You are using an unsupported browser. Please update your browser to the latest version on or before July 31, 2020.
close
You are viewing the article in preview mode. It is not live at the moment.
clear search
ホーム > テックハブ > ネットワークスイッチのセキュリティの基礎
ネットワークスイッチのセキュリティの基礎
print icon
ネットワークスイッチの保護に複雑なソリューションは必要ありません。適切なセキュリティ対策を講じることで、組織は不正アクセスやネットワーク攻撃のリスクを大幅に軽減できます。 

Network Switch security
 
ネットワークスイッチを保護し、安全なネットワーク環境を維持するために役立つ主要な対策を以下にまとめます。
 
未使用ポートの無効化 – ポートは攻撃の一般的な侵入経路です。不正なデバイスが接続されるのを防ぐため、現在使用されていないスイッチポートは無効にしてください。
 
ポートセキュリティの有効化 – 各スイッチポートへの接続を許可するデバイスを制限してください。これにより、不正デバイスやMACフラッディング攻撃から保護されます
 
802.1X認証の使用 – デバイスまたはユーザーがネットワークにアクセスする前に、本人確認を行うように要求してください。これにより、物理的に近接している場合でも、不正アクセスを制限できます。 

Secure management access – 安全な管理アクセス – 不正な乗っ取りを防ぐため、管理ツール(CLI、Web UI、SNMP)を保護対策してください。
 
  • 暗号化の使用:HTTPSとSSHのみを使用し、HTTPとTelnetは無効にします。
  • アクセスの制限:特定の管理VLANまたはIPアドレスへのアクセスを制限します。
  • パスワードの強化:複雑なパスワードを設定し、定期的に変更します。接続を暗号化し、ログインできるユーザーを制限することで、攻撃者が認証情報を盗み見ることを防ぎます。
専用の管理VLANの作成 – 管理トラフィックを通常のユーザートラフィックから分離し、管理アクセスを保護します。これにより、攻撃者がスイッチの設定に容易にアクセスすることを防ぎます。
 
DHCPスヌーピングの有効化 – スイッチが信頼できるDHCPサーバーを識別し、不正なDHCPサーバーをブロックできるようにします。これにより、承認されたサーバーとアップリンク用に信頼できるポートをマークし、信頼できないポートからの不正なDHCP応答を自動的にブロックすることで、ネットワークを保護します。  
 
ダイナミックARPインスペクション(DAI)を使用する – DAIは、ローカルネットワーク上での「なりすまし」を防ぐための第2の防御層として機能します。
 
  • DHCPスヌーピングによって作成されたデータベースを使用して、すべてのデバイスのMACアドレスとIPアドレスを相互チェックします。
  • 攻撃者が他のコンピュータを騙してデータを送信させようとした場合(ARPスプーフィング)、DAIはデバイスの認証情報がデータベースと一致しないことを検知し、トラフィックをブロックします。
Enable IP Source Guard (IPSG) – IPソースガード(IPSG)を有効にする – デバイスが割り当てられたIPアドレスのみを使用するようにします。IPSGは、すべてのデータパケットの「認証情報」を検証するデジタルチェックポイントとして機能し、IPアドレス、MACアドレス、物理ポートの特定の組み合わせが事前に承認されたリストと一致する場合にのみトラフィックの通過を許可します。この厳格な検証プロセスにより、悪意のあるユーザーが他のデバイスになりすますことを防ぎます。
 
LANを使用してネットワークをセグメント化する – ネットワークをより小さなグループに分割することで、セキュリティと制御を向上させます。 VLANセグメンテーションは、オープンオフィスに内部の壁と鍵を追加するようなものです。
 
  • 最大限の保護を実現するため、プライベートVLANはデバイス間の通信を遮断する隔離された個室として機能し、ファイアウォールがこれらのエリア間のすべてのトラフィックを監視します。これにより、脅威を1つのゾーンに閉じ込め、感染したデバイス1台がビジネス全体を危険にさらすことを防ぎます。
スパニングツリープロトコル(STP)のセキュリティ強化 – STPはトラフィックコントローラとして機能し、データが無限ループに陥るのを防ぎます。
 
  • 不正デバイスがこのシステムを乗っ取ってトラフィックを傍受したりクラッシュさせたりするのを防ぐため、ルートガードやBPDUガードなどのデジタルロックを使用して、承認されたスイッチのみが制御権を保持するようにします。
  • BPDUフィルタやループガードなどのツールを追加することで、外部からの侵入や偶発的なミスによってネットワークの「頭脳」が乗っ取られるのを防ぐアラームシステムを構築できます。
使用していないサービスとプロトコルの無効化 – 脆弱性を生み出す可能性のある不要な機能をオフにします。スイッチを安全な建物に例え、アクティブな機能はすべて開いた窓のようなものです。
 
  • ユーザーポート上のバックグラウンド検出ツール(LLDP/CDP)や不要なVLANトランキングなど、不要なエントリポイントを閉じることで防御を強化します。
  • 古いルーティングプロトコルを削除し、セキュアなSNMPv3にアップグレードして「攻撃対象領域」を縮小します。 
ログを監視し、syslogサーバーを活用する – ネットワークアクティビティを定期的に確認し、異常な動作を検出します。
 
  • 自動アラートを有効にして、ネットワークを常に監視します。セキュリティ侵害、ログイン試行、システムエラーなどのアクティビティログを有効にすることで、スイッチは不審な動作を即座に通知します。この「デジタル記録」により、脅威を早期に発見し、阻止することができます。
ファームウェアの更新と設定のバックアップ – スイッチソフトウェアを常に最新の状態に保ち、設定のバックアップを維持してください。
 
  • 隠れた脆弱性を修正するために、定期的にソフトウェアアップデートをインストールしてください。
  • 緊急時の迅速な復旧を確実にするため、設定の暗号化バックアップを維持してください。これらのバージョンを自動システムで保存することで、人為的ミスのリスクを排除できます。
ネットワークスイッチの物理的なセキュリティ対策 – 不正な物理的アクセスを防ぐため、スイッチを施錠された部屋やキャビネットに設置してください。
 
  • 許可された担当者のみが機器にアクセスできるよう、セキュリティバッジや生体認証ロックを使用してください。
  • デジタル防御を迂回できないよう、物理的なコンソールポートをセキュリティ対策してください。物理的なセキュリティ対策は不可欠です。なぜなら、直接アクセスされると、侵入者は他のすべてのネットワーク層保護を迂回できてしまう可能性があるからです。
これらのベストプラクティスに従うことで、ネットワークスイッチのセキュリティ、信頼性、そして回復力のあるネットワークのサポート能力を確保できます。
 

詳細はこちら:
このサポート記事は役に立ちましたか?
0 のうち 0 がこれが役に立ったと感じています

Linksys製品カスタマーサポート
営業時間:午前9時~午後5時(月曜日~金曜日)
サポートダイアル 03-6851-4359
オンラインチャット 英語・日本語対応
Reddit コミュニティを検索
Linksys(リンクシス)は1988年に米国カリフォルニア州で生まれ、インターネット黎明期より世界中のネット環境を支え続けている老舗ネットワーク機器の専業メーカーです。世界中のインターネットプロバイダに製品供給を行っており、世界累計出荷台数は2億5千万台を超えています。私たちは、お客様のプライバシーを最優先し、インターネット通信における安全・安心を提供します。
close button
Linksys
NowSupport
トップアイコンにスクロール