エンドポイントセキュリティソリューション

クラウドシステムやスマートフォンなどの普及に伴い、個人所有の端末を社内業務でも利用しようとするケースが増えています。
こうした動きは、社員の利便性、効率性が高まる反面、セキュリティリスクが高まることから、導入に躊躇する企業もまだまだ多いかと思います。
D-Linkのスイッチセキュリティでは、情報端末につながる前のエンドポイントの段階で、悪意あるサイバー攻撃から未然にネットワークを守るセキュリティ対策をご提案しています。

<<D-Linkのスイッチセキュリティ対策>>
① 不正ユーザのアクセスを制御する認証
② 中間者攻撃対策 (Man-in-the-Middleアタック)
③ トラフィックセグメンテーション機能を利用した
    ポート間セキュリティ
IoT

不正ユーザのアクセスを制御する認証

顧客や企業の情報を適切に管理するうえで、強固なアクセス制御を行うことが求められます。D-Linkではセキュリティ対策として多くのスイッチ製品に、以下の認証機能を備えています。

Compound / And認証 (802.1x認証、MACアドレス認証、Web認証)
同一ポート配下 (間に島HUBがあるような場合) に、802.1x認証、MACアドレス認証、Web認証の3つの認証を同時または段階に分けた認証が利用可能。

Compound / And認証

Compound認証
1ポートで複数認証方式(802.1x認証、MACアドレス認証、Web認証)を同時に有効にすることができる認証
And認証
1ポートで二段階認証方式(MACアドレス認証、Web認証)を有効にすることができる認証。
●第1段階:MACアドレス認証(デバイス認証)
●第2段階:Web認証(ユーザ認証)
の順に二段階で認証を行うことが可能。
※逆の順序で認証設定は不可。
認証フェイルオーバー機能
RADIUS認証サーバが故障、若しくはWAN回線故障による認証サーバとの疎通不可の場合に、認証フェイルオーバ機能を利用することで通信断を防ぐことができます。この機能により、ネットワーク障害があった場合でも、可能な限り業務への影響を軽減するネットワーク設計を行うことができます。

認証フェイルオーバー機能

①マルチRADIUSサーバ登録機能
認証スイッチに登録したRADIUSサーバを冗長化対応することができます (3台まで)。
②認証DBフェイルオーバ機能
RADIUSサーバ故障時に認証スイッチのローカルDBで認証することができます。
③認証バイパス機能
RADIUSサーバ故障時に認証なしでネットワークを利用することができます。
ダイナミック VLAN/ACL
D-Linkのスイッチは、RADIUSサーバでの認証後、クライアントごとに動的にユーザが所属するVLANやACL(アクセスコントロールリスト)を割り当てることが可能です。ダイナミックVLANやダイナミックACLは、ユーザに対し動的に適用できるため、ユーザは場所を選ばずにネットワークを使用することができます。

Dynamic VLAN/Dynamic ACL

ダイナミック VLAN
1.VLAN10のネットワークに所属するUser1がRADIUSサ
      ーバと認証。
2.認証後、RADIUSサーバは認証スイッチにVLAN情報を
      送付。
3.認証スイッチはクライアントをVLAN20のネットワー
      クに動的に割り当て。
4.User1はVLAN20のネットワークに所属した通信が可
      能。
ダイナミック ACL
1.各UserがRADIUSサーバと認証。
2.認証後、RADIUSサーバはACL情報を認証スイッチに
      送付。
3.認証スイッチはACL情報を動的に割り当て。
4.各Userはアクセス許可のある接続先と通信が可能。
      上図のアクセス権限のあるサーバAについては、User1
      のみ通信が可能。

中間者攻撃対策 (Man-in-the-Middleアタック)

中間者攻撃 (Man-in-the-Middleアタック) は、悪意あるユーザが不正な手段でユーザ間の通信に入り込み、存在を気づかれないように通信相手になりすまします。そして情報を自分に転送させることでネットワークを介して重要な情報を盗み出したり、悪意ある攻撃をしたりします。

D-Linkのスイッチ製品では、スイッチ内部のデータベースに、クライアントのIPアドレス、MACアドレス、収容ポート番号のデータベースを保持することで、IPアドレスを詐称するARPスプーフィングや不正DHCPサーバを使ったなりすましなど、悪意あるユーザからの攻撃を効果的に防御することができます。

ARPスプーフィング防止機能
ARPスプーフィングは、アドレス解決のために利用されているARPの仕組みを悪用し、攻撃者が自らを他のネットワーク利用者や、デフォルトゲートウェイのルータと宣言 (アドレスの詐称) をすることで、本来ネットワーク利用者とルータの間でやり取りされる通信を、強制的に攻撃者 (アドレス詐称者) 経由とし、通信の傍受や改ざんを行う攻撃です。

[ARPスプーフィング防止機能のメリット]
● ARPスプーフィングを防御することで、サービスの信頼性が向上
● 悪意のあるユーザのデータ盗難 (中間者攻撃) を防止

ARPスプーフィング防止機能

DHCPスヌーピング/DHCPサーバスクリーニングを利用したIP-MACポートバインディング機能
D-Linkのスイッチ製品では、IP-MAC-ポートバインディング機能だけでなく認証を併用した強固なアクセス制限が可能です。ここでは、DHCPスヌーピング/DHCPサーバスクリーニング機能を利用したIP-MACポートバインディング機能をご紹介します。

DHCPスヌーピングを利用したIP-MACポートバインディング機能

DHCPスヌーピング
DHCPサーバとDHCPクライアントのDHCPパケットのやりとりを監視し、DHCPサーバにより端末に割当てられたIPアドレスとその端末のMACアドレスが合致する場合にのみ通信を許可する機能です。
本機能により、DHCPサーバのなりすましや、固定IPを設定した端末からの通信を制限することができ、悪意のあるユーザからの攻撃を防ぐことができます。
DHCPサーバスクリーニング
スイッチにDHCPサーバの情報を登録し、指定ポートからの全てのDHCP サーバパケットをフィルタすることで、不正なDHCPサーバからアクセスを遮断します。
IP-MACポートバインディング
IPアドレスとMACアドレスの情報をスイッチ内部のデータベースに保存し、通信を許可するホワイトリストを自動で作成します。ホワイトリストに合致するIPアドレスとMACアドレスを持つパケットだけが、スイッチを経由した通信を許可されます。

トラフィックセグメンテーション機能を利用したポート間セキュリティ

トラフィックセグメンテーション機能は、(単一/複数) ポート間のトラフィックの流れを制限する機能です。本機能を利用したトラフィックフローの分割を行うことで「VLAN によるトラフィック制限」よりも詳細に制限を掛けることができ、ポート間のセキュリティを強化することができます。またマスタスイッチCPUのオーバヘッドを増加させないようにトラフィックを操作できます。

D-Linkでは、マンションやホテルなどで必須となるポート間セキュリティをL2スイッチで実現する方法として、3つの機能を用意しています。

ポート間セキュリティ(トラフィックセグメンテーション / アシンメトリックVLAN / プライベートVLAN)
トラフィックセグメンテーション
トラフィックセグメンテーション(Traffic Segmentation)機能は、VLANやACLを使用することなく、ユーザ間の通信を簡単に制御することができます。マンションやホテルなど、部屋間で直接通信をさせたくない場合などに利用することができます。
アシンメトリック VLAN
アシンメトリックVLAN(Asymmetric VLAN)機能は、異なるVLANに所属するユーザ間の通信を禁止しつつ、アップリンク側のVLANとの通信を許可することができます。

Traffic Segmentation&Asymmetric VLAN

プライベート VLAN
プライベートVLAN(Private VLAN)機能は、アイソレートVLAN(Isolate VLAN)に所属するユーザ間の通信を禁止しつつ、プライマリVLAN(Primary VLAN)との通信を許可することができます。

Private VLAN