デフォルトでは、Ciscoスイッチのすべてのインタフェースがオンになっています。 これは、攻撃者が壁のコンセントからネットワークに接続し、ネットワークを脅かす可能性があることを意味します。 どのデバイスがどのポートに接続されるかがわかっている場合は、ポート セキュリティと呼ばれる Cisco のセキュリティ機能を使用することができます。 ポートセキュリティを使用することで、ネットワーク管理者は特定のMACアドレスをインタフェースに関連付けることができ、攻撃者が自分のデバイスを接続することを防ぐことができます。 このようにして、許可された機器だけが使用できるように、インタフェースへのアクセスを制限することができます。
ポートセキュリティを設定するには、3つのステップが必要です。
1. switchport mode access interfaceサブコマンド
を使用して、インターフェイスをアクセスインターフェイスとして定義します。 switchport port-security mac-address MAC_ADDRESS interface サブコマンドを使用して、このインタフェースを通じてフレームを送信することが許可される MAC アドレスを定義するか、swichport port-security mac-address sticky interface サブコマンドを使用して現在接続しているホストの MAC アドレスを動的に学習します
1. port security violation {protect | restrict | shutdown} interface サブコマンドを使用して、正しくないデバイスからのフレームを受信するとスイッチが講じる動作を定義します。 3つのオプションはすべて、未認証デバイスからのトラフィックを破棄します。 restrictおよびshutdownオプションは,違反が発生したときにログメッセージを送信します。 また,shutdown モードはポートをシャットダウンします。 switchport port-security maximum NUMBER interface submodeコマンドを使用して、ポートで使用できるMACアドレスの最大数を定義します
次の例は、Ciscoスイッチのポートセキュリティの設定を示しています:
最初に、ポートセキュリティを有効にして、フレームを送信することを許可するMACアドレスを定義する必要があります。
次に、show port-security interface fa0/1 を使用して、スイッチがホスト A の MAC アドレスを学習したことを確認できます。
デフォルトでは、許容される MAC アドレスの最大数は 1 つなので、同じポートに別のホストを接続すると、セキュリティ違反が発生します:
ステータス コードが err-disabled となっており、ポートでセキュリティ違反が発生したことを意味します。
ポートを有効にするには、shutdownおよびno shutdown interfaceサブコマンドを使用する必要があります。