提供されるポートセキュリティー機能のレベルはスイッチによって異なります。次を実行する方法については、スイッチのドキュメントを参照してください。
スイッチへのローカルアクセスとリモートアクセスには、認証、承認、アカウンティング機能を使用してください。
デフォルトで複数のユーザーアカウントとパスワードを持っている可能性のあるネットワークスイッチで、すべてのパスワードを変更してください。
スイッチの管理は、帯域外で (データトラフィックと切り離して) 行なってください。帯域外管理を実現できない場合は、帯域内管理用に専用の仮想ローカルエリアネットワーク (VLAN) 番号を用意してください。
侵入検知システム (IDS) のアクセスには、ネットワークスイッチのポートのミラー化機能を使用してください。
スイッチの構成ファイルはオフラインで管理し、承認された管理者しかアクセスできないようにしてください。構成ファイルには各設定の説明がコメントとして含まれているはずです。
MAC アドレスに基づいてアクセスを制限するには、ポートセキュリティーを実装してください。自動トランキングはすべてのポートで無効にしてください。
スイッチに次のようなポートセキュリティー機能がある場合は、これらの機能を使用してください。
MAC Locking では、接続された 1 つ以上のデバイスのメディアアクセス制御 (MAC) アドレスがスイッチの物理ポートに関連付けられます。スイッチのポートを特定の MAC アドレスに固定すると、スーパーユーザーによるバックドアの作成を防ぎ、不正アクセスポイントを利用したネットワークへのアクセスを防止できます。
MAC Lockout では、指定した MAC アドレスからのスイッチへの接続を無効にします。
MAC Learning では、ネットワークスイッチが現在の接続に基づいてセキュリティーを設定できるように、各スイッチポートの直接接続に関する情報を使用します。