SGスイッチの機能

2010年12月10日(金)
新納 辰見

セキュリティ・スイッチと呼ばれるL2スイッチがある。一般に、認証機能を持つスイッチを指している。しかし、この種のスイッチは多数存在する。セキュリティ・スイッチと言っても、実態はさまざまだ。筆者もよく、社内から「SGスイッチは、○○○社の△△△と比較して、どう違うのか」という問い合わせや「比較表を作ってほしい」という依頼を受ける。

こうした際、単に「SGスイッチは△△△とは全く違うスイッチだ」と答えるわけにはいかない。かといって、細かく説明すると、余計に分からなくなってしまう。このため、一言で説明する場合は「ネットワークからの攻撃を防ぐことができて、管理が簡単なスイッチだ」と言うことが多い。今回は、この「攻撃を防ぐ」という部分を中心に、SGスイッチの機能を解説していく。

SGスイッチの概要

前回も軽く説明したが、SGスイッチは、韓国Handreamnetの製品である。韓国Samsung Electronics(サムスン電子)や韓国LG-Ericssonといった世界規模の企業にOEM(相手先ブランドによる生産)供給しており、韓国国内ではL2スイッチ市場の30%以上のシェアを占めている。

現在日本国内で販売されている主要な製品は、図1に示した4種類。間もなく、エントリ機種として8ポートのGigaスイッチがラインアップに加わる。

「SG2024PoE/SG2024」

「SG2048G/SG2024G」

図1: 出荷中のSGスイッチ2機種(クリックで拡大)


今回は説明を割愛するが、SGスイッチは、セキュリティ面だけでなく、ほかの機能も高い。一般的なインテリジェント・スイッチに搭載されている機能は、ほぼすべて備えている。ネットワーク技術者が慣れ親しんだコマンド体系(米Cisco SystemsのIOSに似たCLI)に準じた操作ができるため、スイッチの設定に戸惑うこともない。

なお、SGスイッチの「SG」は、"Sub GATE"の略である。これは、韓国Handreamnetが日本以外の国で販売しているUTM(統合脅威管理)製品の名称である。

SGスイッチが提供するセキュリティ機能

以下では、SGスイッチのセキュリティ機能を詳しく説明する。図2に示した通り、SGスイッチのセキュリティ機能は、大きく分けて3層になっている。

認証
一般的なセキュリティ・スイッチに搭載されているのは、この機能。L2のレベルで認証を行う。SGスイッチも、IEEE 802.1X認証、Web認証、MAC認証が可能。特徴は、RADIUSサーバーを内蔵していること。これにより、SGスイッチ単体で最大512端末まで、外部RADIUSサーバー使用時は、ポートあたり32端末まで認証できる。
内部ハッキング遮断
ARP Spoofingを検出し、盗聴や改ざんを防止する。ほかの一部のL2スイッチでも、ブロック可能なものがあるようだが、通常はスイッチ自身への攻撃に限って有効である。一方、SGスイッチでは、自身を通過する任意のパケットに対して検出や遮断が可能である。
有害トラフィック遮断
L2~L4までのトラフィックを分析して、DoS/DDoSなどの有害トラフィックを遮断する。また、ワームの拡散動作(IPスキャン・ポートスキャン)を遮断して2次感染を最小限に抑える。

図2: SGスイッチが提供するセキュリティ機能(クリックで拡大)


「セキュリティ機能を有効にすると、L2スイッチとしてのパフォーマンスの低下や遅延が発生するのではないか」という質問をよく受ける。答えは否だ。SGスイッチは、ほかの機器とは異なるアプローチ(後述するセキュリティ・エンジン)でセキュリティ機能を実現しているため、ワイヤー・スピードでの通信を維持している。

株式会社ネットワールド

1990年 ネットワールド創立当初からのメンバー
自社製ハードウェアのサポート、Lotus Dominoのインストラクターを経て2001年よりセキュリティ関連製品のサポートに従事

連載バックナンバー

Think ITメルマガ会員登録受付中

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

Think ITメルマガ会員のサービス内容を見る

他にもこの記事が読まれています