SGスイッチの機能
SGスイッチの設定
以下では、SGスイッチのセキュリティ設定がいかに簡単であるかを説明する。設定は、一般のL2スイッチと同様、PCのシリアル・ポートとSGスイッチの「CONSOLE」ポートを接続して行う。ターミナル・ソフトの設定は以下の通り(デフォルト通りでいいだろう)。
【テーブル1】: CONSOLEポートに接続するターミナル・ソフトの設定
| Baud Rate | Parity | Data Bits | Stop Bits | Flow Control |
|---|---|---|---|---|
| 9600 bps | None Parity | 8 bits | 1 stop bit | No Flow Control |
まずは、初期設定である。ログイン名とパスワード(図5を参照)を入力してログインし、ネットワークに関する設定を施す。ここでは「SG2024」という100BASE-TX×24ポートの機種を例に説明しているが、ほかの機種でも基本的な設定方法は変わらない。
SG2048G login: root <= デフォルト・ログイン名 Password:root <= デフォルト・パスワード SG2024>enable SG2024#configure terminal SG2024(config)#interface vlan1.1 SG2024(config-if)#ip address 192.168.100.23/24 <= IP設定 SG2024(config-if)#exit SG2024(config)#ip route 0.0.0.0/0 192.168.100.254 <= Default Gateway 設定 SG2024(config)end SG2024#write <= 設定内容の保存 |
| 図5: 初期設定 |
次に、セキュリティ設定を行う。MDSには、検知(detect)と遮断(drop)の2つのモードがある。デフォルトでは検知モードになっている。基本的に誤検知はないが、ネットワークをスキャンして不正PCの排除を行うような製品を導入している場合は、攻撃として検知される可能性がある。心配ならば、しばらく検知モードで様子を見て、問題があれば除外設定をした後に、遮断モードに移行する方法もある。通常は、そのまま遮断モードで動かしても問題ない。
モードを変更するには、図6のコマンドを実行する。このうち、モード切り替えのためのコマンドは、中2行のmdsと付く部分だけである。
SG2024#configure terminal SG2024(config)#no mds enable fe SG2024(config)#mds enable fe drop <= Fast Ethernet InterfaceをDrop modeに設定 SG2024#show running-config - 中略 - mds enable fe drop |
| 図6: MDSの遮断(Drop)モードへの切り替え |
最初の"no mds enable fe"は、MDSの検出を無効にさせるコマンドで、"fe"の部分はポートを表している。Fast Ethernet(100Mbps)は"fe"、Gigabit Ethernet(1Gbps)は"ge"となる。物理的なポートの番号やポートの範囲を指定することもできる。例えば、"fe1-10"とすれば、Fast Ethernetの物理ポート1~10番を指す。図6では"fe"としているので、すべてのFast Ethernetポートが対象となる。
設定例として使用しているSG2024は、Fast Ethernet×24ポートのほかに、Gigabit Ethernetを2つ備えている。デフォルトでは、Fast Ethernetがユーザー・ポート、Gigabit Ethernetポートがアップリンク・ポートである。ユーザー・ポートは、ポートを通過するトラフィックに対して脅威の検出・遮断ができる。これに対して、アップリンク・ポートは、スイッチ自身に対する脅威に限って検出・遮断できる。
ユーザー・ポート/アップリンク・ポートは、任意に指定できる。あまり現実的ではないが、Gigabit Ethernetポートをユーザー・ポートとして使い、Fast Ethernetポートをすべてアップリンク・ポートとすることもできる。
ここで1点注意したいのが、ルーターやL3スイッチなどをユーザーポートに接続するケースである。この場合、同じMACアドレスを持つ複数の異なるIPアドレスから通信があるように見える。このため、MDSによってDDoS(IP Spoofing)として検知・遮断されてしまう。このような挙動をする機器は、必ずアップリンク・ポートに接続するようにする。
なお、ARP Spoofingの検出は、デフォルトで無効となっている。有効にするには、図7のコマンドを実行する必要がある。コマンドとしては"detect"という文字が使われているが、実際の動作としては、ARP Spoofingが検出された場合、その通信を遮断する。
SG2024#conf t SG2024(config)# mds arp-spoofing-detect fe <= ARP Spoofingの検出・遮断を有効にする SG2024#show running-config - 中略 - mds arp-spoofing-detect fe |
| 図7: ARP-Spoofingの検出・遮断を有効にする設定 |
セキュリティとは関係ないが、ループを検出・遮断(デフォルトでは無効)する設定を載せる。主要なスイッチも備えている機能だが、SGスイッチでは、ループの発生場所を容易に特定できる。
SG2024#conf t SG2024(config)#mds self-loop-detect fe <= ループの検出・遮断を有効にする SG2024#show running-config - 中略 - mds self-loop-detect fe |
| 図8: ループの検出・遮断を有効にする設定 |
以上、設定について説明した。このように、わずか数行のコマンドを実行するだけで、以下の表2に示した各種の脅威に対処できる。韓国Handreamnetによると、L2~L4のレベルで確認されている攻撃手法は、すべて網羅しているという。万が一、新たな攻撃手法が出てきたとしても、MDSの構造上、ソフトウエアのアップデートだけで対応できる。
【テーブル2】: SGスイッチで検出できる脅威の一覧
| 検出名 | 説明 |
|---|---|
| ARP_Spoofing | ARP Spoofing、ARP Poisoning。通信を行う2台の攻撃対象機器にARP requestを用いて偽MAC情報を送信する。攻撃対象機器間の通信が攻撃元機器経由で行えるようになり、IP電話盗聴、情報漏えい、情報改ざんに利用される。 |
| BroadCAST_Attack | ブロードキャスト・アドレスに対してパケットが継続的に流される攻撃。 |
| DoS_Attack | DoS、DHCP Flooding。攻撃元機器から攻撃対象機器へ大量の通信を発生させ、攻撃対象機器のレスポンスを低下させる。 |
| DDoS(IP_Spoofing) | DDoS、IP Spoofing。複数の攻撃元機器(単数でも複数に見える)から攻撃対象機器へ大量の通信を発生させ、攻撃対象機器のレスポンスを低下させる。 |
| DoS_Fooding | DoS Flooding、Port Flooding。DoS_Attackの攻撃対象機器のポートが複数であるもの。 |
| Random_Attack | 攻撃元機器のソース・ポートをランダムに変更させながら複数の攻撃対象機器のポート・スキャンを行う。 |
| Host_Drop | 攻撃元機器から複数の有害トラフィックが発生し、MDSのフィルタリングのみでは危険だと判断した場合、攻撃元機器MACからの通信を遮断する。 |
| Scan_Attack | IP Scanning、Port Scanning、Host Scanning。ネットワークに接続される機器をスキャンし、IPアドレスを収集する行為。 |
| Self_Loop | ネットワークのループを検知 |
| SYN_Flood_Attack | Syn Flooding。TCP 3 WAYハンドシェイクを意図的に未完了状態にして攻撃対象機器上のメモリー上にあるデータ送受信バッファを破棄させないようにし、攻撃対象機器のメモリーを枯渇させる攻撃。 |
| ICMP_Redir_Attack(MAC Flooding) | MAC Flooding、ARP Attack。ICMP Redirectを利用して攻撃対象機器の経路情報を変更。攻撃元機器から通信元MACの異なる大量のARP Requestを送信し、スイッチのMACテーブルを枯渇させることで、パケットの転送先を特定できなくする。スイッチは全ポートにパケットを転送するため、ネットワークの負荷が高くなる。 |
次回は、SGスイッチから離れて、ネットワーク障害と管理ツールの機能を紹介する。
