PR
[画像のクリックで拡大表示]

 ポート・セキュリティの基本的な知識を問う設問だ。ポート・セキュリティでは,インタフェースごとにあらかじめ通信を許可する端末のMACアドレスを指定する。このMACアドレスを「セキュアMACアドレス」と呼ぶ。セキュアMACアドレスは,インタフェースとセットで「セキュアMACアドレス・テーブル」というリストにまとめてスイッチ側に保存されている。

送信元MACアドレスをチェック

 スイッチはフレームの送信元MACアドレスとインタフェース(入力ポート)を見て,同じ組み合わせがセキュアMACアドレス・テーブルにあるかどうかを確認する。そして,セキュアMACアドレス・テーブルに載っていない組み合わせだった場合はフレームを廃棄する(図1)。以上から,問題の解答は選択肢dだとわかる。

図1●ポート・セキュリティの基本的な動作<br>ポート・セキュリティは,インタフェースごとに通信できる端末を制限する機能。スイッチが受信したフレームの送信元MACアドレスを基に制限をかける。スイッチにあらかじめ登録したインタフェースと送信元MACアドレスのリストに一致しないフレームは廃棄する。
図1●ポート・セキュリティの基本的な動作
ポート・セキュリティは,インタフェースごとに通信できる端末を制限する機能。スイッチが受信したフレームの送信元MACアドレスを基に制限をかける。スイッチにあらかじめ登録したインタフェースと送信元MACアドレスのリストに一致しないフレームは廃棄する。
[画像のクリックで拡大表示]

 しくみを知ると,ポート・セキュリティに対して過信は禁物だということも理解できるだろう。ポート・セキュリティはあくまで送信元MACアドレスを確認するだけだ。例えばセキュアMACアドレスを持つ端末が盗まれた場合,悪意ある第三者がその端末を使って社内LANに接続するのを防ぐことはできない。また,端末のMACアドレスを書き換えるといった手法で,フレームの送信元MACアドレスをセキュアMACアドレスに偽装されてしまった場合も対応できない。

 実際に企業ネットワークでポート・セキュリティを採用する場合は,こうした限界を理解したうえで利用することが重要だ。

Webサイトで確認!
スイッチング編 第6回 ポートセキュリティ