HanDreamnet SG スイッチ評価導入ハンズオン · HanDreamnet SG...

HanDreamnet SG スイッチ評価導入ハンズオン

L2スイッチにセキュリティを。安全なネットワーク構築を実現します。

株式会社ネットワールド

2013年 03月 29日第 9版

HanDreamnet SG スイッチ評価導入ハンズオン 2013/03/29 第 9版

- 2 -

改訂履歴

改訂日版改訂内容

2010/10/05 2 章番号 21が重複のため重複を修正。

ヘッダに作成日と版数を追加。

2010/10/12 3 題名を「HanDreamnet SG スイッチセルフハンズオン」から「HanDreamnet SG スイ

ッチ評価導入ハンズオン」に変更。

「8.コンソル接続」のシリアル設定情報「non parity」から「パリティ無し」に変

更。

「23.ユーザへの有害パケット通知設定」で表示される条件を追加。

「25.設定バックアップ」にコピーペーストでのバックアップ方法を追加。

「26.設定リストア」にコピーペーストでのリストア方法を追加。

「29.ファームウェアアップデート」のコマンド中の ftp ユーザ名を ftpuser、ftp

パスワードを ftppassword に変更。

2010/10/27 4 「17. DoS 攻撃の検出と遮断確認」の ping コマンドから –w 0 を削除。他のネッ

トワーク機器は SG シリーズのuplink に接続する説明を追加。

「23. ユーザへの有害パケット通知設定」、デフォルト状態では www で始まる

FQDN の場合にのみ、通知画面が表示される旨に変更。

2011/02/04 5 「3. VNMの取得」の章を削除。

2011/04/13 6 「29. ファームウェアアップデート」から HanDreamnet 様の VNM 入手 URL を削

除。

2012/05/18 7 「9. ネットワーク設定」から dhcp サーバ機能停止を削除。

2012/06/21 8 「9. ネットワーク設定」の(誤)「 NETMASK: 16 bits(255.55.0.0)」、(正)「NETMASK:

16 bits(255.255.0.0)」に訂正。

「5. VNM インストール」に「本書では後程、SGシリーズから VNMサーバへ通信

する際、VNMサーバの IP を 10.10.82.1 として記載しております。VNMをインス

トールする PC の IP を 10.10.82.1/16 に変更してから、VNM をインストールし

てください。」を記載しました。理由、SGシリーズで VNMサーバとして 10.10.82.1

を指定していますが、VNMサーバ側の IP を明記していなかったため。

2013/03/29 9 「15. MDSエンジン有効化」に firmware 1.6.0 以上では mds enable コマンドで

drop、detect モード変更前に no mds enable が必要であることを追加しました。


- 3 -

目次

1. HanDreamnet SGシリーズ概観 .............................................................. 4

2. 構成要素................................................................................. 5

3. VNM の ZIPアーカイブ ..................................................................... 6

4. VNM サーバインストール要件 ............................................................... 7

5. VNM インストール ......................................................................... 8

6. VNM クライアントの起動 .................................................................. 12

7. コンソール接続 .......................................................................... 14

8. コンソールログイン ...................................................................... 15

9. ネットワーク設定 ........................................................................ 16

10. 設定情報確認 ............................................................................ 17

11. VNM サーバ指定 .......................................................................... 18

12. VNM サーバへの SGシリーズ登録 ........................................................... 19

13. MDS 概要................................................................................ 22

14. MDS によるセキュリティ機能の設定適用範囲 ................................................ 23

15. MDS エンジン有効化 ...................................................................... 24

16. DoS 攻撃の検出と遮断確認 ................................................................ 25

17. MDS で検出できる有害トラフィックの種類 .................................................. 28

18. SELF-LOOPの概念 ........................................................................ 29

19. SELF-LOOP 検出および遮断設定 ............................................................ 30

20. ARP Spoofingによる盗聴概要 ............................................................. 32

21. ARP Spoofingの検出と遮断設定 ........................................................... 33

22. ユーザへの有害パケット通知設定 .......................................................... 36

23. レポーティング .......................................................................... 37

24. 設定バックアップ ........................................................................ 39

25. 設定リストア ............................................................................ 40

26. 設定初期化.............................................................................. 41

27. ファームウェア等のバージョン確認 ........................................................ 42

28. ファームウェアアップデート .............................................................. 43

29. MDS の主要設定コマンド .................................................................. 44


- 4 -

1. HanDreamnet SGシリーズ概観

SG2024、SG2024PoE は 10/100Mbps + 1Gb uplink

SG2024G、SG2048G は 10/100/1000Mbps


- 5 -

2. 構成要素

SGシリーズの初期設定にはコンソール接続できる PC が必要です。

SGシリーズで検出されたセキュリティイベントのログは VNMサーバに送信、保管されます。VNMサーバに

保管されたログの閲覧には VNMクライアントが必要です。VNMサーバ、クライアントが無くても SGシリー

ズを導入することができます。

SGシリーズの設定のバックアップ、リストアには TFTPサーバが必要です。

SGシリーズのファームウェアのアップデートには FTP サーバが必要です。

コンソール、VNMサーバ・クライアント、TFTPサーバ、FTPサーバは同一 PCで提供されてもかまいません。

Console VNM サーバ

セキュリティイベントログ送信

VNMクライアント

設定(CLI)

TFTPサーバ

設定バックアップ・リストア

FTPサーバ

ファームウェアアップデート


- 6 -

3. VNMの ZIPアーカイブ

VNM(Visual Node Manager) の ZIPアーカイブには次が含まれています。

・ VNMサーバ VNMSetupEJ.exe

・ VNMクライアント VNMClient_SetupEJ.exe


- 7 -

4. VNMサーバインストール要件

VNMサーバ最小要件(SGシリーズ10台未満)

OS: Windows XP 32Bit SP2, SP3 または 2003 Server、Vista

CPU: Intel Dual Core 2GHz 以上

Memory: 1GB 以上

HDD: 80 GB 以上

VNMサーバ推奨要件(SGシリーズ10台以上)

OS: Windows XP 32Bit SP2, SP3 または 2003 Server、Vista

CPU: Intel Dual Core 2.6GHz 以上

Memory: 2GB 以上

HDD: 160 GB 以上

他の DB及びアプリケーションと競合する恐れがあり、使用中システム性能が低下する可能性があります。

ウイルス対策ソフトなど他のアプリケーションと競合が発生する可能性があるため、該当アプリケーショ

ンから VNMを例外設定するか、競合アプリケーションを除去して使用しなければいけない場合があります。

尚、ノート PC より Desktop または Serverに構築することをお勧めします。

Detecting IP List 機能は、SG Series 50台未満の環境で使用してください。

50台以上接続するとサーバ負荷が増加され、Service が円滑に作動しない可能性があり、同時接続 100 台

未満をお勧めします。

VNM サーバは TCP 8085、8086、8087 を待受ポートとして使用します。VNM サーバをインストールする PC

ではこれらのポートへのアクセスが許可されるようにクライアントファイアウォール等を調整下さい。


- 8 -

5. VNMインストール

本書では後程、SG シリーズから VNM サーバへ通信する際、VNM サーバの IP を 10.10.82.1 として記

載しております。VNMをインストールする PC の IP を 10.10.82.1/16 に変更してから、VNM をインスト

ールしてください。

VNMSetupEJ.exeを実行し VNM サーバのインストールを開始します。

VNMSetupEJ.exeには VNMクライアントが含まれ、VNM クライアントも一緒にインストールされます。

VNMClient_SetupEJ.exe は VNM クライアントのみをインストールする場合に用います。VNM サーバがすで

に存在する環境では、VNM クライアントのみを導入し、VNM から既存 NVM サーバに接続することもできま

す。


- 9 -

[Next]をクリックしインストールを開始します。


- 10 -

「Install folder」に VNM サーバを導入するフォルダを指定し、[Install]をクリックします。


- 11 -

Install folderで指定したフォルダが存在しない場合、確認ダイアログが表示されますので[はい]をクリ

ックしてインストールを継続します。

「Installation of Visual Node Manager Completed」が表示されたら、インストール完了です。[Ok]を

クリックします。


- 12 -

6. VNMクライアントの起動

VNMサーバのインストール完了後、VNMクライアントが自動起動します。

「Server IP Address」には VNMサーバを導入した IPを指定します。VNMクライアントが自動起動された

PCと VNMサーバは同じ PC のため IPは 127.0.0.1を指定します。

VNM サーバは SG シリーズからのデータを保管しますが、VNM サーバそのものには管理画面はありません。

NVMクライアントから VNM サーバにアクセスします。

VNMクライアントの「Password」にはデフォルトパスワード「vnm」を入力します。


- 13 -

VNMクライアントは VNMサーバ内に保管されているデータを表示するツールです。SGシリーズの設定変更

を行うことはできません。設定変更は SGシリーズにシリアル接続、SSH接続しコマンドラインインターフ

ェースから行います。


- 14 -

7. コンソール接続

シリアル設定

9600 bps、8 bits data、1 stop bit、パリティ無し、フロー制御無し

SGシリーズにはデフォルト IPは設定されていません。SGシリーズの設定はコンソル接続を行い、コンソ

ールから実施します。

SGシリーズに付属のコンソール(シリアル)ケーブルを用いて SGシリーズと PCを接続します。


- 15 -

8. コンソールログイン

PC 上のターミナルソフトを起動し、9600 bps、8 bits data、1 stop bit、パリティ無し、フロー制御無

しに設定します。

SGシリーズの電源を ONにします。

ターミナルソフトに login:が表示されたらログインします。デフォルトログイン名は「root」、デフォル

トパスワードは「root」です。

================================================================================

Boot Loader Ver 1.1.7

builddate : Thu May 20 11:12:03 KST 2010

================================================================================

Loading: ........... 16777216 bytes read

Image Name : SG2048G_1 System Image

INIT: version 2.78 booting

INIT: Entering runlevel: 3

SG2048G login: root

Password: root

SGOS version 1.4.10 SGL2-OS 09/14/10 12:40:45

SG2048G>


- 16 -

9. ネットワーク設定

ネットワーク設定例

IP: 10.10.82.254

NETMASK: 16 bits(255.255.0.0)

Default Gateway IP: 10.10.0.254

DNS IP: 10.1.0.200

ssh 接続有効化

デフォルト VLANの vlan1.1 に IPを設定します。

設定の解除は次の通りです。

#no ip address 10.10.82.254/16

#no ip route 0.0.0.0/0 10.10.0.254

#no ip name-server 10.1.0.200

#no service sshd

設定内容の保存は「write」です。

SG2048G>enable

SG2048G#config terminal

Enter configuration commands, one per line. End with CNTL/Z.

SG2048G(config)#interface vlan1.1

SG2048G(config-if)#ip address 10.10.82.254/16

SG2048G(config-if)#exit

SG2048G(config)#ip route 0.0.0.0/0 10.10.0.254

SG2048G(config)#ip name-server 10.1.0.200

SG2048G(config)#service sshd

SG2048G(config)#exit

SG2048G#write

Building configuration...

[OK]

SG2048G#


- 17 -

10. 設定情報確認

#show running-config を実行し、設定情報を確認します。

SG2048G#show running-config

!

service password-encryption

!

username root password 8 4DBfucrfjXL6o

!

ip name-server 10.1.0.200

ip domain-lookup

!

bridge 1 protocol rstp vlan-bridge

!

spanning-tree mst config

!

mls qos enable

mds enable ge1-44 detect

mds uplink ge45-48

!

interface ge1

bridge-group 1

switchport mode access

switchport mode access acceptable-frame-type all

!

(…省略…)

!

interface lo

ip address 127.0.0.1/8

ipv6 address ::1/128

!

interface vlan1.1

ip address 10.10.82.254/16

ipv6 address fe80::21a:f4ff:fe1c:76/64

!

ip route 0.0.0.0/0 10.10.0.254

!

timezone GMT+9

!

service sshd

line con 0

login local

line vty 0 5

login local

!

end

SG2048G#


- 18 -

11. VNMサーバ指定

VNMサーバ指定例

VNM サーバ IP: 10.10.82.1

SNMP ReadOnly コミュニティ名: SG2048G_ro

SNMP Write コミュニティ名: SG2048G_rw

SGシリーズのログを送信する VNMサーバを指定します。

この際、SNMP ReadOnlyおよび Writeコミュニティ名を合わせて指定します。

ReadOnlyと Writeでは異なるコミュニティ名を指定下さい。

SG2048G#configure terminal


SG2048G(config)#mds log-server 10.10.82.1

SG2048G(config)#snmp-server community ro SG2048G_ro

SG2048G(config)#snmp-server community rw SG2048G_rw


SG2048G#write


[OK]


(…省略…)

snmp-server community ro SG2048G_ro

snmp-server community rw SG2048G_rw

mls qos enable


mds uplink ge45-48

mds log-server 10.10.82.1 8085

(…省略…)

SG2048G#


- 19 -

12. VNMサーバへの SGシリーズ登録

VNM サーバへは SG シリーズが自動登録されます。VNM クライアントで SG スイッチが登録されていること

を確認します。

SGシリーズのアイコンにはのように ▽ (赤三角)が表示されます。これは SNMP 接続不良を現して

います。

SGシリーズのアイコンをダブルクリックし、Edit Device Information 画面で SNMP のコミュニティ等を

設定します。

VNMクライアントに SGシリーズが登録されない場合、SGシリーズから VNMサーバの待受ポート TCP 8085、

8086、8087へのアクセスができる状態になっているかを確認下さい。


- 20 -

SNMP設定例

Read Only コミュニティ名: SG2048_ro

Write コミュニティ名: SG2048_rw

SNMP コミュニティ名を入力、IP Gathering を有効(チェック有り)、Manager の 1st で「Admin」を選択

します。[Edit] をクリックすると設定されます。


- 21 -

VNMサーバに SG シリーズが正しく登録され、SGシリーズのアイコンから(赤三角)が無くなります。


- 22 -

13. MDS 概要

SGシリーズにはセキュリティ機能をつかさどる MDS(Multi Dimension Security)が搭載されています。

MDSは次の特徴を有しています。

セキュリティ処理部分を ASICでハードウェア化したエンジンです。

トラフィック中の Layer4ヘッダーまで参照、セキュリティ処理は自動処理可能です。

スイッチング性能を落とさず、維持しながら有害トラフィックを検知、遮断します。

定義ファイルは不要で、更新の必要もありません(定義ファイルの概念がありません)。

管理サーバ不要でスイッチ単独で動作します。

Sensor Log

MD Protection

Engine

RT Packet

Gathering Module

Switching Fabric Protection

DDoS Class

DoS Class

Scan Class

Random

Class

Security Filter

Module


- 23 -

14. MDSによるセキュリティ機能の設定適用範囲

MDSのセキュリティ機能は uplinkポートには機能しません。

デフォルトでは次の uplink ポートがあります。

SG2024: ge1、ge2

SG2024PoE: ge1、ge2

SG2024G: ge23、ge24

SG2048G: ge45、ge46、ge47、ge48

デフォルトでは MDSのセキュリティ機能は次のポートに設定することができます。

SG2024: fe1 – fe24

SG2024PoE: fe1 – fe24

SG2024G: ge1 – ge22

SG2048G: ge1 – ge44

ユーザリンク

ユーザリンク

ユーザリンク

ユーザリンク

アップリンク

アップリンク

アップリンク


- 24 -

15. MDSエンジン有効化

デフォルトの状態では MDS は「detect」(検出)のみで、有害パケットの遮断はしません。しかしながら有

害パケットを検出すると、VNM サーバへイベントログを送信します。その為、デフォルトの「detect」の

まま SG シリーズを設置すれば、ネットワークへの影響を与えずに設置することができます。また VNM ク

ライアントで MDSが有害なものを検出されているかを確認することができます。

有害パケットの遮断(実際には破棄)を行うために MDS に「drop」を設定します。Firmware 1.6.0 以上で

は mds enable <ポート> drop または detect でモードを変更する前に、no mds enable を実行下さい。

SG2048G login: root

Password: root


SG2048G>enable


(…省略…)



mls qos enable


mds uplink ge45-48

mds self-loop-detect ge1-44


(…省略…)



SG2048G(config)#no mds enable ← firmware 1.6.0 以上では必須です。

SG2048G(config)#mds enable ge1-44 drop


SG2048G#write


[OK]


(…省略…)



mls qos enable

mds enable ge1-44 drop

mds uplink ge45-48


(…省略…)

SG2048G#


- 25 -

16. DoS攻撃の検出と遮断確認

ネットワーク接続例

PC を SG シリーズに接続し、PC から PC のデフォルトゲートウェイ IP に ping を連続送信します。SG シリ

ーズの MDSにより pingが DoS攻撃として検出されるかを確認します。

重要、ネットワーク機器を SG シリーズに接続する場合、SG シリーズの uplink ポートに接続してくだ

さい。ユーザポートにルータを経由したトラフィックが届くと、正常な通信であっても DDoS(IP_Spoof)

として検出されたり、遮断されます。ルータを経由したパケットのソース MAC はルータの MAC に集約さ

れるますがソース IP は通信元 IP のままです。SG シリーズからみると、一つの MAC アドレスから複数

の IP アドレスを利用した通信が届くように見え、それが DDoS(IP_Spoof)として見えるためです。

10.10.0.254

10.10.82.1

C:> ping –n 100 –l 65500 –i 1 10.10.0.254


- 26 -

ping が Request timed out になったら、VNM クライアント上の SG シリーズのアイコンがになって

いることを確認します。そのアイコンをクリック、続いて [Device Status] タブをクリックします。

PC を接続しているポートが (ポート図にイナズマ)になっていることが確認できます。は MDS

によりそのポートで有害なトラフィックが検出されていることを意味しています。

C:> ping –n 100 –l 65500 –i 1 10.10.0.254

Pinging 10.10.0.254 with 65500 bytes of data:

Reply from 10.10.0.254: bytes=65500 time=24ms TTL=128

(…省略…)

Reply from 10.10.0.254: bytes=65500 time=24ms TTL=128

Request timed out.

Request timed out.


- 27 -

続いて [MDS Event]タブ、[Device]タブより、DoS_Attack が記録されていることを確認します。ここに記

録されている DoS_Attackは Drop (破棄)されています。

一般的なスイッチ製品ではどのポートで DoS攻撃が行われているかを知ることは容易ではありません。SG

シリーズでは VNMを併用することで、攻撃が行われているポートだけではなく、攻撃時刻、攻撃元 IP等を

容易に知ることができます。

DoS攻撃が終了してもログに記録されているため、攻撃終了後でもそれらを知ることができます。


- 28 -

17. MDSで検出できる有害トラフィックの種類

MDSで検出できる有害トラフィック

ARP_Spoofing: ARP Spoofing、ARP Poisoning。通信を行う 2台の攻撃対象機器に ARP request

を用いて偽 MAC 情報を送信します。攻撃対象機器間の通信が攻撃元機器経

由で行うことができ、IP 電話盗聴、情報漏えい、情報改ざんに利用されま

す。

BroadCAST_Attack:

DoS_Attack: DoS、DHCP Flooding。攻撃元機器から攻撃対象機器へ大量の通信を発生さ

せ、攻撃対象機器の応答性を低下させます。

DDoS(IP_Spoofing): DDoS、IP Spoofing。複数の攻撃元機器(単数でも複数に見える)から攻撃対

象機器へ大量の通信を発生させ、攻撃対象機器の応答性を低下させます。

DoS_Fooding: DoS Flooding、Port Flooding。DoS_Attack の攻撃対象機器のポートが複

数になるものです。

Random_Attack: 攻撃元機器のソースポートをランダムに変更させながら複数の攻撃対象機

器のポートスキャンを行う。攻撃元機器のソースポートがランダムに変更

され、複数の正常な通信が行われているるように見えスキャン活動をして

いると悟られないようにする方法です。

Host_Drop: 攻撃元機器が複数の有害トラフィックを発生し、MDS のフィルタリングのみ

では危険だと判断した場合、攻撃元機器 MAC からの通信を遮断する。こ

の際に VNMに記録される名称です。

Scan_Attack: IP Scanning、Port Scanning、Host Scanning。ネットワークに接続され

る機器の検索活動です。

Self_Loop: ネットワークのループ上結線です。

SYN_Flood_Attack: Syn Flooding。TCP 3 WAY ハンドシェークを意図的に未完了状態にし、

攻撃対象機器上にデータ送受信のために用意されたメモリ上のバッファを

破棄させないよにします。これを多数行うことで攻撃対象機器をメモリ不

足状態におとしいれるものです。

ICMP_Redir_Attack: ICMP Redirect を利用し攻撃対象機器の経路情報を変更するものです。

(MAC Flooding): MAC Flooding、ARP Attack。攻撃元機器から通信元 MACの異なる大量の ARP

Request を送信することで、スイッチ機器の MAC テーブルを偽 MAC 情報で

満たす。これにより、スイッチに届く通信は適切なポートへ送出すること

ができずに全ポートに送出され、ネットワーク負荷を高める攻撃となりま

す。

MAC Flooding は MDS ではなく、SGシリーズの port-security で防御され

ます(ポート毎に認識できる MACの数の指定で対処します)。

ARP_Spoofing、Self_Loop、MAC Flooding 以外は #mds enable ge1-44 drop の 1 コマンドで遮断(破棄)

されます。ARP_Spoofing、Self_Loop、MAC Flooding は個別の設定方法(コマンド)があります。

#mds self-loop-detect ge1-44

#mds arp-spoofing-detect ge1-44


- 29 -

#max-macs 10

18. SELF-LOOPの概念

SELF-LOOP が生じている一般的なスイッチ製品ではその製品が送出したブロードキャストを自信で受け取

り、再び送出を繰り返しブロードキャストストームと呼ばれる事態が生じます。

この事態が生じると、そのブロードキャストドメインには大量のブロードキャストパケットが繰り返し送

出され、ネットワーク帯域の大量消費が生じます。これによりネットワークの通信不良が生じます。

SGシリーズは SELF-LOOPの検知、SELF-LOOPが生じているポートに流入する全パケットを自動破棄するこ

とができます。

loop

loop


- 30 -

19. SELF-LOOP 検出および遮断設定

SELF-LOOP 検出および遮断設定

ポート 1 から 44で SELF-LOOPを検出、遮断

デフォルトの状態では SELF-LOOPの検出と遮断は無効です。

SG2048G login: root

Password: root


SG2048G>enable



SG2048G(config)#mds self-loop-detect ge1-44


SG2048G#write


[OK]


(…省略…)



mls qos enable


mds uplink ge45-48



(…省略…)

SG2048G#


- 31 -

SGシリーズのポート 14と 18を LANケーブルで接続しループ状態にします。VNMクライアントで Self_Loop

が検出されることを確認します。

この確認は SGシリーズをネットワークに接続していない状態で実施下さい。SGシリーズの設定誤りによ

り、Self_Loopの検知と遮断ができなかった場合、ネットワークにブロードキャストストームを生じさせ

てしまうリスクがあります。

loop


- 32 -

20. ARP Spoofing による盗聴概要

盗聴元機器の MACを盗聴対象機器に送信し、盗聴対象機器間の通信を盗聴元機器経由でおこなうことがで

きます。

盗聴元機器より次の IPと MACの組み合わせで ARP REQUESTをブロードキャストします。

ソース IP 10.10.82.3 + ソース MAC 00:0B:97:BF:E2:24、ARP REQUEST IP 10.10.82.4

ソース IP 10.10.82.4 + ソース MAC 00:0B:97:BF:E2:24、ARP REQUEST IP 10.10.82.3

すると盗聴対象 FTPクライアントの ARP テーブルには次が記録され、FTPクライアントから FTP サーバへ

の通信は盗聴元機器へ向かいます。

10.10.82.4 00:0B:97:BF:E2:24

一方、盗聴対象 FTPサーバの ARP テーブルには次が記録されるため、FTPサーバから FTP クライアントの

通信は盗聴元機器へ向かいます。

10.10.82.3 00:0B:97:BF:E2:24

これらのように他機器の ARP 情報を詐称することを ARP Spoofingと呼びます。

盗聴元機器で FTP クライアントと FTP サーバ間の通信を巧く中継することで、通信を盗聴することがで

き、また中継するデータを改ざんすることも可能となります。

ARP Spoofing を用いて盗聴を行うツールが存在し、盗聴の実施はとても容易です。

10.10.82.3

盗聴対象

FTP サーバ

盗聴対象

FTP クライアント

10.10.82.4

盗聴元機器

10.10.82.1/00:0B:97:BF:E2:24


- 33 -

21. ARP Spoofingの検出と遮断設定

デフォルトの状態では ARP Spoofing の検出と遮断は無効です。

SG2048G login: root

Password: root


SG2048G>enable



SG2048G(config)# mds arp-spoofing-detect ge1-44


SG2048G#write


[OK]


(…省略…)



mls qos enable

mds enable ge1-44 drop

mds uplink ge45-48



mds arp-spoofing-detect ge1-44

(…省略…)

SG2048G#


- 34 -

ARP Spoofing が検出されるとログが記録されます。また ARP Spoofing は遮断されるため盗聴は失敗して

います。

一方、盗聴対象機器間では通信は正常に行われ、ARP Spoofing 遮断による通信不良などは生じません。


- 35 -

盗聴元機器が SG シリーズを通過して ARP Spoofing による盗聴を行うとそれを遮断することができます。

SGシリーズを通過しない盗聴の遮断はできないことにご注意下さい。

上のように盗聴対象 PC#1と盗聴対象 PC#2間の通信の盗聴は SGシリーズで遮断することができません。

その為、盗聴防止用途で SG シリーズを導入する場合、SGシリーズの各ポートに PCを 1台のみ接続する構

成を推奨します。

盗聴対象 PC#2 盗聴対象 PC#1

盗聴元機器


- 36 -

22. ユーザへの有害パケット通知設定

SG シリーズで有害トラフィックが破棄されると、それを発生させている PC のブラウザを利用すると、ブ

ラウザに「有害トラフィック検知のお知らせ」が表示されます。

「有害トラフィック検知のお知らせ」は PCが DNSサーバを参照して名前解決している必要があります。

ブラウザで指定するアクセス先 URL が http://www.networld.co.jp/ のようにデフォルト状態では

FQDN が www で始まる場合のみ、「有害トラフィック検知のお知らせ」が表示されます。



SG2048G(config)#mds web-alert enable alert-per-attack localhost


SG2048G#write


[OK]

SG2048G#


- 37 -

23. レポーティング

VNMクライアントの「Report」から期間「Daily Report」、「Weekly Report」、「Monthly Report」のいずれ

かを選択します。続いて、ポップアップ画面で出力する項目を選択し [Preview] をクリックします。


- 38 -

Preview 画面から RTF ファイルや他画像ファイルとして保存することができます。


- 39 -

24. 設定バックアップ

起動時にロードされる設定ファイル startup-config を tftpサーバに転送しバックアップとします。

転送先ファイル名にはデフォルトで「シリアル番号.conf」になります。

tftp サーバに転送できます。

ftp サーバには転送できません。

running-config を直接バックアップすることができません。running-config をバックアップする場合は

一旦 write コマンドで startup-config に書き出した後、startup-config をバックアップします。

tftp サーバがご用意できない場合、#show startup-config や #show running-config の表示結果をテキ

ストファイルにコピーペーストして保存(バックアップ)することもできます。

10.10.82.1

SG2048G login: root

Password: root


SG2048G>enable

SG2048G#copy startup-config tftp 10.10.82.1 default

Filename is SG1019300049.conf

Starting Transmission....

Finished ....

SG2048G#

tftp サーバ


- 40 -

25. 設定リストア

tftpサーバから設定ファイルを SGシリーズにリストアします。

Default を指定するとファイル名には「シリアル番号.conf」が自動的に利用されます。予め、tftp サ

ーバに設定ファイルをシリアル番号.conf で用意しておきます。

tftpサーバ上の設定ファイルの名前が「シリアル番号.conf」以外の場合は copy tftp 10.10.82.1 ファ

イル名 startup-config を指定します。

設定ファイルを SGシリーズにリストアしたら、リストアした設定ファイル startup-config の設定ファ

イルを反映させるために reloadコマンドを実行します。

reloadコマンドは SGシリーズの再起動を伴います。

tftp サーバと SG シリーズが通信でき状態で SG シリーズに設定ファイルをリストア下さい。工場出荷時

の SG シリーズはネットワーク未設定のため、SGシリーズは tftpサーバと通信ができません。

テキストファイルにコピーペーストされた running-config や startup-config を設定に矛盾が無いよ

うに調整し SGシリーズのコンソールに流しこむことでリストアすることもできます。

10.10.82.1

tftp サーバ

SG2048G#copy tftp 10.10.82.1 default startup-config

Filename is SG1019300049.conf

Starting Transmission....

Finished ....

SG2048G#reload

reboot system? (y/n): y

INIT: Switching to runlevel: 6

Broadcast message from root (console) Tue Oct 5 14:02:55 2010...

The system is going down for reboot NOW !!

INIT: Sending processes the TERM signal

% Connection is closed by administrator!

Restarting system.

================================================================================



================================================================================





SG2048G login:


- 41 -

26. 設定初期化

factory-default コマンドの実行で SGシリーズの設定を初期化(工場出荷時状態)にすることができます。

初期化には SGシリーズの再起動を伴います。

SG2048G login: root

Password: root


SG2048G>enable



SG2048G(config)#factory-default

full reset to factory-default? (y/n): y


Broadcast message from root Tue Oct 5 14:16:26 2010...




Restarting system.

================================================================================



================================================================================





SG2048G login:


- 42 -

27. ファームウェア等のバージョン確認

enable コマンドの実行前に show version を実行できます。

SG2048G login: root

Password: root


SG2048G>show version

SG-48G-1.4.10 09/14/10 12:40:45

Copyright (C) HanDreamNet. All rights reserved.

SG2048G>enable

SG2048G#show system system-info

Vendor : HanDreamNet

Model : SG2048G

Serial No : SG1019300049

Main Memory : 256MB

Flash Memory : 64MB

MGMT MAC : 00:1A:F4:9C:00:76

SF BASE MAC : 00:1A:F4:1C:00:76

HW Version : V1.2

BootLoader Version : 1.1.7

SG2048G#


- 43 -

28. ファームウェアアップデート

ファームウェアのアップデートには ftpサーバおよび、ftpの IDとパスワードが必要です。

tftpサーバではアップデートできません。

10.10.82.1

ftp サーバ

SG2048G login: root

Password: root


SG2048G>enable



SG2048G(config)#update system 10.10.82.1 system.sg2048g.(v1.4.10).encrypted ftpuser ftppassword

Starting download...

12793502 Bytes Done

Verify download image...

Done

Eraseing ...

Erase Total 49 Units

Performing Flash Erase of length 262144 at offset 0xa80000

Done

Writing ... 12793502 / 12793502 bytes

Done

System update OK


SG2048G#reload

reboot system? (y/n): y


Broadcast message from root (console) Tue Oct 5 15:26:22 2010...




Restarting system.

================================================================================



================================================================================





SG2048G login: root

Password: root


SG2048G>


- 44 -

29. MDSの主要設定コマンド

#mds enable RANGE {drop|detect} – MDSの設定適用インタフェースと動作モードを設定します。

#mds uplink RANGE - 指定のインタフェースをアップリンクとして設定します。

#mds arp-spoofing-detect RANGE - ARP Spoofing 防止機能を設定します。

#mds self-loop-detect RANGE - self-loop遮断機能を設定します。

#mds log-server IP_Address - VNMサーバの IPを設定します。

#mds web-alert enable alert-per-attack localhost

- 有害トラフィック検出時にブラウザにメッセージを表示します。

#show mds config - MDSの設定内容を表示します。

#show mds log-server - スイッチと VNM サーバの接続状態を表示します。

#show mds detect-list - 発生中の有害トラフィックの検知・遮断リストを表示します。

#show mds detect-history - 有害トラフィックの検知・遮断リストの最近の履歴を表示します。

以上

HanDreamnet SG スイッチ評価導入ハンズオン · HanDreamnet SG...

Documents

Transcript of HanDreamnet SG スイッチ評価導入ハンズオン · HanDreamnet SG...