コンテンツにスキップ
CLI および API ガイドを含むローカル管理スイッチのドキュメントを開くには、ここをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=switch-management-security

セキュリティ

Sophos Switch のセキュリティ設定を構成できます。これには、DoS 保護、802.1X 認証、ポートセキュリティ、RADIUS および TACACS+ サーバーの追加と削除が含まれます。

DoS

Sophos Switch は、サービス拒否 (DoS) 攻撃を監視およびブロックできます。DoS 攻撃は、ホストを過負荷にしてネットワークへの接続を中断させることを目的としたネットワークトラフィックです。

オン」または「オフ」を選択し て、DoS 対策のオン/オフを切り替えます。スイッチ上でローカルに設定された設定を使用するには、「未設定」を選択します。

DoS をオンまたはオフにした後、「更新」をクリックして 変更を保存します。

DoS をオンにすると、スイッチは次のタイプの DoS 攻撃に一致するパケットをドロップします。

  • 送信元 MAC と同じ宛先 MAC:送信元 MAC アドレスと宛先 MAC アドレスが同じトラフィックをドロップします。
  • 送信元 IP と同じ宛先 IP の LAND 攻撃 (IPv4/IPv6):送信元 IP アドレスと宛先 IP アドレスが同じパケットをドロップします。

  • TCP Blat (送信元 TCP ポートと同じ宛先 TCP ポート):送信元 TCP ポートと宛先 TCP ポートが同じ場合、TCP パケットをドロップします。

    ネットワークタイムプロトコル (NTP) クライアントは、同じ送信元ポートと宛先ポートを使用することがあります。DoS 対策をオンにすると、Sophos Switch はこれを TCP Blat 攻撃として検出し、パケットをドロップします。同じ送信元ポートと宛先ポートを使用する古い NTP クライアントを実行している場合は、DoS 対策をオフにすることをお勧めします。

  • UDP Blat (宛先 UDP ポートと同じ送信元 UDP ポート):送信元 UDP ポートと宛先 UDP ポートが同じ場合、UDP パケットをドロップします。

  • Ping of Death (IPv4/IPv6):64K バイトを超える長さのパケットをフラグメントによってドロップします。
  • IPv6 最小フラグメント (バイト):IPv6 フラグメントの最小サイズを 1240バイトに制限します。
  • ICMP フラグメント (IPv4/IPv6):フラグメント化された ICMP パケットをドロップします。
  • IPv4 Ping 最大サイズ:IPv4 ping パケットの最大長を 512バイトに制限します。
  • IPv6 Ping 最大サイズ:IPv6 ping パケットの最大長を 512 バイトに制限します。
  • Smurf 攻撃 (ネットマスク長):ブロードキャスト ICMP パケットのネットマスク長を 24 (x.x.x.255) に制限します。
  • TCP 最小ヘッダーサイズ (バイト):TCP ヘッダーの最小サイズを 20バイトに制限します。
  • TCP-SYN:SYN フラグが設定されていて、ACK フラグが設定されておらず、送信元ポートが 1024より小さい TCP パケットをドロップします。
  • Null スキャン:フラグが設定されておらず、シーケンス番号がゼロの TCPパケットをドロップします。
  • Xmas:シーケンス番号が 0 で、FIN、URG、および PSH フラグが設定されている TCP パケットをドロップします。
  • TCP SYN-FIN:SYN フラグおよびFINフラグが設定された TCP パケットをドロップします。
  • TCP SYN-RST:SYN フラグおよび RST フラグが設定された TCP パケットをドロップします。

802.1X

Sophos Switch は、RADIUS または TACACS+ サーバーを使用してユーザーとデバイスを認証するための 802.1X ポートベースのネットワークアクセス制御をサポートしています。

グローバル設定

グローバル設定 」タブでは、802.1X 認証をオンまたはオフにします。ゲスト VLAN 割り当てを管理し、ゲスト VLAN ID を設定し、認証方法を選択することもできます。

以下のグローバル設定を構成できます。

  • 状態:「オン」または「オフ」を選択して、802.1X 認証をオンまたはオフにします。スイッチ上でローカルに設定された設定を使用するには、「未設定」を選択します。
  • ゲスト VLANオンまたはオフを選択します。「ゲスト VLAN ID」を設定するには、「オン」を選択する必要があります。スイッチ上でローカルに設定された設定を使用するには、「未設定」を選択します。
  • ゲスト VLAN ID:定義された VLAN のリストから VLAN を選択します。
  • 認証方法:ドロップダウンリストから「ローカルユーザー」、「RADIUS」、または「TACACS+」を選択します。

設定のソース」には、設定の発信元が表示されます。

設定を保存するには「更新」をクリックし、保存されていない変更を削除するには「クリア」をクリックします。

ポートの設定

ポート設定」タブでは、ポート設定を構成し、802.1X、MAC 認証バイパス (MAB)、またはその両方の組み合わせを使用して認証を設定できます。MAB を設定するには、MAC 認証バイパス (MAB) を設定するを参照してください。

設定するポートを選択し、「編集」をクリックします。

以下の項目を設定できます。

  • モード:以下のオプションからポートモードを選択します。

    • 未設定:スイッチでローカルに設定された設定を使用します。
    • 自動:インターフェースで 802.1X 認証をオンにします。「ホストベース」を「認証モード」に使用する場合は、「自動」を選択する必要があります。
    • 強制的に認証:インターフェース上のすべての未認証トラフィックをブロックします。
    • 強制的に未認証:インターフェース上のすべての未認証トラフィックを許可します。

  • MAB モード:以下のオプションから MAB モードを選択します。

    • 未設定:スイッチでローカルに設定された設定を使用します。
    • MAB:MAB のみを使用します。
    • ハイブリッド:最初に 802.1X を使用して認証を試みます。3回の失敗した試行の後、スイッチは代わりに MAB を使用します。
    • 無効:MAB を使用しません。

  • 認証モード:以下のオプションから認証モードを選択します。

    • 未設定:スイッチでローカルに設定された設定を使用します。
    • ポートベース:各ポートに接続されたホストを認証します。
    • ホストベース:単一のポート上のすべてのトラフィックを認証します。

  • 最大ホスト数:この設定は、「認証モード」が「ホストベース」に設定されている場合にのみ適用されます。ポートに接続できるホストの最大数を設定します。110 の間の値を設定します。

  • ゲスト VLAN:「ゲストVLAN」をオンまたはオフにします。「ホストベース」を「認証モード」に使用する場合は、オフにする必要があります。
  • RADIUS VLAN の割り当て:「RADIUS VLAN割り当て」をオンまたはオフにします。「ホストベース」を「認証モード」に使用する場合は、オフにする必要があります。
  • 再認証:ポートの再認証をオンまたはオフにします。
  • 再認証の期間:ポートが再認証する必要のあるまでの時間 (秒)。3065535 の間の値を設定します。デフォルトの値は 3600 です。
  • 非通信期間:認証失敗後にスイッチが再認証を試みるまでの時間(秒)。065535 の間の値を設定します。デフォルトの値は 60 です。
  • 申請期間:この設定は、スイッチが EAP リクエストを送信する頻度 (秒) を制御します。スイッチは、この間隔で 3回リクエストを送信した後、MABに切り替えます。065535 の間の値を設定します。デフォルトの値は 30 です。
  • 承認の状態:指定されたポートの認証状態を表示します。

設定のソース」には、ポート設定の発信元が表示されます。

設定を保存するには「更新」をクリックし、保存されていない変更を削除するには「クリア」をクリックします。

認証済みホスト

認証されたホスト」タブには、認証されたホストに関する情報が表示されます。

ポートセキュリティ

ポートセキュリティ」タブでは、スイッチが特定のポートで学習できる MAC アドレスの数を制限できます。

以下の項目を設定できます。

  • ポート:設定が適用されるポート。
  • 状態:「有効」または「無効」を選択して、「ポートセキュリティ」をオンまたはオフにします。
  • MAC アドレスの最大数:指定されたポートでスイッチが学習できる MAC アドレスの最大数を入力します。指定できる範囲は 1 から256 です。

設定のソース」には、ポートセキュリティ設定の発信元が表示されます。

設定を保存するには「更新」をクリックし、保存されていない変更を削除するには「クリア」をクリックします。

RADIUS サーバー

RADIUS サーバーを使用して、ネットワークにアクセスするユーザーを認証できます。RADIUS サーバーは、認証情報を含むユーザーデータベースを維持します。スイッチは、ネットワークアクセスを許可する前にユーザーを認証するために、RADIUS サーバーに情報を渡します。

以下の項目を設定できます。

  • サーバー ID:RADIUS サーバーの ID。
  • サーバー IP:RADIUS サーバーの IP アドレス。
  • 許可されたポート:RADIUS サーバーと通信するために使用されるポート。デフォルトのポートは 1812 です。
  • 共有シークレット:デバイスと RADIUS サーバー間のすべての RADIUS 通信を暗号化するために使用される文字列。
  • タイムアウト:デバイスが RADIUS サーバーからの応答を待つ時間、次のサーバーに切り替える前の時間。デフォルトの値は 3 です。
  • 再試行:失敗が発生する前に RADIUS サーバーに送信される要求の数。デフォルトの値は 3 です。

設定のソース」には、RADIUS サーバー設定の発信元が表示されます。

新しい RADIUS サーバーエントリを作成するには、「追加」をクリックします。

RADIUS サーバーエントリを削除するには、削除するサーバーを選択し、「削除」をクリックします。

TACACS+ サーバー

TACACS+ サーバーは、ネットワークアクセスのための集中認証を提供します。TACACS+ は主にネットワークデバイスの管理に使用されます。

以下の項目を設定できます。

  • サーバー IP:TACACS+ サーバーの IP アドレス。
  • 優先度:TACACS+ サーバーの優先度。優先度は、複数の TACACS+ サーバーがある場合に、認証のために最初に連絡されるサーバーを決定します。
  • 許可されたポート:認証のためにサーバーが通信するポート。デフォルトのポートは 49 です。
  • 共有シークレット:TACACS+ サーバーに設定されている暗号化鍵。これは TACACS+ サーバーと正確に一致する必要があります。
  • タイムアウト:タイムアウト (秒)。タイムアウトは、Sophos Switch が認証応答を待つ時間を指定し、その後リスト内の次の TACACS+ サーバーを試みます。デフォルトの値は 5 です。

設定のソース」には、RADIUS サーバー設定の発信元が表示されます。

新しい TACACS+ サーバーエントリを作成するには、「追加」をクリックします。

TACACS+ サーバーエントリを削除するには、削除したいサーバーを選択し、「削除」をクリックします。