(掲載日:2020年09月09日)
#スイッチ #L2MS #LANマップ #LANセキュリティ
今回は「LANマップ」(L2MS)を使って出来るLANのセキュリティ向上施策について説明します。
「LANマップ」はヤマハのルーター(またはスイッチ)のGUIから、他のヤマハネットワーク機器の状態確認(ポートの状態確認など)、設定(VLANの設定など)ができる機能です。ヤマハ独自プロトコルであるL2MSにより実現するためSNMPのように別サーバーを構築する必要がなく、マスターとなるルーター(またはスイッチ)のGUIにアクセスするだけで使用できます。箱を開けて電源入れてLANケーブルを繋げばすぐ使える、お手軽かつ便利な機能になります。
当記事では「セキュリティ」という観点から「LANマップ」がどのように役に立つのかを見ていきたいと思います。
LANセキュリティ向上には「そもそも現状のLAN構成がどうなっているのか」「現状のLAN構成は設計通りなのか?余分な機器が接続されていないのか?」を把握する必要があります。
ヤマハ「LANマップ」であれば、LAN機器の構成/トポロジーに加え、接続先の端末情報まで取得して、上記のように表示することができます。
接続先端末はPC、スマートフォンだけでなく、監視カメラや複合機なども表示されますので、IoT機器全般を「LANマップ」から見ることができます。
スナップショット機能は、ネットワーク構成、状態を記憶し変化があった場合に通知する機能です。画面右上にある「スナップショット」というカメラアイコンを押すことで表示されます。
「スナップショット機能」を使えば、LANケーブル抜けや断線だけでなく、スイッチや無線APを増設した場合や、LANケーブルの接続ポートを変更した場合でも検出することができます。ネットワークの構成を変更する際には構成を変更した後に再度「スナップショットボタン」を押せば最新の構成が保存されます。
スナップショットによる監視の対象は
その他有線・無線端末も「スナップショット」の監視対象にすることで、端末が接続された/切断されたり、故障により通信できなくなった際も検出することができます。IoT機器など人の目が届かないような場所に設置された機器の盗難などにも有用な機能になります。
このトポロジー図は「一覧マップ機能」によりPDFファイルとして保存しておくこともできます。
監視カメラなどのセキュリティ機器が稼働しているかどうかは上記「スナップショット」機能で確認できますが、稼働が停止していた場合には復旧作業が必要になります。
ヤマハPoEスイッチは「LANマップ」により各ポートの給電OFF/ON制御が可能です。監視カメラなどのPoE受電機器は再起動で復旧する場合が多いため、遠隔から再起動することでセキュリティ機器の常時稼働をサポートできます。またSWX2310Pシリーズであれば、端末の死活監視機能と組み合わせた「自動再起動」にも対応しています。
設定例:PoE機器の接続ポートを監視 : SWX2310P Web GUI設定
https://network.yamaha.com/setting/switch_swx/intelligent_l2_switch/host-monitoring_poe
SWX2310Pシリーズ以外のPoEスイッチでも、同一ネットワーク内に設置したルーターの「Luaスクリプト」で実現できます。
技術資料:PoE受電端末監視/自動再起動デモ
http://www.rtpro.yamaha.co.jp/RT/utility/poe_monitor/
LANマップ機能をお使いのお客様からいただいた一番印象的なコメントは「ヤマハスイッチに更新してLANマップ見たら、物理的に分けているはずのネットワークが繋がっていたのを見つけて真っ青になったよ。多分、何年かは繋がってたんだろうね・・・」というものでした。
LANが「設計通りに構築されている」のを可視化できるLANマップ。セキュリティの第一歩としてご検討いただければ幸いです。
ご相談・お問い合わせ