DHCPスヌーピングでよりセキュアな環境を構築する：もう一度見直したいDNS／DHCP（番外編）（2/2 ページ）

連載「もう一度見直したいDNS／DHCP」の最終回「DHCPベストプラクティスと新たな役割の模索」では、DHCPを利用した不正PCの排除方法を解説しました。しかしそこにはただし書きとして「DHCPを使わない方法でIPアドレスを設定されるとお手上げ」という一文がありました。そこでDHCPサーバとスイッチの機能を利用して、安全に不正PCを排除する方法を考えます。

[澁谷寿夫, 高鳥正彦，AlpHa FACTORY/Infoblox株式会社]

DHCPスヌーピングを実現するための設定例

　では、実際にスイッチにどのような設定が必要かを説明します。以下に、いくつかの設定例を示します。ここに記載していないスイッチでも、DHCPスヌーピングに対応しているものもありますので、情報を探してみていただければと思います。

エクストリームネットワークス製品の場合

# enable ip-security dhcp-snooping vlan VLAN名 ports ポート番号 violation-action drop-packet block-port

DHCPスヌーピングを有効にするコマンド例

# enable ip-security source-ip-lockdown ports ポート番号

固定IPを防御するためのソースIPロックダウンのコマンド例

シスコシステムズ製品の場合

Router(config)# ip dhcp snooping
Router(config)# ip dhcp snooping vlan VLAN番号
Router(config)# ip dhcp snooping verifty mac-address
Router(config-if)# ip dhcp snooping trust 　　　　　　※信頼するポートに設定

DHCPスヌーピングを有効にするコマンド例

Router(config-if)# ip verify source
Router(config-if)# ip verify source port-security

固定IPを防御するための、IPソースガードのコマンド例

Apresia製品の場合

(config)# ip dhcp snooping port ポート番号
(config)# ip dhcp snooping vlan add VLAN番号
(config)# ip dhcp snooping enable

DHCPスヌーピングを有効にするコマンド例

(config)# ip dhcp snooping mode deny 　　 ※denyモードで動作させる場合

スヌーピングした端末からのパケットのみを中継するための、Denyモードの設定例

日本HP ProCurve製品の場合

ProCurve(config)# dhcp-snooping
ProCurve(config)# dhcp-snooping vlan VLAN番号
ProCurve(config)# dhcp-snooping trust ポート番号
ProCurve(config)# dhcp-snooping authorized-server IPアドレス

DHCPスヌーピングを有効にするコマンド例

　先ほどの仕組みの部分でも説明しましたが、DHCPスヌーピングはスイッチで実現する機能のため、DHCPサーバ上には特別な設定は必要ありません。ですが、DHCPサーバの設定がちゃんとされていないと、どんなPCでも接続できてしまいますので注意してください。

DHCPスヌーピングベストプラクティス

　連載第3回、4回で説明したDHCPのベストプラクティスと、今回のDHCPスヌーピングの機能を合わせた、DHCPスヌーピングベストプラクティスを考えてみましょう。

　スイッチの設定に続き、DHCPサーバ側で不正PCを排除する方法について説明します。詳細は、以前の連載を参照していただくとして、ここでは簡単に方法と利点などを説明します。

Fixed（Static）でのIP払い出し

　FixedやStaticと呼ばれるIPの払い出し方法です。この方法では、クライアントがどのIPアドレスを利用するかを1対1で設定するものです。そのため、クライアントのMACアドレスとIPアドレスの対応表を管理し続ける必要があります。

MACアドレスフィルタの利用

　この方法は、あらかじめDHCPからIPを払い出すクライアントのMACアドレスを登録することにより、接続を許可するクライアントを制限します。この方法も、MACアドレスを管理し続ける必要がありますが、Fixedほど細かく管理する必要はありませんので、少しは楽だと思います。

　以上の2つの機能を利用することで、比較的簡単に不正PCを排除することが可能となります。本格的なMACの導入となると、手間がかかると思いますが、すでにDHCPスヌーピングに対応しているスイッチをご利用の場合は、このベストプラクティスを参考に設定することにより、比較的手間をかけずに不正PCを排除することが可能となります。

---

　以前の連載の追加として、本記事ではDHCPスヌーピングについて説明してきました。以前紹介したDHCPサーバだけの不正PC排除には簡単にそれをすり抜ける方法が残ってしまっていましたが、DHCPスヌーピングを併せて利用することにより、もう一歩進んだ排除が可能であることについて理解していただけたと思います。

　この記事が、少しでも皆さまの環境をよりセキュアにする手助けになれば幸いです。

筆者紹介

澁谷寿夫（しぶやひさお）

AlpHa FACTORY

学生時代にLinuxと出会い、趣味と仕事で利用するようになる。

ISP勤務時代に出会ったCobaltに一目惚れしてしまい、ついにはCobaltに入社してしまう。それ以後アプライアンスをこよなく愛し、現在はコアネットワークサービスのアプライアンスメーカーであるInfobloxに勤務。

プライベートでは、オープンソースになったCobaltのGUIを開発するProject BlueQuartzの主開発者の1人として活動中。

高鳥正彦（たかとりまさひこ）

Infoblox株式会社　Systems Engineer

システムインテグレータ勤務時は、ネットワーク・サーバ技術者として主にネットワーク認証・アカウント管理システムなどのシステムインテグレーションを行う。

現在はDNS／DHCP／RADIUSのアプライアンスメーカーであるInfoblox株式会社にて、システムエンジニア業務を行っている。