多機能なスイッチの一つの機能としてポートへの接続を制限するセキュリティ機能があります。ポートセキュリティと呼ばれるこの機能は、MACアドレスで判断して許可していない不正な機器がスイッチのポートへ接続してネットワークへアクセスすることをブロックして防ぐことができます。
ここでは Cisco のスイッチポートセキュリティ機能を参考にして説明しています。
ポートセキュリティの仕組み
ポートセキュリティの基本は、スイッチへの接続を許可する端末機器の MAC アドレスを事前にスイッチに登録(設定)しておくことで、それ以外の MACアドレスを持つ端末機器をアクセスできないようにすることです。
スイッチはもともと送信元機器の MAC アドレスを登録する仕組みがあるので、これを利用して接続された機器の MAC アドレスをチェックし、該当しない MAC アドレスであればセキュリティ違反とみなしパケットを破棄したり、ポートを遮断したりします。
この機能を利用すれば、事前に許可されていない PC を持ち込んでスイッチに接続してもネットワークにアクセスすることができなくなるので、管理されていないPCの接続を制限することができます。
手動でスタティックに事前に MAC アドレスを登録していなくても、接続された端末の MAC アドレスを動的に自動で登録させることもできます。こちらの方法のほうが MAC アドレスをわざわざ登録する手間もミスも少ない便利な方法です。
また、MAC アドレスを何個まで登録するかを設定しておくことで、指定数を超えるとポートを使えなくするということが可能です。
MACアドレスのセキュリティ違反時の動作
参考までにシスコのスイッチでポートセキュリティ違反がおこった場合の動作としては、違反とみなした MAC アドレスを持つパケットを破棄する方法やポート自体を使えなくしてしまう方法などがあります。 ポート自体を使えなくする場合は、管理者による設定作業でポートをエラーから復旧させる必要があります。
ポートセキュリティ機能の使いどころ
管理されていない知らない PC からの不正アクセスやウィルス感染などを防ぐなどの目的で使われます。
不特定の人が出入りする環境や、社員であっても社外からの端末を接続させたくないなどの場合に便利な機能です。
ほとんど接続したあとは触らないような環境には使いやすいですが、逆に頻繁にスイッチの接続を入れ替えたり、個人が自由にスイッチの接続を変更するような環境では使いづらいかもしれません。
割と簡単に使える機能ですので、セキュリティ対策の一つとして比較的に導入がしやすい機能になります。
コメント