認証)により不正端末の持ち込みを防止
- – パスワード認証(MD-5、PEAP、TTLS)での持ち込みPC制限は困難
サプリカントソフトによってはパスワードの事前定義が可能なので有効な場合も - ・クライアントPC管理により攻撃ツールのインストールを防止
- – 攻撃用ツールのインストールなしに攻撃を行うことは困難
- – グループポリシーの適用やAdmin権限の削除など
適用箇所
- ・全てのクライアントPCの接続ポートでIEEE 802.1X認証を実施
- ・全てのクライアントPC管理