MACフラッディング攻撃からの保護

一般的なMACフラッディング攻撃では、スイッチにはそれぞれ異なる送信元MACアドレスを含むパケットがフラッディングされます。 MACアドレスから物理ポートへの変換テーブルを格納するために、スイッチに確保されている限られたメモリを消費することを目的としています。

この攻撃の結果、スイッチはfailopenモードと呼ばれる状態になり、通常の動作に従って正しいポートをダウンするのではなく、すべての着信パケットがすべてのポート(ハブと同様)でブロードキャストされます。 悪意のあるユーザーは、無差別モードで実行されているパケットスニファを使用して、他のコンピュータから機密データをキャプチャすることができます。

シスコは、一部のMACアドレスを専用ポートに制限および/またはハードワイヤリングすることで、この攻撃に対する保護を設定する機会を提供します。

MACフラッディング攻撃を理解する
PC A、PC B、PC Cの3つのPCを持つスイッチがあると仮定します;通常の状況では、PC Aがpc Bにパケットを送信すると、PC CはPC aとPC Bの間で送信されたパケットを表示しません。

mac_learning

これは、3台のPCがハブではなくスイッチに接続されているためです。

MACフラッディング攻撃では、スイッチの動作が異なります。 MACフラッディング攻撃の間、攻撃者(この例ではPC C)は、それぞれ異なる送信元MACアドレスを持つパケットでスイッチにフラッディングします。

mac_flooding_attack

コンテンツアドレス指定可能なメモリ(MACアドレスが格納されているメモリ)がいっぱいの場合、スイッチはハブのように機能するため、PC AがPC Bにパケットを送信すると、パケットはPC Cにも受信されます。

mac_flooding_attack_2

MACフラッド攻撃からの保護
シスコは、このタイプの攻撃から保護するために、switchport port-securityと呼ばれる機能を実装しています。 ポートセキュリティ機能を使用すると、ポートへのアクセスが許可されているステーションのMACアドレスを制限して識別することで、インターフェイスへの入力を制限することができます。

セキュアなMACアドレスには三つのタイプがあります:

  • 静的セキュアMACアドレス: これらは、switchport port-security mac-address mac-addressインターフェイス設定コマンドを使用して手動で設定し、アドレステーブルに保存してスイッチの実行設定に追加します。
  • 動的セキュアMACアドレス:これらは動的に学習され、アドレステーブルにのみ格納され、スイッチの再起動時に削除されます。
  • Sticky secure MACアドレス:これらは動的に学習されるか、または手動で設定され、アドレステーブルに格納され、実行中の設定に追加されます。 これらのアドレスが設定ファイルに保存されている場合、スイッチの再起動時にインターフェイスが動的に再学習する必要はありません。

覚えておいてください:セキュアポートには、1から132のセキュアアドレスを関連付けることができます。 スイッチ上で使用可能なセキュアアドレスの合計数は1024です。

アドレステーブルにセキュアMACアドレスの最大数が追加され、MACアドレスがアドレステーブルにない端末がインターフェイスにアクセスしようとすると、セキュリティ違反が発生します。

スイッチは、3つの異なる方法でセキュリティ違反に対応できます:

  • 保護:保護されたMACアドレスの数がポートで許可される制限に達すると、十分な数の保護されたMACアドレスを削除するか、最大許容アドレスの数を増 セキュリティ違反が発生したことは通知されません。
  • 制限: 保護されたMACアドレスの数がポートで許可される制限に達すると、十分な数の保護されたMACアドレスを削除するか、最大許容アドレスの数を増やすまで、送信元アドレスが不明なパケットは削除されます。 このモードでは、セキュリティ違反が発生したことが通知されます。 具体的には、SNMPトラップが送信され、syslogメッセージがログに記録され、違反カウンタが増加します。
  • shutdown:このモードでは、ポートセキュリティ違反によりインターフェイスはすぐにエラー無効になり、ポートLEDをオフにします。 また、SNMPトラップを送信し、syslogメッセージをログに記録し、違反カウンタを増分します。 セキュアポートがエラー無効状態の場合は、errdisable recovery cause psecure-violationグローバル設定コマンドを入力してこの状態から解除するか、shutdownおよびno shutdown interface設定コマンドを入力して手動で再度有効にすることができます。 これはデフォルトのモードです。

例:10個のMACアドレスに制限し、そのうちの2個は静的アドレス(aaaa。aaaa.aaaa、bbbb。bbbb.bbbb)、FastEthernet0/1ポート上。 必要な違反は「制限付き」です。

Ciscozine# conf tCiscozine(config)# interface fastethernet0/1Ciscozine(config-if)# switchport mode accessCiscozine(config-if)# switchport port-securityCiscozine(config-if)# switchport port-security maximum 10Ciscozine(config-if)# switchport port-security violation restrictCiscozine(config-if)# switchport port-security mac-address aaaa.aaaa.aaaaCiscozine(config-if)# switchport port-security mac-address bbbb.bbbb.bbbb

スイッチポートモードアクセス:port-securityはアクセスポートでのみ機能するため、定義してください。
switchport port-security:インターフェイスのポートセキュリティを有効にします。
switchport port-security maximum10:インターフェイスのセキュアMACアドレスの最大数を10に設定します。
switchport port-security violation restrict:違反モードを”制限”するように定義します。
スイッチポートのポート-セキュリティmac-アドレスaaaa。aaaa.保護されたMACアドレスを最大値よりも少ない数に設定すると、残りのMACアドレスが動的に学習されることに注意してください。

トラフィックコントロールステータスと設定を表示するための便利なコマンドは次のとおりです:

  • show interfaces switchport:ポートブロックとポート保護の設定を含む、すべてのスイッチング(非ルーティング)ポートまたは指定されたポートの管理状態と動作状態を表示します。
  • ポートの表示-セキュリティ : スイッチまたは指定されたインターフェイスのポートセキュリティ設定(各インターフェイスで許可される最大セキュアMACアドレス数、インターフェイス上のセキ
  • show port-security address:すべてのスイッチインターフェイスまたは指定されたインターフェイスに設定されたすべてのセキュアMACアドレスを、各アドレスのエージング

覚えておいてください: ポートが次のいずれかとして構成されていない場合にのみ、インターフェイスでポートセキュリティを有効にできます:

  • トランクポート:トランクポートでポートセキュリティを有効にしようとすると、エラーメッセージが表示され、ポートセキュリティが有効になっていません。 セキュアポートのモードをtrunkに変更しようとすると、ポートモードは変更されません。
  • 動的ポート:動的モードのポートは、隣接ポートとネゴシエートしてトランクポートになります。 動的ポートでポートセキュリティを有効にしようとすると、エラーメッセージが表示され、ポートセキュリティが有効になっていません。 セキュアポートのモードを動的に変更しようとすると、ポートモードは変更されません。
  • Dynamic-access port:dynamic-access(VLAN Query Protocol)ポートでポートセキュリティを有効にしようとすると、エラーメッセージが表示され、ポートセキュリティが有効になっていません。 セキュアポートを動的VLAN割り当てに変更しようとすると、エラーメッセージが表示され、VLAN設定は変更されません。•EtherChannel porT:ポートでポートセキュリティをイネーブルにする前に、まずEtherChannelからポートを削除する必要があります。 EtherChannelまたはEtherChannelのアクティブポートでポートセキュリティを有効にしようとすると、エラーメッセージが表示され、ポートセキュリティが有効になっていません。 EtherChannelのまだアクティブでないポートでポートセキュリティをイネーブルにした場合、ポートはEtherChannelに参加しません。
  • 802.1xポート:802.1Xポートをセキュアポートとして設定することはできません。 802.1Xポートでポートセキュリティを有効にしようとすると、エラーメッセージが表示され、ポートセキュリティが有効になっていません。 セキュアポートを802.1Xポートに変更しようとすると、エラーメッセージが表示され、802.1Xの設定は変更されません。•Switch Port Analyzer(SPAN)宛先ポート:SPAN宛先ポートであるポートでポートセキュリティを有効にできますが、ポートがSPAN宛先として削除されるまでポートセキュリティは無効に SPAN送信元ポートでポートセキュリティを有効にできます。

Write a Comment

メールアドレスが公開されることはありません。