ダウンロード

自己防衛型ネットワークを実現する Cisco Catalyst 統合セキュリティ

ホワイトペーパー

自己防衛型ネットワークを実現する Cisco Catalyst 統合セキュリティ

ネットワークセキュリティは、多くの企業や公共機関、商用ネットワークなどの管理者にとって重要な関心事項になっています。かつては「物理的なセキュリティ」が最大の問題でしたが、今ではインターネット上に毎週のように現れる新種のウイルス、ワーム、攻撃ツールなどが企業活動への大きなリスクとなっています。かつて、ネットワークセキュリティは、ネットワークとインターネットの間に設置するファイアウォールだけの問題としてとらえられていました。現在、ネットワーク管理者はネットワーク全体にエンドツーエンドでセキュリティを統合し、ネットワーク内のすべての場所とデバイスにセキュリティポリシーとセキュリティ機能を展開しようと考えています。ネットワークは Voice over IP（VoIP）などの IP 対応のアプリケーションやコミュニケーションシステムにとってクリティカルな統合ポイントとなりつつあるため、セキュリティはこれまで以上に重要になっています。そこで最初に検討する必要があるのは、スイッチングインフラストラクチャです。

シスコは、業界をリードするセキュリティ機能を Cisco® Catalyst® インテリジェントスイッチングポートフォリオに取り入れてきました。現在、LAN スイッチにユーザ識別機能を実装することは、LAN スイッチを購入する多くの企業から強く望まれる要件です。企業ネットワークにおけるスイッチングインフラストラクチャは、ネットワーク防御の最前線となります。これはLANスイッチが、各種デバイスがネットワークにアクセスする際の接続ポイントとなるため、ネットワーク攻撃を受ける場合も LAN スイッチがその最初のエントリポイントになるためです。

Cisco Catalyst 統合セキュリティには、シスコの自己防衛型ネットワークアーキテクチャを実現する 3 つのシステムが用意されています。

信頼性およびアイデンティティ管理 - ネットワーク管理者が、ネットワークに接続するユーザと各種デバイス、およびそれらに適用するポリシーを制御できるようにします。この機能には、802.1X などのアイデンティティベースのネットワーキングサービス、および Network Admission Control（NAC）などがあります。
脅威防御 - ネットワーク上のユーザまたはネットワークデバイスが攻撃された場合に、ネットワーク自身がそれらの攻撃を防御または緩和できるようにします。この機能には、コントロールプレーンのレートリミット、Access Control List（ACL; アクセス制御リスト）、man-in-the-middle 攻撃（中間者攻撃）の緩和、およびファイアウォール機能などがあります。
セキュアコネクティビティ - キャンパスネットワーク内またはインターネットを介して接続されたサイト間での通信のプライバシーを保護します。

この資料では、Cisco Catalyst 統合セキュリティについて紹介し、シスコがこれまでにキャンパス、ブランチ、およびデータセンターインフラストラクチャ向けに組み込んできた Cisco Catalyst 統合セキュリティの機能について説明します。

今日のセキュリティ上の課題

かつて、ネットワークはオープンユーティリティとして設計されました。ネットワークセキュリティは常に考慮されてきましたが、最優先の課題としてとらえられることはなく、多くの場合、物理的なセキュリティ（たとえば、ユーザがスイッチに近づかないようにする）のみに限定されていました。企業が自社のネットワークを使ってインターネットを利用し始めるようになると、最初の変化が現れました。企業のネットワークとインターネットが接続されたことにより、ネットワークユーザの可能性が大きく広がっただけでなく、悪意のある侵入者、ハッカー、またはデータ盗用者などがはびこる機会も大幅に増えました。ネットワークの境界部分を保護するファイアウォールとリソースへのアクセスを制御するポリシーは、アクセスとモビリティを適切に維持しながら内部のネットワークを保護します。巧妙化するワームやウイルスの出現により、このようなポリシーとデバイスだけでは対応しきれなくなっています。図 1 は、攻撃の特徴の変化を時系列に示しています。

図 1 過去、現在、および未来のセキュリティ攻撃
※ 画像をクリックすると、大きく表示されます。

これらの攻撃はスピードが速く、予測が困難であるため、各種製品とテクノロジーを組み合わせて、プロアクティブとリアクティブの両方の対応をシステム全体で実現する必要があります。第 1 に、このシステムは、在宅勤務者、キャンパス、およびデータセンターなどのネットワークのさまざまなレイヤで機能する必要があります。これらのレイヤは、巧妙な複合型の脅威に対処して、さまざまな攻撃の手段を防御する必要があります。第 2 に、ネットワークによるユーザ認証を可能にし、「Zero Hour」（攻撃が最初に実行される瞬間）に対応できるように、システムを自動化する必要があります。最後に、ネットワーク管理者が攻撃への組織的な対応を行うことができるように、ネットワークのあらゆる部分にシステムを完全に統合する必要があります。

スイッチングインフラストラクチャは、企業の総合的なセキュリティ戦略の要です。一般に、ネットワークの全体的なセキュリティについては「セキュリティ運用」管理者が担当しています。ただし、ネットワーク運用管理者もこれまで以上にセキュリティに関与せざるを得ないため、多くの場合、デバイスそのものへの脅威やネットワークに接続されている端末に仕掛けられる攻撃に神経をとがらせることになります。これらのデバイスはネットワーク運用管理下のスイッチ、ルータ、および端末に影響を与えるため、セキュリティはネットワークにおける重要な課題になっています。企業の LAN の管理者は、スイッチとスイッチに接続するユーザを保護するセキュリティ機能がデバイスに最初から実装されることを望んでいます。図 2 に示すように、自己防衛型ネットワークは主要な 3 つのシステムで構成されています。

図 2 自己防衛型ネットワークのフレームワーク

では、これらのシステムはどのような脅威を防御するのでしょうか。ほとんどの人は、E メールを通じて受信するウイルスについてはよく知っています。また、攻撃によって甚大な被害を受ける企業の話もよく耳にします。しかし、セキュリティ上の脅威はそれらよりもはるかにたちの悪いものです。

侵入者 - 侵入者は本物の社員の後ろについて、建物の物理的なセキュリティを突破します。侵入者は建物の内部でネットワークへの接続、機密情報のダウンロード、または攻撃などを行います。
ノート型パソコンへの感染 - ノート型パソコンの普及と、それらが接続するネットワークの多様化によって、短期間で感染が広がってきています。パブリックネットワークに接続していたノート型パソコンを企業のネットワークに接続すると、気付かないうちにウイルスやワームの被害を広げてしまう場合があります。ワームが広がると、ネットワークは深刻な影響を受ける可能性があります。
不正なデバイス - 多くのユーザは、セキュリティホールが開いたままのデバイスをネットワークに接続する可能性があります。代表的な例は、セキュリティ保護のされていないワイヤレスアクセスポイントです。これにより、アクセスポイントの範囲内でワイヤレスデバイスを持っていれば誰でも企業ネットワークにアクセスできます。
大規模感染 - Denial of Service（DoS）攻撃は、ネットワークに過剰なトラフィックを送りつけて、ネットワークデバイスが正規のネットワーク要求やトラフィックに応答できないようにします。
不満を持つ社員（man-in-the-middle 攻撃、あるいは中間者攻撃ともいう）- 悪意のあるユーザ（社員）が一般に入手可能なソフトウェアを使って、他の社員のデータ（IP フォンの通話やパスワードなど）を「スパイ」します。この攻撃には、Dynamic Host Configuration Protocol（DHCP）スプーフィング、IP スプーフィング、および Address Resolution Protocol（ARP）ポイズニングなどがあります。

Cisco Catalyst のハードウェアおよびソフトウェアに組み込まれたセキュリティメカニズムには、これらの攻撃から保護するツールが用意されているため、攻撃を防止したり、既に攻撃が進行中の場合には、攻撃を素早く緩和したりすることができます。

信頼性およびアイデンティティ管理システム

キャンパスまたはブランチのインフラストラクチャを防御するためにまずすべきことは、ネットワークにアクセスしているユーザまたはデバイスの特定、ユーザがアクセスできるリソースの決定、およびデバイスの状態の把握です。侵入者だけでなく、キャンパスやブランチオフィスでのワイヤレスネットワーキングの急速な普及が、ネットワーク管理者のセキュリティ上の新たな課題になっています。これは、悪意のあるユーザや通りがかりのユーザが、たとえば駐車場のような場所からネットワークにアクセスする可能性があるためです。このような不正ユーザは、ネットワークの帯域幅を勝手に使用するだけの場合もありますが、最悪の場合には、攻撃を行ったり、他のユーザをスパイしたりする場合もあります。また、企業では、サプライヤ、パートナー、およびカスタマーとの相互接続が大規模に行われています。サプライヤ、パートナー、およびカスタマーは効率化を図るために企業ネットワークにアクセスする必要があるかもしれませんが、いずれに対してもネットワーク全体のアクセスを許可するわけにはいきません。シスコは、スイッチドネットワーク内で信頼性およびアイデンティティ管理を維持するのに役立つ幅広い機能を提供しています。

信頼性およびアイデンティティ管理は、次の 2 つの基本的なコンポートネントで構成されています。

IBNS（Identity Based Networking Services） - ネットワークへの物理アクセスを許可する前に、ネットワークユーザまたはデバイスの証明書の識別と検証を行います。IBNS を使用すると、適切なネットワークリソースにアクセスさせることができます。
NAC（Network Admission Control） - デバイスの状態（または適合性）を識別して、必要以上の危険を伴うことなく、デバイスがネットワークに接続できるようにします。

信頼性およびアイデンティティ管理システムは、ネットワークアクセスとポリシーコントロールの基盤を提供します。図 3 は、信頼性およびアイデンティティ管理システムのさまざまな段階を示しています。

IBNS（Identity Based Networking Services）

大半の企業では、サーバや E メールなどのリソースにアクセスする場合、ユーザはネットワークにログインする必要があります。IBNS はこれと同じ原則を使用します。たとえて言うと、IBNS はパスポートと航空会社のマイレージカードの両方を持っているのと似ています。パスポートは個人のアイデンティティを証明（通常、セキュリティの運用に使用）するもので、マイレージカードは個人の待遇（通常、ネットワークの運用に使用）を示すものです。この機能には、次のような明確な利点があります。第 1 に、スイッチドネットワークは防御の最前線であるため、IBNS はユーザがネットワークへログオンするのを許可または拒否することによって、基本的な防御の最前線の第 1 段階を実現します。第 2 に、ネットワーク内の場所に関係なく、事前に定義されたポリシーに従ってユーザを扱うことができます。最後に、一部のネットワークアーキテクチャにおいて、ユーザのアイデンティティを特定のワークグループや VPN にマッピングして、他のワークグループと分離することができます。

IEEE 802.1X

IBNS の最初の段階は IEEE 802.1X プロトコルです。これは、Cisco Secure ACS などの RADIUS サーバと通信する MAC レイヤプロトコルで、エンドステーションとユーザ名およびパスワードをマッピングします。802.1X 規格は、エンドステーションと RADIUS サーバとの間で動作します。これはエンドステーションプロトコルであるため、アイデンティティ対応ネットワークが機能するのは、OS（オペレーティングシステム）が 802.1X をサポートしている場合に限られます。Windows XP、2000、NT、および Mac OS などの大半の OS はこの機能をサポートしています（これらの OS 以外もサポートしている場合があります）。スイッチはトランザクションのインテリジェントな仲介役として機能し、認証プロセスが正常に完了するとポートを有効にします。実際に使用される認証方式は、Extensible Authentication Protocol（EAP）と呼ばれます。EAP は 802.1X フレームで運ばれ、スイッチドインフラストラクチャによってネットワークを通過して、認証サーバに送信されます。

スイッチは、エンドステーションが接続されるとすぐに、エンドステーションにログイン証明書を要求します。クライアントが 802.1X をサポートしている場合、エンドステーションは証明書を返送し、スイッチはその情報を Cisco Secure ACS へフォワーディングを行います。クライアントが 802.1X をサポートしていない場合、またはクライアントが認証を行わない場合には、クライアントを「ゲスト VLAN」（後述）に割り当てることができます。認証が正常に完了すると、スイッチはポートを完全に有効にして、ネットワーク上のリソースへのアクセスを可能にします。ネットワークは Cisco Secure ACS が提供する情報に基づいて他のポリシーを有効にすることもできます。

管理用の VLAN 割り当て

ユーザが属する VLAN 名は、IBNS で最初に実行できるポリシーの 1 つです。仮に、John Smith がマーケティング部門に勤務する認証済みユーザだとします。認証後、Cisco Secure ACS サーバは、ユーザが属する VLAN 名（VLAN Marketing）をスイッチに返します。スイッチはこの VLAN 名を事前に定義された VLAN 番号にマッピングします。この機能は、ネットワーク管理者がネットワークユーザのトラッキングやアカウンティングを行う場合に役立ちます。これは、企業内で特定の VLAN 番号が特定のユーザに追随するという意味ではありません（この場合、スパニングツリードメインが複雑になり、VLAN 管理が非常に困難になります）。提供されるのは設定済みの VLAN 名だけです。

セグメント化

アイデンティティに基づいてユーザを異なるワークグループや VLAN にセグメント化できることは、IBNS の特徴の 1 つです。たとえばある企業で、来訪者が建物内でノート型パソコンをネットワークに接続し、E メールをリモートからダウンロードする場合を考えます。当然のことながら、この企業は来訪者に機密情報を利用されたくありません。このような場合に、ゲスト VLAN を利用します。デフォルトでは、Cisco Secure ACS サーバはこれらの来訪者を認証しません。認証されなかった来訪者は、たとえば、インターネットだけにアクセスできるセグメント化された VLAN に配置します。このようにすると、来訪者向けにインターネットへのアクセスを提供しながら、企業のネットワークを不正アクセスから保護できます。

セキュリティは、求められる分割の度合いやセキュリティに応じて、幅広く使用されます。共通の IP インフラストラクチャ上に数多くの異なるワークグループが存在する場合、アイデンティティに基づいたセグメント化は安全な VPN を実現する上で非常に有効です。たとえば、社員のほかに数多くの受託業者やサプライヤが働いている大企業の場合を想像してください。多くの場合、ネットワーク管理者はそれぞれのグループ（受託業者、サプライヤ、および従業員）に対して、異なるネットワークアクセス、異なる Quality of Service（QoS; サービス品質）ポリシー、または異なるパフォーマンスレベルを適用しようと考えます。また、たとえば、共通のインフラストラクチャ（ゲートや発券カウンタなど）と共通の IP ネットワークを使用する空港設備の場合はどうでしょうか。ネットワークは、アイデンティティに基づいてユナイテッド航空の社員とアメリカン航空の社員を区別し、個別の安全なワークグループに従ってそれぞれの社員にアクセスを提供できます。

また、セグメント化は、共通のバックボーン上での伝送とも深く関わっています。ネットワーク全体が単一スイッチ上で稼働するケースは稀であるため、セグメント化されたデータの安全な伝送が重要になります。この点については、この資料の「セキュアコネクティビティシステム」のセクションで詳しく説明します。

NAC（Network Admission Control）

ネットワークアクセスを許可する前にユーザのアイデンティティを確認することは、信頼性およびアイデンティティ管理システムの重要な要素です。ただし、ユーザの識別によって解決されるのは問題の一部分にすぎません。全体的なセキュリティポリシーに基づいてユーザのネットワークアクセスが許可されても、ユーザが使用しているコンピュータ自身をネットワークに接続することが好ましくない場合があります。これは、ネットワーク運用上の問題です。このような問題はどうして起きるのでしょうか。ノート型パソコンの普及によって、ユーザがコンピュータをどこにでも持ち運べるようになったことは、ユーザの生産性向上に貢献しています。その一方で、さまざまな場所で使用するノート型パソコンは、ウイルスやワームに感染する危険性が高く、気付かないうちに企業ネットワークにウイルスやワームを持ち込んでしまう可能性があります。

NAC はシスコの自己防衛型ネットワークの重要な要素です。IBNS はユーザのアイデンティティを確認し、NAC はデバイスの「状態」を識別します。スイッチングプラットフォーム上で NAC は Cisco Trust Agent と連携して 1 つのシステムとして動作します。Cisco Trust Agent は、複数のセキュリティソフトウェアクライアント（ウイルス対策ソフトウェアクライアントなど）からセキュリティ状態に関する情報を収集し、この情報をアクセス制御の判断を行うシスコ製のネットワークデバイスに送信します。また、アプリケーションや OS の状態（ウイルス対策ソフトウェアおよび OS のパッチレベルや証明書など）を使用すると、ネットワークアクセスの可否を適切に判断できます。シスコとのアライアンスを持つ NAC パートナーは、Cisco Trust Agent と各社のセキュリティソフトウェアクライアントを統合する予定です。シスコは McAfee Security、Symantec、Trend Micro、および IBM などのベンダーと提携して、Cisco Trust Agent と各社のウイルス対策ソフトウェアとの統合に取り組んでいます。

スイッチは Cisco Trust Agent からホストの証明書を要求して、ネットワークのアドミッション制御の判断を行うポリシーサーバへこの情報をフォワードします。ネットワークは、カスタマーが定義したポリシーに基づいて、アドミッション制御の判断（許可、拒否、検疫、または制限）を適切に実行します。エッジスイッチには、スイッチに返されるポリシーに基づいて、ACL が自動的に設定されます。クライアントが正しく認証を行わない場合、クライアントのウイルス対策ソフトウェアやクライアントベースのセキュリティエージェントを更新できるように、クライアントを「検疫 VLAN」に入れることができます。802.1X 認証に基づいてポートを有効にすることは可能ですが、デバイスが「安全」であるとは見なされないため、制限または拒否されることになります。

ポリシーサーバは、ネットワークデバイスからフォワードされたエンドポイントのセキュリティ情報を評価して、適用するアクセスポリシーを判断します。Authentication, Authorization, Accounting（AAA; 認証、許可、アカウンティング）RADIUS サーバである Cisco Secure ACS サーバは、ポリシーサーバシステムの基盤になります。Cisco Secure ACS サーバは、NAC スポンサーのアプリケーションサーバ（ウイルス対策のポリシーサーバなど）と連携して、証明書のより詳細な検証を行うことができます。

シスコの信頼性およびアイデンティティ管理システムの使用

信頼性およびアイデンティティ管理システムの各種コンポーネントは互いに連携して、ネットワークにおけるアクセス制御とポリシーコントロールの基盤として機能します。図 3 は、信頼性およびアイデンティティ管理システムのさまざまな段階を示しています。

図 3 信頼性およびアイデンティティ管理システム
※ 画像をクリックすると、大きく表示されます。

脅威防御システム

脅威防御システムでは、侵入や攻撃が行われた場合にネットワークを復旧するだけでなく、ネットワークを攻撃から保護することができます。スイッチは攻撃の対象になる可能性があり、ユーザとサーバを接続しているために、図らずも攻撃のために一役買ってしまう場合があります。このため、スイッチングインフラストラクチャは、脅威防御システムにおける重要な役割を担っています。Cisco Catalyst スイッチは、スイッチおよびスイッチに接続しているユーザを保護するための重要な機能を提供します。

スイッチのコンフィギュレーションと制御パケットの保護

まず、スイッチ自体が攻撃の被害を受ける可能性があります。スイッチに対する攻撃には、スイッチにアクセスしてコンフィギュレーションを変更しようとするハッカー、MAC フォワーディングテーブルやレイヤ 3 フローテーブルをフラッディングさせるワーム、またはルーティングアップデートやスパニングツリーの Bridge Protocol Data Unit（BPDU; ブリッジプロトコルデータユニット）などの制御情報の不正操作、といった多様な形態があります。Cisco Catalyst スイッチのハードウェアおよびソフトウェアには、自己防衛型ネットワークを実現するためのメカニズムが内蔵されています。

リモートアクセスの保護

通常、ネットワーク管理者は、デバイスをリモートから設定する必要があります。デバイスのリモート管理には、複数のスイッチを 1 つの場所でまとめて設定できるという明確な利点があります。ネットワーク管理者が設定作業を行う端末からスイッチ宛てに送信されるトラフィックは、盗聴されてパスワードを盗まれたり、不正に利用されたりする可能性があります。機密保護のためにトラフィックを暗号化することは、セキュリティに不可欠な機能の一つです。この機能は、Secure Shell（SSH; セキュアシェル）プロトコルを使って行われます。SSH を使用すると、セキュリティ保護の行われていないネットワークを経由した安全なリモート接続を実現できます。暗号化されたトンネルを通じてデータを送信し、データ伝送を保護して、データの完全性を確保します。両端でユーザの認証を行い、ファイルのフォワーディングやコピーのセキュリティを確保します。この機能には、man-in-the-middle 攻撃を緩和して、重要な管理情報を保護するという利点があります。

スイッチのコンフィギュレーションの変更

スイッチのコンフィギュレーションの変更は、インフラストラクチャに対する基本的な攻撃の 1 つです。悪意のあるユーザは、パスワードを盗用してスイッチにアクセスし、コンフィギュレーションの変更を行います。変更は単純なもの（たとえば、100 Mbps から 1000 Mbps への変更）から、影響の大きなもの（ルーティングテーブルなどの制御情報の変更など）までさまざまです。Cisco Catalyst ファミリには、デバイス自体へのアクセスを防ぐために、暗号化パスワードや複数レベルのアカウント権限が用意されています。この機能を使用すると、IT 部門内でもアクセスを階層化することができます。これにより、スイッチのすべてのコンフィギュレーションにアクセスできるのは、限られた人だけになります。この機能は、信頼性およびアイデンティティ管理を実現する RADIUS および TACACS+認証と組み合わせて使用されます。この機能は、通常、スイッチ保護の第 1 段階です。

制御情報のスプーフィング

攻撃者が制御情報をスプーフィングして、ネットワークに送りつける攻撃も一般的です。ルーティングアップデートやスパニングツリーの BPDU などの制御情報は、ネットワークの運用にとってクリティカルなものです。これらのプロトコルは、ネットワークを正常に機能させるループのない確定的な動作を保証します。スイッチは、これらの制御パケットを受信すると、そのまま応答してしまいます。この結果、スイッチはネットワークが存在しないインターフェイスにネットワークが存在していると認識したり、スパニングツリーのルートブリッジがもう 1 つ存在していると認識したりして、ネットワークの動作に深刻な影響が生じる可能性があります。

ルーティング情報のスプーフィングを防ぐために、Cisco Catalyst のレイヤ 3 スイッチは Message Digest Algorithm 5（MD5）ルーティング認証を使用します。MD5 は、近接するレイヤ 3 スイッチまたはルータ間のルーティングアップデートが情報を交換する際に用いられるプロトコルです。MD5 を使用すると、関係する 2 つのルーティングピア間のみでのメッセージを交換および確認することができます。ネットワークに送り込まれるその他のルートは無視されるため、ネットワークのルーティングの安定性は損なわれません。

スパニングツリーには、レイヤ 3 ルーティングプロトコルが持つインテリジェントな機能がありません。そのため、スパニングツリーネットワークには、故意または過失による混乱が比較的発生し易くなっています。たとえば、複数の PC を使用しているユーザが、スイッチを使用して PC を相互に接続しているとします。このとき、「私がルートブリッジです」というメッセージを持つ BPDU を PC からネットワークに送信できます。このような制御情報を送信されると、不具合が発生した場合のトラブルシューティングが困難になります。最悪の場合、スイッチドネットワークが不安定になり、レイヤ 2 ドメイン内のすべてのユーザが影響を受けます。

このような事態を防ぐために、シスコは Spanning-Tree Protocol（STP; スパニングツリープロトコル）のさまざまな拡張機能を開発してきました。そのため、ポートは BPDU を受け入れるようにすることも、受け入れないようにすることもできるようになりました。ポートに接続されているデバイスが不正な BPDU をネットワークに送信すると、そのポートは無効になります。この機能は、ユーザと直接接続されているインターフェイスで最も役立ちます。ルートガードをポート単位で有効に設定すると、ルートブリッジを正しい状態に維持できます。ルートガードが有効に設定されているポートは指定ポートになります。つまり、周囲のスイッチがルートブリッジになることはできません。この機能は、レイヤ 2 ネットワークの予期しない再コンバージェンスを防止します。

スイッチプロセッサおよびフォワーディングテーブルに対する攻撃

通常、ワームやウイルスによって行われる DoS 攻撃は、ネットワークインフラストラクチャに対して実行されます。DoS 攻撃を受けると、スイッチはアドレスを学習したり、制御情報を処理したりできなくなるため、ネットワークの動作が非常に不安定になります。このような攻撃は、企業ネットワークや商用ネットワークが最も頻繁に受ける攻撃の 1 つで、非常に大きな影響を与えます。400 社に対して実施された「2003 CSI/FBI Computer Crime and Security Survey」によると、参加企業のうち 90%を越える企業がセキュリティ違反の経験があると回答しています。これらの企業の損失額の合計は、2 億ドルを越えています。また、ワームは非常に短時間のうちに感染が広がる場合があります。たとえば、最近の Structured Query Language（SQL）Slammer ワームは 8.5 秒ごとに感染数が 2 倍に増えました。Slammer ワームは、3 分間の間に、毎秒 5500 万ものスキャンを実行したため、1 Gbps のリンクがわずか 1 分間で停止してしまいました。

スイッチに影響を与える方法は攻撃によって異なるため、このような攻撃を防止および緩和するためにさまざまなツールが用意されています。基本的に、この種の攻撃はネットワークに偽のトラフィックを大量に送りつけて、スイッチが処理すべき正規のトラフィック（ルーティングアップデート、未知の MAC アドレス、またはスパニングツリーの BPDU など）を締め出します。この種の攻撃を阻止するには、Cisco Catalyst の特定の機能を使用します（表 1 のサマリーを参照）。この種の攻撃と緩和についての特徴は、以下に詳しく説明します。

表 1 スイッチに対する攻撃の緩和

ワームまたはウイルスの動作	問題を解決するための Cisco Catalyst の機能
ネットワークリンクのフラッディング	QoS のスカベンジャクラス
CAM テーブルのフラッディング	ポートセキュリティ
レイヤ 3 フローキャッシュのフラッディング	CEF
スイッチ CPU のフラッディング	コントロールプレーンのレートリミット

偽のトラフィックによるネットワークのフラッディング

DoS 攻撃やワーム攻撃によるネットワークリンクのフラッディングによって、デバイスバッファやスイッチ間のイーサネットリンクがいっぱいになる場合があります。この場合、音声品質が損なわれたり、アプリケーションの「goodput（使用可能なスループット）」（「goodput」とは、アプリケーションが実際に達成するスループットで、スイッチの本来のスループットではありません）が大幅に低下する可能性があります。これらのワームの多くは、さまざまな TCP または UDP フローを使用してネットワークをスキャンします。このため、ネットワーク上に大量のデータが生成されます。次のセクションでは、過剰なフローによって引き起こされる不具合とソリューションについて説明します。リンク輻輳の問題は、1 つのフローによって引き起こされる訳ではないため、リンク上のすべてのフローを制限する必要があります。この問題を緩和して、リンクを保護するには、Cisco Catalyst の QoS スカベンジャクラスを使用します。

QoS は信頼境界を設定するインテリジェントな配信システムで、トラフィックの分類とポリシーに基づいた優先制御を行います。この機能を使用すると、ネットワーク管理者は、設定可能な配送要件に基づいたスケジューリングと通信だけでなく、必要に応じて、レート管理と特定のトラフィックタイプの再分類を行うことができます。本来、スカベンジャクラスは、特定のアプリケーションに対して差別化サービス（ベストエフォート以下のサービス）を提供するためのものです。ベストエフォート型トラフィックの場合、少なくともある程度のネットワークリソースが利用できるように最善をつくすという意味があります。しかし差別化サービスモデルでは、最善をつくすことは想定されていません。システムのトラフィックレートが異常に高い場合は、スカベンジャクラスサービスを用いて、そのトラフィックの優先度を引き下げます。

このソリューションでは、Cisco Catalyst スイッチにおいて 1 ポートあたり複数のキューを設定します。ワームによる攻撃が行われると、1 つのエンドステーションからネットワークに対して大量のトラフィックが送信されます。このトラフィックは、スカベンジャクラストラフィックの判別基準などの各種の定義済みポリシーと比較されます。スカベンジャクラストラフィックは、一定時間以上、事前に定義されたスレッシュホールドを越えてバーストまたは送信され続けるトラフィック（正常に機能しているエンドステーションの動作とは異なるもの）として定義されます。このような動作も、初回検出時は、正規のバーストの可能性があるため、パケット廃棄されることはありません。しかし、1つのポート上でしきい値を越えるユーザトラフィックが長時間にわたって持続することはあり得ません。そこで、このような現象が起こると、該当トラフィックは「スカベンジャ」と判断されて、優先度の最も低いキューに入れられます。このキューは容量の少ない設定になっているため、キューのオーバーフロー（テールドロップ）が頻繁に発生します。TCP ベースのフローは抑制され、UDP フローは廃棄されます。このようにして、音声トラフィックやその他のトラフィック（正規のベストエフォート型トラフィック）が保護されます。

スイッチのレイヤ 2 フォワーディングテーブルのフラッディング

レイヤ 2 フォワーディングテーブル（CAM テーブルともいう）は、MAC アドレスに基づいてスイッチのフォワーディングテーブルを作成します。スイッチやブリッジは、このような方法で、レイヤ 2 におけるフォワーディング、フィルタリング、およびラーニングメカニズムを実行します。ただし、テーブルのスペースは限られています。この種の攻撃は、スイッチに偽の MAC アドレスを学習させて、CAMテーブルをオーバーフローさせます。スイッチは、CAMテーブルが満杯になるとそれ以上のアドレスを学習できなくなるため、これらの学習できなかったアドレスから送信されるデータはレイヤ2 VLANドメインに向けてフラッディングされます。これは、レイヤ 2 スイッチの標準的な動作ですが、ネットワークおよびエンドステーションのパフォーマンスが低下する原因になる場合があります。

この種の攻撃を防ぐために、Cisco Catalyst スイッチにはポートセキュリティ機能が用意されています。この機能は、特定のポートで学習可能な MAC アドレスの数を制限します。スイッチに着信するアドレスが増えると、Cisco Catalyst スイッチはこれらのポートをエラーディセーブルモードにして、攻撃に備えてネットワークを保護します。この機能を使用すると、特定のポートで少数の MAC アドレスだけが学習されるようにして、その他のアドレスが学習されるとポートをロックダウンすることができます。このようにすると、攻撃はただちに抑制されます。この他に、ブロードキャスト抑制（ストーム制御）の機能も利用できます。この機能では、インターフェイスがネットワークに送信できるブロードキャストまたはマルチキャストパケット数のスレッシュホールドが設定されます。設定したスレッシュホールドを越えると、そのパケットは廃棄されます。

スイッチのレイヤ 3 フローテーブルのフラッディング

フローは、送信元および宛先 IP アドレス間、または対応する TCP または UDP ポート番号間のレイヤ 3 接続を意味します。多くのワームは送信元および宛先の IP、TCP、または UDP をさまざまに変更するため、スイッチは無数のフローを新しく学習しなければならなくなります。多くのスイッチアーキテクチャはフローベースのアーキテクチャであるため、特定のフロー内のパケットを CPU（ルートプロセッサ）に送って、ルーティングテーブルと照合する必要があります。ルーティングテーブルとの照合が済むと、そのフローエントリはハードウェアのフォワーディングテーブルにキャッシュされるため、高速スイッチングが可能になります。この種の攻撃は、この「最初のパケット処理」を悪用します。IP、TCP、または UDP がさまざまに変更されると、スイッチの CPU が過負荷になって機能しなくなる可能性があります。この場合、正規のフローはスイッチングまたは学習されなくなるため、ルーテッドネットワークは大きな影響を受ける可能性があります。このような作用を持つ最近のワームには、Code Red、Slammer、および Witty があります。

Cisco Catalyst スイッチは、ネットワークのトラフィックではなく、トポロジーに基づいた Cisco Express Forwarding（CEF）というスイッチング方式を使用します。ルーティングテーブルはルーティングプロトコル（Open Shortest Path First [OSPF] や Enhanced Interior Gateway Routing Protocol [EIGRP] など）によって読み込まれ、ハードウェアベースのテーブルはネットワークプレフィクスに基づいて読み込まれます。たとえば、インターフェイス GigabitEthernet 0/1 には、IP 宛先アドレス 192.24.20.25 ではなく、ネットワーク 192.24.20.0/24 が読み込まれます。この機能は、もともとルートフラップに対するネットワークの回復力を向上させるために設計されたものですが、ワーム攻撃対策にもそのまま適用できます。CEF はネットワーク内のフローには関与しないため、レイヤ 3 フォワーディングテーブルが影響を受けることはありません。CEF を QoS スカベンジャクラスと組み合わせて使用すると、ネットワークにおけるワームの影響を軽減することができます。

スイッチ CPU への攻撃

スイッチのフォワーディングテーブルに対する攻撃に加えて、デバイスの CPU そのものを攻撃するために、Address Resolution Protocol（ARP）パケットなどの制御情報が CPU に送信される場合があります。CPU の処理能力は限られているため、CPU が過負荷になって、ルーティングアップデートや BPDU などの実際の制御パケットが廃棄されてしまう可能性があります。多くのネットワーク管理者は、CPU の使用率が 100%になると、デバイスやネットワークの動作が不安定になることをよく知っています。

Cisco Catalyst 6500 は、コントロールプレーンのレートリミットをサポートしています。これは、CPU に送信可能なパケットのレートを制限する機能です。通常の動作では、ソフトウェアベースの機能が有効になっていない限り、大量のトラフィックが CPU に送信されることはまずあり得ません。特に、この種の攻撃で使用されるトラフィックが通常の動作時に高いデータレートで CPU に送信されることはほとんどあり得ません。この種のパケットには、Internet Control Message Protocol（ICMP）unreachable、ICMP redirect、CEF no route（ルートなし）、Time To Live（TTL）障害、および入力/出力 ACL などがあります。CPU に対してこの種のパケットに対するレートリミットを有効にすると、一定レートを超えるパケットは廃棄されるため、CPU は悪意のあるパケットを確実に処理（通常は廃棄）できます。この機能を使用すると、攻撃を受けている最中でも、CPU は正常なシステムタスクの処理を継続できます。

Cisco Catalyst 4500 シリーズは、CPU に複数のキューを提供する CPU QoS を使用して同様の機能をサポートしています。各キューは CPU に合わせて一定量の帯域幅を受け取ります。これは、ラウンドロビンスケジューラによって管理されます。この機能は特定のトラフィックタイプに使用できる帯域幅を制限するため、特定のキュー（または、トラフィックタイプ）によってプロセッサが過負荷になるのを防ぐことができます。正常な動作の場合、これらのキューはすべての制御パケットを処理するのに十分です。また、Address Resolution Protocol（ARP）および DHCP パケットにレートリミッタを適用すると、Cisco Catalyst 4500 の CPU に対して攻撃が行われた場合でも、優先トラフィックの処理を継続できます。

エンドデバイスの保護

Cisco Catalyst スイッチは、デバイスそのものを保護するだけではなく、デバイスに接続されているユーザとサーバも保護する必要があります。ネットワークを混乱させる攻撃とは異なり、ユーザやサーバを対象にした攻撃は検出されない場合があります。このような攻撃（man-in-the-middle 攻撃あるいは中間者攻撃と呼ばれるもの）では、インターネットからダウンロードできる一般的なツールが使用されます。これらのツールでは、悪意のあるユーザが他の社員、マネージャ、または経営幹部をスパイするのに利用できるさまざまな仕組みが使用されています。このため、機密情報が盗用されたり、プライバシーが侵害されたりする可能性があります。

前述の「2003 CSI/FBI Computer Crime and Security Survey」によると、この種の攻撃による損失額は 7000 万ドルを越えており、75%の回答企業が、不満を持った社員によるインサイダー攻撃がありえるとしています。また、ネットワークから機密データが盗み出された場合、新たなプライバシー保護規制によって厳しい罰則が科せられる可能性があります。たとえば、米国の Health Insurance Portability and Accountability Act（HIPAA; 医療情報の保護に関する法律）は、健康に関する電子的な機密情報のセキュリティが破られた場合の罰則として、セキュリティ事件 1 件につき、25 万ドル以下の罰金および 5 年以内の懲役を科しています。Cisco Catalyst スイッチには、この種の攻撃を緩和して、データとユーザを保護するさまざまな機能が用意されています。

表 2 man-in-the-middle 攻撃と解決策

攻撃	問題を解決するための Cisco Catalyst の機能
DHCP サーバのスプーフィング	DHCP スヌーピングおよびポートセキュリティ
デフォルトゲートウェイのスプーフィング	DAI
IP アドレスのスプーフィング	IP ソースガード

DHCP サーバのスプーフィング

偽のアドレスやデフォルトゲートウェイの情報を送信する DHCP サーバのスプーフィングは、ハッカーがスイッチドネットワークをコントロールする最適な手段の一つです（ユーザが誤って DHCP サーバを起動し、他のユーザにアドレスの提供を始める場合のように、同様の現象が誤って起こる場合も注意が必要です）。DHCP サーバのスプーフィングが行われると、DHCP アドレス要求を送信するユーザは実際には DHCP サーバと通信せず、悪意のあるユーザからアドレスを受け取ります。これは、悪意のあるユーザが情報に不正にアクセスするための第一のステップです。

この種の攻撃を防ぐには、まず DHCP スヌーピングを使用します。Cisco Catalyst スイッチで DHCP スヌーピングを使用すると、スイッチ上で DHCP 要求以外の DHCP 情報を処理できるポートを制限できます。この機能は、信頼できるポート（DHCP 要求と確認応答を送信できる）と信頼できないポート（DHCP 要求のみのフォワーディングを行う）を定義します。信頼できるポートは、DHCP サーバそのものかスイッチドポートに接続されているポートのいずれかとみなされます。たとえば、スイッチを他のネットワークと接続するアップリンクなどの場合です。悪意のあるユーザが DHCP 確認応答（ACK）パケットをネットワークに送信すると、このポートはシャットダウンします。この機能を使用すると、スイッチには、クライアントの MAC アドレス、IP アドレス、VLAN、およびポート ID をマッピングした DHCP バインディングテーブルが作成されます。このテーブルは、その他の攻撃を防ぐ Cisco Catalyst の機能の基礎にもなります。

この機能と DHCP Option 82 を組み合わせると、スイッチはそのスイッチに関する情報を DHCP パケットに組み込むことができます。組み込まれる情報のうち最も一般的なものは、DHCP 要求の物理ポート ID です。この機能を使用すると、ネットワークのインテリジェンスが大幅に向上して、不正なデバイスやサーバが接続されるのを防ぐことができます。

Gratuitous ARP パケットを使用したスプーフィングの識別

エンドステーションはデフォルトゲートウェイの MAC アドレスを検出するために ARP パケットを送信し、ゲートウェイの IP アドレスと MAC アドレスをマッピングします。これは、IP ネットワークの正常な動作です。ただし、ARP にはルータやエンドステーションが不必要な ARP を送信できるというセキュリティホールがあります。この不必要なARPの偽装送信による攻撃を、一般に ARP ポイズニングと呼びます。悪意のあるユーザは、偽装 ARP を送信することによって、デフォルトゲートウェイやネットワーク内の他のデバイスになりすまし、ユーザと本物のデフォルトゲートウェイの間に忍び込みます。この操作を行うと、悪意のあるユーザは、正規ユーザとデフォルトゲートウェイの間に入り込み、そのユーザがネットワーク上に送信するすべてのデータをスパイできます。問題は、デフォルトゲートウェイも正規のエンドユーザも、この種の攻撃が行われていることに気付かないことです。このため、悪意のあるユーザは自由に機密情報のスパイ活動を続けることができるため、この間にパスワード、E メールメッセージ、およびトランザクションなどに不正にアクセスされる可能性があります。

Cisco Catalyst スイッチは、この攻撃を抑制する Dynamic ARP Inspection（DAI; ダイナミック ARP 検査）という機能を備えています。DAI は、DHCP スヌーピングと同様に、信頼できるポートと信頼できないポートという概念を使用して、検査すべき ARP パケットを特定します。このため、DAI はすべての ARP パケットを代行受信して、MAC アドレスと IP アドレスのバインディングが正しいかどうかを検査します。この処理には、DHCP スヌーピングを有効にしたときに作成される DHCP バインディングテーブルが使用されます。ARP パケットが信頼できるポートに到着すると、検査は行われませんが、信頼できないポートに到着した場合には、ARP が検査されて、DHCP バインディングテーブルと比較されます。

仮に、IP アドレス 172.20.24.45 と MAC アドレス 00aa.0062.c609 を持つユーザ John Smith がポート FastEthernet 3/47（信頼できないポート）上に存在するとします。このアドレス情報は、DHCP バインディングテーブルに記録されています。John Smith が偽装 ARP パケットをネットワークに送信すると、DAI は ARP パケットを検査して、テーブル内の情報と比較します。情報が一致しない場合、ARP パケットは廃棄されます。

IP アドレスのスプーフィング

悪意のあるユーザが正規ユーザの IP アドレスになりすますという攻撃が行われる可能性もあります。この攻撃は大半の OS（オペレーティングシステム）で簡単に行われ、悪意のあるユーザは別のサブネット上に存在するように見せかけたり、ACL を迂回したりできます。IP ソースガードは DHCP バインディングテーブルを使用して、IP アドレスと MAC アドレス、ポート、および関連付けられた VLAN のバインディング関係を確認します。IP ソースガードはこの処理を行うために、Cisco Catalyst の Ternary Content Addressable Memory（TCAM）に ACL を自動的に設定して、ポートに設定する IP アドレスを DHCP サーバからエンドステーションに付与される IP アドレスだけに制限します。IP アドレスがバインディングテーブルの情報と一致しない場合、ポートは無効になります。

man-in-the-middle 攻撃の緩和策の概要

Cisco Catalyst スイッチには、man-in-the-middle 攻撃を抑制する機能が初めから用意されています。通常、man-in-the-middle 攻撃には、ポートへのアクセス、偽の DHCP 情報および偽装 ARP の送信、または DHCP サーバから提供される他の IP アドレスの乗っ取り、といった複数の段階があります。このような攻撃を阻止するには、関連する機能をすべて組み合わせて使用する必要があります。これらの機能の基礎となるのが、DHCP スヌーピングによって最初に作成される DHCP バインディングテーブルです。DAI と IP ソースガードはこのテーブルを使用して、攻撃に使用される他の手段を防御します。このようにして、ネットワーク内での機密保護を実現し、重要情報や機密情報の盗用を防ぐことができます。

ファイアウォールと侵入検知の統合

企業や商用ネットワークに対する脅威が高まっているため、ネットワーク管理者はこれまで以上にプロアクティブに対応し、ネットワークの至るところで脅威防御アプライアンスを使用する必要があります。キャンパスおよびブランチのネットワークはギガビットの速度で動作しているため、これらの機能をパフォーマンスに優れた LAN スイッチインフラストラクチャに統合することは非常に有効な方法となります。Cisco Catalyst 6500 は、きめ細かなサービスを行う専用の処理技術をプラットフォーム上に統合することにより、業界最高レベルのサービスプラットフォームを実現しています。

ファイアウォールは、アクセス制御システムとして動作する専用デバイスで、対象のネットワークセグメントに対して出入りするすべてのパケットを検査します。ファイアウォールは、セキュリティポリシーに基づいて、セグメントに出入りするトラフィックを許可または拒否できるため、詳細なネットワークの制御が可能になります。一般的に、ファイアウォールはインターネットエッジで使用されます。インターネットエッジでセキュリティポリシーがクリティカルであることは誰の目にも明らかです。さらに、ネットワークインフラストラクチャ内での安全な接続に対するニーズによって、企業ネットワーク内でファイアウォールを展開する必要性も高まっています。

また、脅威防御を実現するために Intrusion Detection System（IDS; 侵入検知システム）も使用されます。IDS アプライアンスおよび IDS モジュールは、データパス上に配置されて、攻撃が行われている可能性を示す特定のパターンを検索します。これは、特定の攻撃のパターン（シグニチャ）の照合、または異常なネットワーク動作の検索によって処理されます。攻撃やネットワークへの侵入を早期に検出できれば、攻撃や侵入を素早く阻止できます。

Cisco Catalyst 6500 の Firewall Services Module（FWSM; ファイアウォールサービスモジュール）は、マルチレイヤスイッチングプラットフォームで実現された業界初の統合型ファイアウォールです。通常、ファイアウォールはネットワークへの侵入を防ぐものとして、インターネットエッジで使用されます。これは、一般的にセキュリティ運用上の問題ととらえられています。しかしながら、高速データレートでファイアウォール機能を統合すると、ユーザを安全なワークグループにセグメント化することが可能になります（つまり、ネットワーク運用上の検討事項にもなります）。この機能を使用すると、企業は自社ネットワーク内のセキュリティレベルを向上させ、セキュリティポリシーとワークグループのマッピングを改善し、ユーザがネットワークのどこにいても所定のセキュリティポリシーを適用できるようにすることができます。

また、Cisco Catalyst 6500 の Intrusion Detection Service Module（IDSM）は、Cisco Catalyst 6500 の高速スイッチングファブリックに接続して、スイッチのデータストリームに侵入検知機能を直接統合します。IDSM はスイッチ内に設定されているすべての VLAN を対象に、すべての侵入シグニチャをスキャンします。

セキュアコネクティビティシステム

すべての企業において、プライバシーは重要な問題です。誰でも自分の机や個人的な空間が大切に扱われ、侵害されないことを望んでいます。また、自分のコンピュータに不正に侵入されたり、自分のデータが不正に閲覧されたりすることのないよう願っています。プライバシーに対する考えはネットワークにも当てはまります。この資料で既に説明した機能の多くは、各種攻撃から保護するだけでなく、ネットワークにアクセスするユーザを制御することによって、ネットワークでのプライバシー確保にも役立ちます。また、空港設備や大学などのような特殊な環境だけでなく、一部の企業においても、キャンパスのスイッチドインフラストラクチャ内でさらに高度なプライバシーレベルの保証が求められています。

セキュアコネクティビティシステムといえば、多くの場合、VPN を連想します。パブリックのインターネット上で VPN を使用する場合、クライアントと企業の間にプライベートな暗号化された保護接続を用意する必要があります。しかし、キャンパススイッチングには VPN の考え方が昔からさまざまな形で存在しています。セキュリティニーズが高まるにつれて、アーキテクチャに対するテクノロジーの技術要件も増加していますが、基本的な考え方は変わりません。

セキュアコネクティビティは、セグメント化という概念に基づいています。セグメント化では、任意の基準に沿ってネットワークを複数のサブワークグループに分割します。使用される基準は、ネットワークアドレス、ユーザおよびワイヤリングクローゼットの場所、ワークグループとユーザの物理的なマッピング、またはネットワークに接続したユーザやデバイスのアイデンティティなど、さまざまなものが考えられます。ここでは、ネットワークをセグメント化する手順およびセキュリティを強化する手順について説明します。セキュアコネクティビティシステムの主要な要素は、次のとおりです。

VLAN - レイヤ 2 におけるトラフィックのセグメント化
ファイアウォールの仮想化 - VLAN 境界でのポリシーの実施
安全なトランスポート - Multiprotocol Label Switching（MPLS; マルチプロトコルラベルスイッチング）を使用した共通のバックボーン上でのワークグループトラフィックのセグメント化

VLAN とプライベート VLAN

VLAN は、1994 年からレイヤ 2 スイッチングの一部として使用されています。この頃はまだレイヤ 2 スイッチングが使用されはじめたばかりでした。VLAN の概念は、共通のスイッチングインフラストラクチャを異なる複数のブロードキャストドメインにセグメント化し、各ドメインを個別の LAN として使用する、という単純なものです。シスコの ISL（スイッチ間リンク）および（後に標準化された）IEEE 802.1Q を使用すると、個々の VLAN はスイッチドインフラストラクチャ全体を経由することができます。データサーバおよびデータリソースの一元化とレイヤ 3 スイッチングの登場により、企業全体に及ぶワークグループの必要性はなくなりました。ただし、多くの企業は企業全体にまたがるワークグループの必要性を再評価しつつあり、VLAN はそのための最初のステップになっています。セキュアコネクティビティでは、VLAN を企業内でエンドツーエンドに展開する必要はなく、VLAN はスイッチドインフラストラクチャでセグメント化を行うための最初の手段にすぎません。

プライベート VLAN もプライバシーを実現するために使用される VLAN の機能です。プライベート VLAN は、大規模な VLAN 内で使用され、それぞれにプライバシーを必要とする小規模なサブ VLAN です。このような要求が最初に確認されたのはホストデータセンターにおいてですが、共通のインフラストラクチャに多種多様なグループが接続されているネットワークの場合でも同様の要求が発生します。プライベート VLAN では、混合ポート、隔離ポート、およびコミュニティポートといった特定のポートタイプが指定されます。混合ポートは、すべてのプライベート VLAN のすべてのポートと通信できるポート（アップリンクポートなど）です。隔離ポートは、混合ポートのみと通信できるポートです。コミュニティポートは、混合ポートおよびそれ自身が属するプライベート VLAN 内の他のポートと通信できるポートです。いずれの場合でも、異なるプライベート VLAN にあるポート同士がレイヤ 2 で通信することはできません。このような通信を行う場合には、パケットをデフォルトゲートウェイに送信したり、レイヤ 3 でルーティングしたり、逆方向にフォワーディング行ったりする必要があります。以上のような方法で、プライバシーとポリシーを保証します。

ファイアウォールの仮想化

多くの企業ネットワークは、従業員に対して安全なサービスを提供しており、従業員を「カスタマー」と考えればサービスプロバイダーとして機能しているとも言えます。一部の大企業では、要求されるサービスレベルに基づいてネットワークの利用料金が各部門に課金されます。空港設備などのネットワークでは、さまざまな企業が共通のバックボーンを使用するため、企業間のセキュリティを確保する必要があります。ワークグループのプライバシーに対するニーズの出現とともに、ネットワークの仮想化はファイアウォールの仮想化へとつながりました。

ファイアウォールを仮想化する場合、Cisco Catalyst 6500 で FWSM を使用して、ネットワーク内の異なるワークグループをセグメント化します。この場合、ネットワークから見ると、FWSM はそれぞれ独自のポリシー（NAT [ネットワークアドレス変換] や ACL [アクセス制御リスト] など）を持つ複数のファイアウォールのように見えます。複数のワイヤリングクローゼットが集約されるネットワークのディストリビューションレイヤにファイアウォールを配置すると、ファイアウォールの仮想化によってネットワークを複数のセキュリティドメインにセグメント化できるため、「カスタマー」ごとの詳細なポリシーコントロールが可能になります。それぞれの VLAN を FWSM のファイアウォールインスタンスにマッピングすると、VLAN はセグメント化を行う最初の手段として使用できます。この方法を使用すると、スイッチングドメイン内の各 VLAN 間のセキュリティが確保されるだけでなく、共通のバックボーン上でトランスポートされるトラフィックも保護されます。

MPLS を使用したバックボーン上でのトランスポート

スイッチドインフラストラクチャにおけるセキュアコネクティビティの最後の要素は、共通のバックボーン上でセキュリティ保護したワークグループを実際にトランスポートすることです。レイヤ 3 ルーテッドネットワークの場合、VLAN は存在しないため、トラフィックは送信元から宛先に自由にスイッチングされます。バックボーン上でこの種の通信を保護することは重要です。幸いにも、IP バックボーンは、共通のバックボーン上で使用できる安全な伝送方式に対応しています。安全なワークグループの伝送を可能にする方式は MPLS です。

サービスプロバイダー環境で長く使用されてきた MPLS は、企業においてセグメント化の必要性が高まってきた現在、魅力的なキャンパステクノロジーになりつつあります。MPLS VPN（RFC 2547 で規定）を使用すると、MPLS ネットワーク内で独自の仮想ルーティングおよび仮想フォワーディング（VRF）テーブルを持つワークグループを使用できます。各 VRF テーブルは、特定の「カスタマー」にマッピングされます。この「カスタマー」のトラフィックは、共通のバックボーンインフラストラクチャを経由して送信されます。MPLS では、Provider Edge（PE; プロバイダーエッジ）と Provider（P; プロバイダー）ルータという 2 種類のルータが規定されています。それぞれのルータは、VPN を正常に動作させる固有の機能を持っています。

キャンパスで使用する MPLS の場合、プロバイダーエッジルータは、「カスタマーエッジ」ルータからルートを受け取ります。「カスタマーエッジ」ルータは、ネットワークのエッジに存在し、VPN 空間をルーテッドドメインのエッジまで拡張します。キャンパスで使用する VPN の場合、通常、LAN スイッチまたはマルチレイヤスイッチがカスタマーエッジになり、セキュリティサービスを一元的に扱います。その後、プロバイダーエッジルータは、MPLS バックボーンを通じて他のプロバイダーエッジルータにこれらのルートをトランスポートします。ネットワークの途中にはプロバイダールータ（プロバイダーエッジルータではない）があります。このルータは Label Switch Router（LSR; ラベルスイッチルータ）とも呼ばれ、トランスポートサービスを実行します。VPN 情報が必要になるのはプロバイダーエッジだけであることを理解しておく必要があります。VPN はプロバイダーエッジで区切られます。VPN に関する情報を必要としているのは、その VPN に属するプロバイダーエッジだけです。また、P ルータも VPN に関する情報を必要としていません。これは、P ルータがパケットに追加されるラベルに基づいてスイッチングを行うためです。これにより、P ルータのルーティングテーブルのスケーラビリティが大きく向上しています。

MPLS バックボーンに対するエントリは、プロバイダーエッジによって管理されるため、ネットワークエンジニアは、VPN に対するアクセスポイントの配置と数、およびセキュリティポリシーを制御できます。このアクセスポイントを使用すると、規模の大小に関係なく、キャンパスのサービスとポリシーを一元化できます。プロバイダーエッジでこれらのサービスを集中化した場合、次のようなさまざまな重要な利点が得られます。1 つめは、ネットワークエンジニアがネットワーク内で使用する ACL の数を削減できることです。2 つめは、VPN 間のトランジットエリアおよび共有リソースへのアクセス（データセンター、WAN、またはインターネットなど）を、プロバイダーエッジ上で一元的に管理できることです。これらは、ネットワークの大部分を占める可能性があります。3 つめは、一元化することによって、ファイアウォール機能や侵入検知を提供するサービスモジュールやアプライアンスを共有できることです。このシステムで主に使用されるコンポーネントは、Cisco Catalyst 6500 のファイアウォール仮想化ソリューションなどです。Cisco Catalyst 6500 のファイアウォール仮想化ソリューションを使用すると、MPLS 網内の VPN をファイアウォールで保護して、セキュリティとプライバシーを向上させることができます。

Cisco Catalyst のインテリジェントスイッチングポートフォリオ

シスコはネットワーキング業界で最も幅広いスイッチ製品シリーズを提供しています。これらの製品群は、サービスプロバイダーから、大企業、中小企業ネットワークまでの範囲をカバーしており、セキュリティ違反、攻撃、または侵入に対する防御、緩和、および復旧といった優れたセキュリティ機能を実現できます

Cisco Catalyst 6500 シリーズ

Cisco Catalyst 6500 シリーズは、業界最高レベルの柔軟性を備えた最先端のスイッチングプラットフォームで、シスコの最上位スイッチングプラットフォームです。Catalyst 6500 シリーズは、キャンパスやサービスプロバイダー環境における IP コミュニケーションとアプリケーション提供の標準となっています。Cisco Catalyst 6500 シリーズは、下位互換性を維持したまま、32 Gbps システム（Supervisor Engine 1）から、400 Mpps を超える処理能力を備えた 720 Gbps システムへと進化しています。現在、Cisco Catalyst 6500 シリーズは、10/100、10/100/1000 ギガビットイーサネット、および 10 ギガビットイーサネットで業界最高レベルのポート密度を実現しています。

Cisco Catalyst 6500 は、非常に幅広いハードウェアベースおよびソフトウェアベースのセキュリティ機能（アイデンティティ管理や man-in-the-middle 攻撃の緩和機能など）をサポートしています。これまでネットワーク管理者は、ファイアウォール、侵入検知、および Secure Socket Layer（SSL）終端を実現するために専用のアプライアンスを購入する必要がありましたが、Cisco Catalyst 6500では、フィーチャモジュールを使用してこれらの機能を直接統合できます。これらの専用モジュールを使用することにより、同一スイッチ上で、マルチギガビットのパフォーマンスを提供しながら、スイッチで管理可能な高速サービスを実現できます。信頼性とアイデンティティ管理および脅威防御に加えて、Cisco Catalyst 6500 は VPN サービスモジュールを使用してセキュアコネクティビティにおいても優れた機能（IP VPN のアグリゲーション）を実現します。また、Cisco Catalyst 6500 は、MPLS や Generic Routing Encapsulation（GRE）などのセキュアなトランスポートテクノロジーをハードウェアに統合します。これらのモジュールを用いることで、キャンパス環境では安全な仮想ワークグループが作成でき、データセンター環境においては統合サービスプラットフォームを実現できます。

さらに、Cisco Catalyst 6500 は DoS 攻撃を緩和する幅広い機能を実装しています。この機能には、CPU ベースのレートリミット機能があります。レートリミット機能を使用すると、ネットワーク管理者はさまざまなフィルタを使用してスイッチプロセッサを保護できます。ポート単位のスカベンジャクラスキューイングを使用すると、特定のポートで規定の範囲を超えたトラフィックを廃棄して、進行中の攻撃の範囲を制限できます。

Cisco Catalyst 4500 シリーズ

Cisco Catalyst 4500 シリーズは、企業のワイヤリングクローゼット、ブランチオフィス、および小規模なレイヤ 3 ディストリビューションポイント向けに設計されています。Cisco Catalyst 4500 シリーズは、3 種類のスーパーバイザエンジンと高密度な 10/100、10/100/1000（ともに、802.3af Power over Ethernet [PoE] に対応）、100BASE-FX、および 1000BASE-X を搭載した各種ラインカードに対応した一連のシャーシで構成されています。Cisco Catalyst 4500 シリーズは、銅線または光ファイバインターフェイスを使用して最大で 336 の 10/100/1000 ポートをサポートでき、企業のワイヤリングクローゼット、小規模なネットワークのバックボーン、およびブランチオフィス環境で使用するのに適しています。Cisco Catalyst 4500 シリーズのシステムインテリジェンスはすべてスーパーバイザエンジンに搭載されています。スーパーバイザエンジンをアップグレードすると、将来提供される機能（IPv6 や 10 ギガビットイーサネットなど）をハードウェアとして追加できます。最新のスーパーバイザエンジンは、72 Mpps のスイッチング処理能力を備えた最大 96 Gbps のスイッチング容量を実現します。

Cisco Catalyst 4500 は、ワイヤリングクローゼットの機能に特化して使用することもできます。Cisco Catalyst 6500 と同様に、Cisco Catalyst 4500 は、信頼性とアイデンティティ管理の機能（802.1X とその拡張機能）をすべてサポートしています。また、Cisco Catalyst 4500 は、ネットワークの入口で man-in-the-middle 攻撃を緩和して、ネットワーク内部への被害の拡大を未然に防ぎます。さらに、Cisco Catalyst 4500 には、帯域幅の制限された CPU ベースの複数のキューが実装されています。この機能は、DHCP および ARP パケットに基づいた DoS 攻撃の影響を抑制します。

Cisco Catalyst 3750 シリーズ

Cisco Catalyst 3750 シリーズスイッチは、スタッカブルスイッチとしては業界最高レベルの使い易さと回復力を合わせ持ち、LAN の運用を効率化させる画期的な製品です。この新しい製品シリーズは、次世代のデスクトップスイッチとして Cisco StackWise™ テクノロジーを採用しているため、32 Gbps のスタック接続が可能で、スイッチを 1 台ずつ追加しながら復元力の高い統合スイッチングシステムを構築することができます。Cisco Catalyst 3750 シリーズは、中規模企業および企業のブランチオフィスに適した統合セキュリティ機能を備えており、一般的な man-in-the-middle 攻撃の緩和に加えて、アイデンティティ管理を行うことができます。

Cisco Catalyst 3560

Cisco Catalyst 3560 シリーズスイッチは、Cisco Catalyst 3750 製品ラインを補完するために、IEEE 802.3af およびシスコ独自の PoE スイッチに対応したスタンドアロンの固定構成スイッチを提供しています。ファストイーサネット構成で Cisco Catalyst 3560 を使用すると、アベイラビリティ、セキュリティ、および QoS を使用してネットワークの運用を拡張できます。これらのスイッチは、低密度のポートを使用し、アベイラビリティやセキュリティなどのインテリジェントサービスを必要とする小規模なワイヤリングクローゼットやブランチオフィスで単体で使用するのに適しています。他の固定コンフィギュレーションスイッチと同様に、Cisco Catalyst 3560 シリーズには Cisco Cluster Management Suite（CMS）が搭載されています。CMS を使用すると、ユーザは標準的な Web ブラウザを使用して複数の Cisco Catalyst デスクトップスイッチの設定およびトラブルシューティングを同時に行うことができます。

Cisco Catalyst 3550 シリーズ

Cisco Catalyst 3550 シリーズのインテリジェントイーサネットスイッチを使用すると、中規模企業や企業のブランチオフィスでエンタープライズクラスの機能を実現できます。Cisco Catalyst 3550 シリーズには、ワイヤ速度のファストイーサネットおよびギガビットイーサネットコンフィギュレーションが用意されています。このスイッチは、高度な QoS やレートリミット、セキュリティ ACL、マルチキャスト、および IP ルーティングなどのインテリジェントなサービスをサポートしています。このスイッチは、中規模企業やブランチオフィスのワイヤリングクローゼットで、アクセスレイヤおよびディストリビューションレイヤのスイッチとして機能します。Cisco Catalyst 3550 では、セキュリティの基本機能である 802.1X 認証とゲスト VLAN、MAC フラッディング攻撃を防ぐポートセキュリティ、およびスイッチの安全なリモート管理を実現する SSH と SSL が利用できます。

自己防衛型ネットワークの実現

Cisco Catalyst LAN スイッチングは、シスコの自己防衛型ネットワーク構想の主要な基本コンポーネントです。Cisco Catalyst の統合セキュリティは、インフラストラクチャのセキュリティを確保して、ユーザ、サーバ、およびスイッチそのものを保護することにより、企業の全体的なセキュリティ戦略における防御の最前線として機能します。シスコは LAN スイッチング分野における最先端のセキュリティを提供しており、保護、管理、およびプライバシーを実現するための各種機能の開発と実装に取り組んでいます。

シスコの革新的な統合セキュリティシステムにより、企業はモジュラ型の豊富なセキュリティサービスを使用して保護された信頼性の高い業務アプリケーションおよびサービスを展開できます。これらのセキュリティサービスは、シスコのルータ、スイッチ、エンドポイントソフトウェア、および専用のセキュリティアプライアンスで柔軟に構成できます。シスコの統合セキュリティシステムには、豊富な機能を備えたセキュリティサービス（VPN、脅威防御、アイデンティティ管理）が幅広く用意されています。これらのセキュリティサービスは、単体のアプライアンス（Cisco PIX® セキュリティアプライアンス、Cisco IDS センサ、および Cisco VPN コンセントレータなど）、ルータおよびスイッチ向けのセキュリティハードウェアモジュールとセキュリティソフトウェア、デスクトップおよびサーバ向けのセキュリティソフトウェアエージェント、および信頼性とアイデンティティ管理システムで柔軟に使用でき、すべてのセキュリティテクノロジーの集中的な管理および分析機能と連携させることによって市場で最も完成度の高いシステムを実現できます。

詳細については、http://www.cisco.com/jp/go/security および http://www.cisco.com/jp/product/hs/switches を参照してください。

Hierarchical Navigation

Cisco Catalyst 6500 シリーズ