DevOps 環境 DDEV の基礎を学ぶハンズオン · 2019. 11. 12. · DevOps 環境DDEV の基礎を学ぶハンズオン Drupalをやさしく学ぶ勉強会 2019年10月 改訂版
HanDreamnet SG スイッチ評価導入ハンズオン · HanDreamnet SG...
Transcript of HanDreamnet SG スイッチ評価導入ハンズオン · HanDreamnet SG...
HanDreamnet SG スイッチ評価導入ハンズオン
L2スイッチにセキュリティを。安全なネットワーク構築を実現します。
株式会社ネットワールド
2013年 03月 29日第 9版
HanDreamnet SG スイッチ評価導入ハンズオン 2013/03/29 第 9版
- 2 -
改訂履歴
改訂日 版 改訂内容
2010/10/05 2 章番号 21が重複のため重複を修正。
ヘッダに作成日と版数を追加。
2010/10/12 3 題名を「HanDreamnet SG スイッチセルフハンズオン」から「HanDreamnet SG スイ
ッチ評価導入ハンズオン」に変更。
「8.コンソル接続」のシリアル設定情報「non parity」から「パリティ無し」に変
更。
「23.ユーザへの有害パケット通知設定」で表示される条件を追加。
「25.設定バックアップ」にコピーペーストでのバックアップ方法を追加。
「26.設定リストア」にコピーペーストでのリストア方法を追加。
「29.ファームウェアアップデート」のコマンド中の ftp ユーザ名を ftpuser、ftp
パスワードを ftppassword に変更。
2010/10/27 4 「17. DoS 攻撃の検出と遮断確認」の ping コマンドから –w 0 を削除。他のネッ
トワーク機器は SG シリーズのuplink に接続する説明を追加。
「23. ユーザへの有害パケット通知設定」、デフォルト状態では www で始まる
FQDN の場合にのみ、通知画面が表示される旨に変更。
2011/02/04 5 「3. VNMの取得」の章を削除。
2011/04/13 6 「29. ファームウェアアップデート」から HanDreamnet 様の VNM 入手 URL を削
除。
2012/05/18 7 「9. ネットワーク設定」から dhcp サーバ機能停止を削除。
2012/06/21 8 「9. ネットワーク設定」の(誤)「 NETMASK: 16 bits(255.55.0.0)」、(正)「NETMASK:
16 bits(255.255.0.0)」に訂正。
「5. VNM インストール」に「 本書では後程、SGシリーズから VNMサーバへ通信
する際、VNMサーバの IP を 10.10.82.1 として記載しております。VNMをインス
トールする PC の IP を 10.10.82.1/16 に変更してから、VNM をインストールし
てください。」を記載しました。理由、SGシリーズで VNMサーバとして 10.10.82.1
を指定していますが、VNMサーバ側の IP を明記していなかったため。
2013/03/29 9 「15. MDSエンジン有効化」に firmware 1.6.0 以上では mds enable コマンドで
drop、detect モード変更前に no mds enable が必要であることを追加しました。
HanDreamnet SG スイッチ評価導入ハンズオン 2013/03/29 第 9版
- 3 -
目次
1. HanDreamnet SGシリーズ概観 .............................................................. 4
2. 構成要素................................................................................. 5
3. VNM の ZIPアーカイブ ..................................................................... 6
4. VNM サーバインストール要件 ............................................................... 7
5. VNM インストール ......................................................................... 8
6. VNM クライアントの起動 .................................................................. 12
7. コンソール接続 .......................................................................... 14
8. コンソールログイン ...................................................................... 15
9. ネットワーク設定 ........................................................................ 16
10. 設定情報確認 ............................................................................ 17
11. VNM サーバ指定 .......................................................................... 18
12. VNM サーバへの SGシリーズ登録 ........................................................... 19
13. MDS 概要................................................................................ 22
14. MDS によるセキュリティ機能の設定適用範囲 ................................................ 23
15. MDS エンジン有効化 ...................................................................... 24
16. DoS 攻撃の検出と遮断確認 ................................................................ 25
17. MDS で検出できる有害トラフィックの種類 .................................................. 28
18. SELF-LOOPの概念 ........................................................................ 29
19. SELF-LOOP 検出および遮断設定 ............................................................ 30
20. ARP Spoofingによる盗聴概要 ............................................................. 32
21. ARP Spoofingの検出と遮断設定 ........................................................... 33
22. ユーザへの有害パケット通知設定 .......................................................... 36
23. レポーティング .......................................................................... 37
24. 設定バックアップ ........................................................................ 39
25. 設定リストア ............................................................................ 40
26. 設定初期化.............................................................................. 41
27. ファームウェア等のバージョン確認 ........................................................ 42
28. ファームウェアアップデート .............................................................. 43
29. MDS の主要設定コマンド .................................................................. 44
HanDreamnet SG スイッチ評価導入ハンズオン 2013/03/29 第 9版
- 4 -
1. HanDreamnet SGシリーズ概観
SG2024、SG2024PoE は 10/100Mbps + 1Gb uplink
SG2024G、SG2048G は 10/100/1000Mbps
HanDreamnet SG スイッチ評価導入ハンズオン 2013/03/29 第 9版
- 5 -
2. 構成要素
SGシリーズの初期設定にはコンソール接続できる PC が必要です。
SGシリーズで検出されたセキュリティイベントのログは VNMサーバに送信、保管されます。VNMサーバに
保管されたログの閲覧には VNMクライアントが必要です。VNMサーバ、クライアントが無くても SGシリー
ズを導入することができます。
SGシリーズの設定のバックアップ、リストアには TFTPサーバが必要です。
SGシリーズのファームウェアのアップデートには FTP サーバが必要です。
コンソール、VNMサーバ・クライアント、TFTPサーバ、FTPサーバは同一 PCで提供されてもかまいません。
Console VNM サーバ
セキュリティイベントログ送信
VNMクライアント
設定(CLI)
TFTPサーバ
設定バックアップ・リストア
FTPサーバ
ファームウェアアップデート
HanDreamnet SG スイッチ評価導入ハンズオン 2013/03/29 第 9版
- 6 -
3. VNMの ZIPアーカイブ
VNM(Visual Node Manager) の ZIPアーカイブには次が含まれています。
・ VNMサーバ VNMSetupEJ.exe
・ VNMクライアント VNMClient_SetupEJ.exe
HanDreamnet SG スイッチ評価導入ハンズオン 2013/03/29 第 9版
- 7 -
4. VNMサーバインストール要件
VNMサーバ最小要件(SGシリーズ10台未満)
OS: Windows XP 32Bit SP2, SP3 または 2003 Server、Vista
CPU: Intel Dual Core 2GHz 以上
Memory: 1GB 以上
HDD: 80 GB 以上
VNMサーバ推奨要件(SGシリーズ10台以上)
OS: Windows XP 32Bit SP2, SP3 または 2003 Server、Vista
CPU: Intel Dual Core 2.6GHz 以上
Memory: 2GB 以上
HDD: 160 GB 以上
他の DB及びアプリケーションと競合する恐れがあり、使用中システム性能が低下する可能性があります。
ウイルス対策ソフトなど他のアプリケーションと競合が発生する可能性があるため、該当アプリケーショ
ンから VNMを例外設定するか、競合アプリケーションを除去して使用しなければいけない場合があります。
尚、ノート PC より Desktop または Serverに構築することをお勧めします。
Detecting IP List 機能は、SG Series 50台未満の環境で使用してください。
50台以上接続するとサーバ負荷が増加され、Service が円滑に作動しない可能性があり、同時接続 100 台
未満を お勧めします。
VNM サーバは TCP 8085、8086、8087 を待受ポートとして使用します。VNM サーバをインストールする PC
ではこれらのポートへのアクセスが許可されるようにクライアントファイアウォール等を調整下さい。
HanDreamnet SG スイッチ評価導入ハンズオン 2013/03/29 第 9版
- 8 -
5. VNMインストール
本書では後程、SG シリーズから VNM サーバへ通信する際、VNM サーバの IP を 10.10.82.1 として記
載しております。VNMをインストールする PC の IP を 10.10.82.1/16 に変更してから、VNM をインスト
ールしてください。
VNMSetupEJ.exeを実行し VNM サーバのインストールを開始します。
VNMSetupEJ.exeには VNMクライアントが含まれ、VNM クライアントも一緒にインストールされます。
VNMClient_SetupEJ.exe は VNM クライアントのみをインストールする場合に用います。VNM サーバがすで
に存在する環境では、VNM クライアントのみを導入し、VNM から既存 NVM サーバに接続することもできま
す。
HanDreamnet SG スイッチ評価導入ハンズオン 2013/03/29 第 9版
- 9 -
[Next]をクリックしインストールを開始します。
HanDreamnet SG スイッチ評価導入ハンズオン 2013/03/29 第 9版
- 10 -
「Install folder」に VNM サーバを導入するフォルダを指定し、[Install]をクリックします。
HanDreamnet SG スイッチ評価導入ハンズオン 2013/03/29 第 9版
- 11 -
Install folderで指定したフォルダが存在しない場合、確認ダイアログが表示されますので[はい]をクリ
ックしてインストールを継続します。
「Installation of Visual Node Manager Completed」が表示されたら、インストール完了です。[Ok]を
クリックします。
HanDreamnet SG スイッチ評価導入ハンズオン 2013/03/29 第 9版
- 12 -
6. VNMクライアントの起動
VNMサーバのインストール完了後、VNMクライアントが自動起動します。
「Server IP Address」には VNMサーバを導入した IPを指定します。VNMクライアントが自動起動された
PCと VNMサーバは同じ PC のため IPは 127.0.0.1を指定します。
VNM サーバは SG シリーズからのデータを保管しますが、VNM サーバそのものには管理画面はありません。
NVMクライアントから VNM サーバにアクセスします。
VNMクライアントの「Password」にはデフォルトパスワード「vnm」を入力します。
HanDreamnet SG スイッチ評価導入ハンズオン 2013/03/29 第 9版
- 13 -
VNMクライアントは VNMサーバ内に保管されているデータを表示するツールです。SGシリーズの設定変更
を行うことはできません。設定変更は SGシリーズにシリアル接続、SSH接続しコマンドラインインターフ
ェースから行います。
HanDreamnet SG スイッチ評価導入ハンズオン 2013/03/29 第 9版
- 14 -
7. コンソール接続
シリアル設定
9600 bps、8 bits data、1 stop bit、パリティ無し、フロー制御無し
SGシリーズにはデフォルト IPは設定されていません。SGシリーズの設定はコンソル接続を行い、コンソ
ールから実施します。
SGシリーズに付属のコンソール(シリアル)ケーブルを用いて SGシリーズと PCを接続します。
HanDreamnet SG スイッチ評価導入ハンズオン 2013/03/29 第 9版
- 15 -
8. コンソールログイン
PC 上のターミナルソフトを起動し、9600 bps、8 bits data、1 stop bit、パリティ無し、フロー制御無
しに設定します。
SGシリーズの電源を ONにします。
ターミナルソフトに login:が表示されたらログインします。デフォルトログイン名は「root」、デフォル
トパスワードは「root」です。
================================================================================
Boot Loader Ver 1.1.7
builddate : Thu May 20 11:12:03 KST 2010
================================================================================
Loading: ........... 16777216 bytes read
Image Name : SG2048G_1 System Image
INIT: version 2.78 booting
INIT: Entering runlevel: 3
SG2048G login: root
Password: root
SGOS version 1.4.10 SGL2-OS 09/14/10 12:40:45
SG2048G>
HanDreamnet SG スイッチ評価導入ハンズオン 2013/03/29 第 9版
- 16 -
9. ネットワーク設定
ネットワーク設定例
IP: 10.10.82.254
NETMASK: 16 bits(255.255.0.0)
Default Gateway IP: 10.10.0.254
DNS IP: 10.1.0.200
ssh 接続有効化
デフォルト VLANの vlan1.1 に IPを設定します。
設定の解除は次の通りです。
#no ip address 10.10.82.254/16
#no ip route 0.0.0.0/0 10.10.0.254
#no ip name-server 10.1.0.200
#no service sshd
設定内容の保存は「write」です。
SG2048G>enable
SG2048G#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
SG2048G(config)#interface vlan1.1
SG2048G(config-if)#ip address 10.10.82.254/16
SG2048G(config-if)#exit
SG2048G(config)#ip route 0.0.0.0/0 10.10.0.254
SG2048G(config)#ip name-server 10.1.0.200
SG2048G(config)#service sshd
SG2048G(config)#exit
SG2048G#write
Building configuration...
[OK]
SG2048G#
HanDreamnet SG スイッチ評価導入ハンズオン 2013/03/29 第 9版
- 17 -
10. 設定情報確認
#show running-config を実行し、設定情報を確認します。
SG2048G#show running-config
!
service password-encryption
!
username root password 8 4DBfucrfjXL6o
!
ip name-server 10.1.0.200
ip domain-lookup
!
bridge 1 protocol rstp vlan-bridge
!
spanning-tree mst config
!
mls qos enable
mds enable ge1-44 detect
mds uplink ge45-48
!
interface ge1
bridge-group 1
switchport mode access
switchport mode access acceptable-frame-type all
!
(…省略…)
!
interface lo
ip address 127.0.0.1/8
ipv6 address ::1/128
!
interface vlan1.1
ip address 10.10.82.254/16
ipv6 address fe80::21a:f4ff:fe1c:76/64
!
ip route 0.0.0.0/0 10.10.0.254
!
timezone GMT+9
!
service sshd
line con 0
login local
line vty 0 5
login local
!
end
SG2048G#
HanDreamnet SG スイッチ評価導入ハンズオン 2013/03/29 第 9版
- 18 -
11. VNMサーバ指定
VNMサーバ指定例
VNM サーバ IP: 10.10.82.1
SNMP ReadOnly コミュニティ名: SG2048G_ro
SNMP Write コミュニティ名: SG2048G_rw
SGシリーズのログを送信する VNMサーバを指定します。
この際、SNMP ReadOnlyおよび Writeコミュニティ名を合わせて指定します。
ReadOnlyと Writeでは異なるコミュニティ名を指定下さい。
SG2048G#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
SG2048G(config)#mds log-server 10.10.82.1
SG2048G(config)#snmp-server community ro SG2048G_ro
SG2048G(config)#snmp-server community rw SG2048G_rw
SG2048G(config)#exit
SG2048G#write
Building configuration...
[OK]
SG2048G#show running-config
(…省略…)
snmp-server community ro SG2048G_ro
snmp-server community rw SG2048G_rw
mls qos enable
mds enable ge1-44 detect
mds uplink ge45-48
mds log-server 10.10.82.1 8085
(…省略…)
SG2048G#
HanDreamnet SG スイッチ評価導入ハンズオン 2013/03/29 第 9版
- 19 -
12. VNMサーバへの SGシリーズ登録
VNM サーバへは SG シリーズが自動登録されます。VNM クライアントで SG スイッチが登録されていること
を確認します。
SGシリーズのアイコンには のように ▽ (赤三角)が表示されます。これは SNMP 接続不良を現して
います。
SGシリーズのアイコンをダブルクリックし、Edit Device Information 画面で SNMP のコミュニティ等を
設定します。
VNMクライアントに SGシリーズが登録されない場合、SGシリーズから VNMサーバの待受ポート TCP 8085、
8086、8087へのアクセスができる状態になっているかを確認下さい。
HanDreamnet SG スイッチ評価導入ハンズオン 2013/03/29 第 9版
- 20 -
SNMP設定例
Read Only コミュニティ名: SG2048_ro
Write コミュニティ名: SG2048_rw
SNMP コミュニティ名を入力、IP Gathering を有効(チェック有り)、Manager の 1st で「Admin」を選択
します。[Edit] をクリックすると設定されます。
HanDreamnet SG スイッチ評価導入ハンズオン 2013/03/29 第 9版
- 21 -
VNMサーバに SG シリーズが正しく登録され、SGシリーズのアイコン から(赤三角)が無くなります。
HanDreamnet SG スイッチ評価導入ハンズオン 2013/03/29 第 9版
- 22 -
13. MDS 概要
SGシリーズにはセキュリティ機能をつかさどる MDS(Multi Dimension Security)が搭載されています。
MDSは次の特徴を有しています。
セキュリティ処理部分を ASICでハードウェア化したエンジンです。
トラフィック中の Layer4ヘッダーまで参照、セキュリティ処理は自動処理可能です。
スイッチング性能を落とさず、維持しながら有害トラフィックを検知、遮断します。
定義ファイルは不要で、更新の必要もありません(定義ファイルの概念がありません)。
管理サーバ不要でスイッチ単独で動作します。
Sensor Log
MD Protection
Engine
RT Packet
Gathering Module
Switching Fabric Protection
DDoS Class
DoS Class
Scan Class
Random
Class
Security Filter
Module
HanDreamnet SG スイッチ評価導入ハンズオン 2013/03/29 第 9版
- 23 -
14. MDSによるセキュリティ機能の設定適用範囲
MDSのセキュリティ機能は uplinkポートには機能しません。
デフォルトでは次の uplink ポートがあります。
SG2024: ge1、ge2
SG2024PoE: ge1、ge2
SG2024G: ge23、ge24
SG2048G: ge45、ge46、ge47、ge48
デフォルトでは MDSのセキュリティ機能は次のポートに設定することができます。
SG2024: fe1 – fe24
SG2024PoE: fe1 – fe24
SG2024G: ge1 – ge22
SG2048G: ge1 – ge44
ユーザリンク
ユーザリンク
ユーザリンク
ユーザリンク
アップリンク
アップリンク
アップリンク
HanDreamnet SG スイッチ評価導入ハンズオン 2013/03/29 第 9版
- 24 -
15. MDSエンジン有効化
デフォルトの状態では MDS は「detect」(検出)のみで、有害パケットの遮断はしません。しかしながら有
害パケットを検出すると、VNM サーバへイベントログを送信します。その為、デフォルトの「detect」の
まま SG シリーズを設置すれば、ネットワークへの影響を与えずに設置することができます。また VNM ク
ライアントで MDSが有害なものを検出されているかを確認することができます。
有害パケットの遮断(実際には破棄)を行うために MDS に「drop」を設定します。Firmware 1.6.0 以上で
は mds enable <ポート> drop または detect でモードを変更する前に、no mds enable を実行下さい。
SG2048G login: root
Password: root
SGOS version 1.4.10 SGL2-OS 09/14/10 12:40:45
SG2048G>enable
SG2048G#show running-config
(…省略…)
snmp-server community ro SG2048G_ro
snmp-server community rw SG2048G_rw
mls qos enable
mds enable ge1-44 detect
mds uplink ge45-48
mds self-loop-detect ge1-44
mds log-server 10.10.82.1 8085
(…省略…)
SG2048G#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
SG2048G(config)#no mds enable ← firmware 1.6.0 以上では必須です。
SG2048G(config)#mds enable ge1-44 drop
SG2048G(config)#exit
SG2048G#write
Building configuration...
[OK]
SG2048G#show running-config
(…省略…)
snmp-server community ro SG2048G_ro
snmp-server community rw SG2048G_rw
mls qos enable
mds enable ge1-44 drop
mds uplink ge45-48
mds log-server 10.10.82.1 8085
(…省略…)
SG2048G#
HanDreamnet SG スイッチ評価導入ハンズオン 2013/03/29 第 9版
- 25 -
16. DoS攻撃の検出と遮断確認
ネットワーク接続例
PC を SG シリーズに接続し、PC から PC のデフォルトゲートウェイ IP に ping を連続送信します。SG シリ
ーズの MDSにより pingが DoS攻撃として検出されるかを確認します。
重要、ネットワーク機器を SG シリーズに接続する場合、SG シリーズの uplink ポートに接続してくだ
さい。 ユーザポートにルータを経由したトラフィックが届くと、正常な通信であっても DDoS(IP_Spoof)
として検出されたり、遮断されます。ルータを経由したパケットのソース MAC はルータの MAC に集約さ
れるますがソース IP は通信元 IP のままです。SG シリーズからみると、一つの MAC アドレスから複数
の IP アドレスを利用した通信が届くように見え、それが DDoS(IP_Spoof)として見えるためです。
10.10.0.254
10.10.82.1
C:> ping –n 100 –l 65500 –i 1 10.10.0.254
HanDreamnet SG スイッチ評価導入ハンズオン 2013/03/29 第 9版
- 26 -
ping が Request timed out になったら、VNM クライアント上の SG シリーズのアイコンが になって
いることを確認します。そのアイコンをクリック、続いて [Device Status] タブをクリックします。
PC を接続しているポートが (ポート図にイナズマ)になっていることが確認できます。 は MDS
によりそのポートで有害なトラフィックが検出されていることを意味しています。
C:> ping –n 100 –l 65500 –i 1 10.10.0.254
Pinging 10.10.0.254 with 65500 bytes of data:
Reply from 10.10.0.254: bytes=65500 time=24ms TTL=128
(…省略…)
Reply from 10.10.0.254: bytes=65500 time=24ms TTL=128
Request timed out.
Request timed out.
HanDreamnet SG スイッチ評価導入ハンズオン 2013/03/29 第 9版
- 27 -
続いて [MDS Event]タブ、[Device]タブより、DoS_Attack が記録されていることを確認します。ここに記
録されている DoS_Attackは Drop (破棄)されています。
一般的なスイッチ製品ではどのポートで DoS攻撃が行われているかを知ることは容易ではありません。SG
シリーズでは VNMを併用することで、攻撃が行われているポートだけではなく、攻撃時刻、攻撃元 IP等 を
容易に知ることができます。
DoS攻撃が終了してもログに記録されているため、攻撃終了後でもそれらを知ることができます。
HanDreamnet SG スイッチ評価導入ハンズオン 2013/03/29 第 9版
- 28 -
17. MDSで検出できる有害トラフィックの種類
MDSで検出できる有害トラフィック
ARP_Spoofing: ARP Spoofing、ARP Poisoning。通信を行う 2台の攻撃対象機器に ARP request
を用いて偽 MAC 情報を送信します。攻撃対象機器間の通信が攻撃元機器経
由で行うことができ、IP 電話盗聴、情報漏えい、情報改ざんに利用されま
す。
BroadCAST_Attack:
DoS_Attack: DoS、DHCP Flooding。攻撃元機器から攻撃対象機器へ大量の通信を発生さ
せ、攻撃対象機器の応答性を低下させます。
DDoS(IP_Spoofing): DDoS、IP Spoofing。複数の攻撃元機器(単数でも複数に見える)から攻撃対
象機器へ大量の通信を発生させ、攻撃対象機器の応答性を低下させます。
DoS_Fooding: DoS Flooding、Port Flooding。DoS_Attack の攻撃対象機器のポートが複
数になるものです。
Random_Attack: 攻撃元機器のソースポートをランダムに変更させながら複数の攻撃対象機
器のポートスキャンを行う。攻撃元機器のソースポートがランダムに変更
され、複数の正常な通信が行われているるように見えスキャン活動をして
いると悟られないようにする方法です。
Host_Drop: 攻撃元機器が複数の有害トラフィックを発生し、MDS のフィルタリングのみ
では危険だと判断した場合、攻撃元機器 MAC からの通信を遮断する。こ
の際に VNMに記録される名称です。
Scan_Attack: IP Scanning、Port Scanning、Host Scanning。ネットワークに接続され
る機器の検索活動です。
Self_Loop: ネットワークのループ上結線です。
SYN_Flood_Attack: Syn Flooding。TCP 3 WAY ハンドシェークを意図的に未完了状態にし、
攻撃対象機器上にデータ送受信のために用意されたメモリ上のバッファを
破棄させないよにします。これを多数行うことで攻撃対象機器をメモリ不
足状態におとしいれるものです。
ICMP_Redir_Attack: ICMP Redirect を利用し攻撃対象機器の経路情報を変更するものです。
(MAC Flooding): MAC Flooding、ARP Attack。攻撃元機器から通信元 MACの異なる大量の ARP
Request を送信することで、スイッチ機器の MAC テーブルを偽 MAC 情報で
満たす。これにより、スイッチに届く通信は適切なポートへ送出すること
ができずに全ポートに送出され、ネットワーク負荷を高める攻撃となりま
す。
MAC Flooding は MDS ではなく、SGシリーズの port-security で防御され
ます(ポート毎に認識できる MACの数の指定で対処します)。
ARP_Spoofing、Self_Loop、MAC Flooding 以外は #mds enable ge1-44 drop の 1 コマンドで遮断(破棄)
されます。ARP_Spoofing、Self_Loop、MAC Flooding は個別の設定方法(コマンド)があります。
#mds self-loop-detect ge1-44
#mds arp-spoofing-detect ge1-44
HanDreamnet SG スイッチ評価導入ハンズオン 2013/03/29 第 9版
- 29 -
#max-macs 10
18. SELF-LOOPの概念
SELF-LOOP が生じている一般的なスイッチ製品ではその製品が送出したブロードキャストを自信で受け取
り、再び送出を繰り返しブロードキャストストームと呼ばれる事態が生じます。
この事態が生じると、そのブロードキャストドメインには大量のブロードキャストパケットが繰り返し送
出され、ネットワーク帯域の大量消費が生じます。これによりネットワークの通信不良が生じます。
SGシリーズは SELF-LOOPの検知、SELF-LOOPが生じているポートに流入する全パケットを自動破棄するこ
とができます。
loop
loop
HanDreamnet SG スイッチ評価導入ハンズオン 2013/03/29 第 9版
- 30 -
19. SELF-LOOP 検出および遮断設定
SELF-LOOP 検出および遮断設定
ポート 1 から 44で SELF-LOOPを検出、遮断
デフォルトの状態では SELF-LOOPの検出と遮断は無効です。
SG2048G login: root
Password: root
SGOS version 1.4.10 SGL2-OS 09/14/10 12:40:45
SG2048G>enable
SG2048G#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
SG2048G(config)#mds self-loop-detect ge1-44
SG2048G(config)#exit
SG2048G#write
Building configuration...
[OK]
SG2048G#show running-config
(…省略…)
snmp-server community ro SG2048G_ro
snmp-server community rw SG2048G_rw
mls qos enable
mds enable ge1-44 detect
mds uplink ge45-48
mds self-loop-detect ge1-44
mds log-server 10.10.82.1 8085
(…省略…)
SG2048G#
HanDreamnet SG スイッチ評価導入ハンズオン 2013/03/29 第 9版
- 31 -
SGシリーズのポート 14と 18を LANケーブルで接続しループ状態にします。VNMクライアントで Self_Loop
が検出されることを確認します。
この確認は SGシリーズをネットワークに接続していない状態で実施下さい。SGシリーズの設定誤りによ
り、Self_Loopの検知と遮断ができなかった場合、ネットワークにブロードキャストストームを生じさせ
てしまうリスクがあります。
loop
HanDreamnet SG スイッチ評価導入ハンズオン 2013/03/29 第 9版
- 32 -
20. ARP Spoofing による盗聴概要
盗聴元機器の MACを盗聴対象機器に送信し、盗聴対象機器間の通信を盗聴元機器経由でおこなうことがで
きます。
盗聴元機器より次の IPと MACの組み合わせで ARP REQUESTをブロードキャストします。
ソース IP 10.10.82.3 + ソース MAC 00:0B:97:BF:E2:24、ARP REQUEST IP 10.10.82.4
ソース IP 10.10.82.4 + ソース MAC 00:0B:97:BF:E2:24、ARP REQUEST IP 10.10.82.3
すると盗聴対象 FTPクライアントの ARP テーブルには次が記録され、FTPクライアントから FTP サーバへ
の通信は盗聴元機器へ向かいます。
10.10.82.4 00:0B:97:BF:E2:24
一方、盗聴対象 FTPサーバの ARP テーブルには次が記録されるため、FTPサーバから FTP クライアントの
通信は盗聴元機器へ向かいます。
10.10.82.3 00:0B:97:BF:E2:24
これらのように他機器の ARP 情報を詐称することを ARP Spoofingと呼びます。
盗聴元機器で FTP クライアントと FTP サーバ間の通信を巧く中継 することで、通信を盗聴することがで
き、また中継するデータを改ざんすることも可能となります。
ARP Spoofing を用いて盗聴を行うツールが存在し、盗聴の実施はとても容易です。
10.10.82.3
盗聴対象
FTP サーバ
盗聴対象
FTP クライアント
10.10.82.4
盗聴元機器
10.10.82.1/00:0B:97:BF:E2:24
HanDreamnet SG スイッチ評価導入ハンズオン 2013/03/29 第 9版
- 33 -
21. ARP Spoofingの検出と遮断設定
デフォルトの状態では ARP Spoofing の検出と遮断は無効です。
SG2048G login: root
Password: root
SGOS version 1.4.10 SGL2-OS 09/14/10 12:40:45
SG2048G>enable
SG2048G#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
SG2048G(config)# mds arp-spoofing-detect ge1-44
SG2048G(config)#exit
SG2048G#write
Building configuration...
[OK]
SG2048G#show running-config
(…省略…)
snmp-server community ro SG2048G_ro
snmp-server community rw SG2048G_rw
mls qos enable
mds enable ge1-44 drop
mds uplink ge45-48
mds self-loop-detect ge1-44
mds log-server 10.10.82.1 8085
mds arp-spoofing-detect ge1-44
(…省略…)
SG2048G#
HanDreamnet SG スイッチ評価導入ハンズオン 2013/03/29 第 9版
- 34 -
ARP Spoofing が検出されるとログが記録されます。また ARP Spoofing は遮断されるため盗聴は失敗して
います。
一方、盗聴対象機器間では通信は正常に行われ、ARP Spoofing 遮断による通信不良などは生じません。
HanDreamnet SG スイッチ評価導入ハンズオン 2013/03/29 第 9版
- 35 -
盗聴元機器が SG シリーズを通過して ARP Spoofing による盗聴を行うとそれを遮断することができます。
SGシリーズを通過しない盗聴の遮断はできないことにご注意下さい。
上のように盗聴対象 PC#1と盗聴対象 PC#2間の通信の盗聴は SGシリーズ で遮断することができません。
その為、盗聴防止用途で SG シリーズを導入する場合、SGシリーズの各ポートに PCを 1台のみ接続する構
成を推奨します。
盗聴対象 PC#2 盗聴対象 PC#1
盗聴元機器
HanDreamnet SG スイッチ評価導入ハンズオン 2013/03/29 第 9版
- 36 -
22. ユーザへの有害パケット通知設定
SG シリーズで有害トラフィックが破棄されると、それを発生させている PC のブラウザを利用すると、ブ
ラウザに「有害トラフィック検知のお知らせ」が表示されます。
「有害トラフィック検知のお知らせ」は PCが DNSサーバを参照して名前解決している必要があります。
ブラウザで指定するアクセス先 URL が http://www.networld.co.jp/ のようにデフォルト状態では
FQDN が www で始まる場合のみ、「有害トラフィック検知のお知らせ」が表示されます。
SG2048G#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
SG2048G(config)#mds web-alert enable alert-per-attack localhost
SG2048G(config)#exit
SG2048G#write
Building configuration...
[OK]
SG2048G#
HanDreamnet SG スイッチ評価導入ハンズオン 2013/03/29 第 9版
- 37 -
23. レポーティング
VNMクライアントの「Report」から期間「Daily Report」、「Weekly Report」、「Monthly Report」のいずれ
かを選択します。続いて、ポップアップ画面で出力する項目を選択し [Preview] をクリックします。
HanDreamnet SG スイッチ評価導入ハンズオン 2013/03/29 第 9版
- 38 -
Preview 画面から RTF ファイルや他画像ファイルとして保存することができます。
HanDreamnet SG スイッチ評価導入ハンズオン 2013/03/29 第 9版
- 39 -
24. 設定バックアップ
起動時にロードされる設定ファイル startup-config を tftpサーバに転送しバックアップとします。
転送先ファイル名にはデフォルトで「シリアル番号.conf」になります。
tftp サーバに転送できます。
ftp サーバには転送できません。
running-config を直接バックアップすることができません。running-config をバックアップする場合は
一旦 write コマンドで startup-config に書き出した後、startup-config をバックアップします。
tftp サーバがご用意できない場合、#show startup-config や #show running-config の表示結果をテキ
ストファイルにコピーペーストして保存(バックアップ)することもできます。
10.10.82.1
SG2048G login: root
Password: root
SGOS version 1.4.10 SGL2-OS 09/14/10 12:40:45
SG2048G>enable
SG2048G#copy startup-config tftp 10.10.82.1 default
Filename is SG1019300049.conf
Starting Transmission....
Finished ....
SG2048G#
tftp サーバ
HanDreamnet SG スイッチ評価導入ハンズオン 2013/03/29 第 9版
- 40 -
25. 設定リストア
tftpサーバから設定ファイルを SGシリーズにリストアします。
Default を指定するとファイル名には「シリアル番号.conf」が自動的に利用されます。予め、tftp サ
ーバに設定ファイルを シリアル番号.conf で用意しておきます。
tftpサーバ上の設定ファイルの名前が「シリアル番号.conf」以外の場合は copy tftp 10.10.82.1 ファ
イル名 startup-config を指定します。
設定ファイルを SGシリーズにリストアしたら、リストアした設定ファイル startup-config の設定ファ
イルを反映させるために reloadコマンドを実行します。
reloadコマンドは SGシリーズの再起動を伴います。
tftp サーバと SG シリーズが通信でき状態で SG シリーズに設定ファイルをリストア下さい。工場出荷時
の SG シリーズはネットワーク未設定のため、SGシリーズは tftpサーバと通信ができません。
テキストファイルにコピーペーストされた running-config や startup-config を設定に矛盾が無いよ
うに調整し SGシリーズのコンソールに流しこむことでリストアすることもできます。
10.10.82.1
tftp サーバ
SG2048G#copy tftp 10.10.82.1 default startup-config
Filename is SG1019300049.conf
Starting Transmission....
Finished ....
SG2048G#reload
reboot system? (y/n): y
INIT: Switching to runlevel: 6
Broadcast message from root (console) Tue Oct 5 14:02:55 2010...
The system is going down for reboot NOW !!
INIT: Sending processes the TERM signal
% Connection is closed by administrator!
Restarting system.
================================================================================
Boot Loader Ver 1.1.7
builddate : Thu May 20 11:12:03 KST 2010
================================================================================
Loading: ........... 16777216 bytes read
Image Name : SG2048G_1 System Image
INIT: version 2.78 booting
INIT: Entering runlevel: 3
SG2048G login:
HanDreamnet SG スイッチ評価導入ハンズオン 2013/03/29 第 9版
- 41 -
26. 設定初期化
factory-default コマンドの実行で SGシリーズの設定を初期化(工場出荷時状態)にすることができます。
初期化には SGシリーズの再起動を伴います。
SG2048G login: root
Password: root
SGOS version 1.4.10 SGL2-OS 09/14/10 12:40:45
SG2048G>enable
SG2048G#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
SG2048G(config)#factory-default
full reset to factory-default? (y/n): y
INIT: Switching to runlevel: 6
Broadcast message from root Tue Oct 5 14:16:26 2010...
The system is going down for reboot NOW !!
INIT: Sending processes the TERM signal
% Connection is closed by administrator!
Restarting system.
================================================================================
Boot Loader Ver 1.1.7
builddate : Thu May 20 11:12:03 KST 2010
================================================================================
Loading: ........... 16777216 bytes read
Image Name : SG2048G_1 System Image
INIT: version 2.78 booting
INIT: Entering runlevel: 3
SG2048G login:
HanDreamnet SG スイッチ評価導入ハンズオン 2013/03/29 第 9版
- 42 -
27. ファームウェア等のバージョン確認
enable コマンドの実行前に show version を実行できます。
SG2048G login: root
Password: root
SGOS version 1.4.10 SGL2-OS 09/14/10 12:40:45
SG2048G>show version
SG-48G-1.4.10 09/14/10 12:40:45
Copyright (C) HanDreamNet. All rights reserved.
SG2048G>enable
SG2048G#show system system-info
Vendor : HanDreamNet
Model : SG2048G
Serial No : SG1019300049
Main Memory : 256MB
Flash Memory : 64MB
MGMT MAC : 00:1A:F4:9C:00:76
SF BASE MAC : 00:1A:F4:1C:00:76
HW Version : V1.2
BootLoader Version : 1.1.7
SG2048G#
HanDreamnet SG スイッチ評価導入ハンズオン 2013/03/29 第 9版
- 43 -
28. ファームウェアアップデート
ファームウェアのアップデートには ftpサーバおよび、ftpの IDとパスワードが必要です。
tftpサーバではアップデートできません。
10.10.82.1
ftp サーバ
SG2048G login: root
Password: root
SGOS version 1.4.9 SGL2-OS 08/05/10 18:47:25
SG2048G>enable
SG2048G#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
SG2048G(config)#update system 10.10.82.1 system.sg2048g.(v1.4.10).encrypted ftpuser ftppassword
Starting download...
12793502 Bytes Done
Verify download image...
Done
Eraseing ...
Erase Total 49 Units
Performing Flash Erase of length 262144 at offset 0xa80000
Done
Writing ... 12793502 / 12793502 bytes
Done
System update OK
SG2048G(config)#exit
SG2048G#reload
reboot system? (y/n): y
INIT: Switching to runlevel: 6
Broadcast message from root (console) Tue Oct 5 15:26:22 2010...
The system is going down for reboot NOW !!
INIT: Sending processes the TERM signal
% Connection is closed by administrator!
Restarting system.
================================================================================
Boot Loader Ver 1.1.7
builddate : Thu May 20 11:12:03 KST 2010
================================================================================
Loading: ........... 16777216 bytes read
Image Name : SG2048G_1 System Image
INIT: version 2.78 booting
INIT: Entering runlevel: 3
SG2048G login: root
Password: root
SGOS version 1.4.10 SGL2-OS 09/14/10 12:40:45
SG2048G>
HanDreamnet SG スイッチ評価導入ハンズオン 2013/03/29 第 9版
- 44 -
29. MDSの主要設定コマンド
#mds enable RANGE {drop|detect} – MDSの設定適用インタフェースと動作モードを設定します。
#mds uplink RANGE - 指定のインタフェースをアップリンクとして設定します。
#mds arp-spoofing-detect RANGE - ARP Spoofing 防止機能を設定します。
#mds self-loop-detect RANGE - self-loop遮断機能を設定します。
#mds log-server IP_Address - VNMサーバの IPを設定します。
#mds web-alert enable alert-per-attack localhost
- 有害トラフィック検出時にブラウザにメッセージを表示します。
#show mds config - MDSの設定内容を表示します。
#show mds log-server - スイッチと VNM サーバの接続状態を表示します。
#show mds detect-list - 発生中の有害トラフィックの検知・遮断リストを表示します。
#show mds detect-history - 有害トラフィックの検知・遮断リストの最近の履歴を表示します。
以上