ネットワークの根幹を支える仕組みといえば、IPアドレスを配布する「DHCP」が挙がるだろう。DHCPは家庭用ルーターでも実装されており、その存在を知らないユーザーでも、DHCPを活用してインターネットを利用しているはずだ。もちろん、企業組織においてもDHCPは広く普及している。しかし、DHCPの正常な動作を妨げるような問題が生じることがある。なぜそのような問題が生じるのか、対策はあるのか、@ITの記事を引きながら解説しよう。
ユーザーが十分に注意することでサイバー攻撃に対抗できる。このような思い込みは危険だ。例えば、正しいURLを入力したにもかかわらず、攻撃者の用意した偽サイトに誘導されてしまう攻撃が存在する。なぜこのようなことが起こるのか。今回はインターネットの仕組みを悪用して偽の通信を成立させたり、盗聴できたりすることを再確認し、現在実際に発生している事例を基に対策を考えていく。
社内ネットワークは企業活動のインフラとして、動いて当たり前の存在だ。だが、問題を起こしやすい部分のみが脚光を浴び、DNSやDHCP、認証などは必ずしも十分に管理されていない場合がある。いざ停止したときの備えがないと、企業活動が滞ってしまうことはもちろん、サイバー攻撃の対象となった場合の被害も大きい。今、何ができるのか、もう一度確認しておこう。
企業が無線LANの導入を決める第一の要因は何だろうか。企業に対するアンケート調査によれば、「セキュリティ」であったことが分かる。「セキュリティが心配だから」という理由で無線LAN導入を凍結している企業が一定数ある一方で、「セキュリティの不安を克服できた」からこそ、導入に踏み切ることができたとする企業もまた多い。
社内のネットワーク環境としてWi-Fiを導入する場合には安全性と利便性のバランスが課題になる。安全性を向上させるため、パスワードに頼った認証を導入しがちだが、厳格な運用は利便性を損ないかねない。また、人の記憶に依存する認証(知識ベース認証)ではシャドーITはもちろん、認証情報の漏えいにより、外部からの不正アクセスを許してしまう危険もある。自動家計簿・資産管理サービスを展開するマネーフォワードは社屋移転に当たり、Wi-Fi環境の安全性強化を図った。証明書ベースの認証を導入した結果、運用管理コストを抑えることに成功した他、利便性も高まった。同社の課題と解決策を紹介する。
許可を得ていない持ち込み端末やIoT(Internet of Things)機器は、企業ネットワーク全体をリスクにさらす。最良の解はIEEE 802.1Xに対応した強固な認証システムを構築することだが、予算などの制約で「分かっていても導入できない」ケースは多い。そのような場合にソリトンシステムズが提案するもう1つの選択肢とは。
今やネットワークは「つながって当たり前」。万一止まってしまった場合の影響は甚大だ。安定した接続を提供するため、回線やネットワーク機器の冗長化に取り組んでいる企業も多いが、見落としがちなポイントがある。それがDHCPだ。
堅固なネットワークを実現しようとしたとき、基本となるのは“認証”だ。BYOD(Bring Your Own Device)やスマートデバイス活用が注目される現在、ますます認証が課題となっている。「社内ネットワークには許可したデバイス以外は存在しない」という状態を、当たり前に実現しなければならないからだ。“認証”の選択を誤るとネットワーク全体の使い勝手を損なうばかりか、最悪の場合には機能しなくなる。そうならないよう、確実に動作する専用アプライアンスの導入などを検討すべきだ。
2008年7月に公開されたDNSキャッシュポイズニングの脆弱性。DNSの仕様に深く関係するこの手法に対して、エンジニアはどのように対策を打つべきでしょうか。この脆弱性の本質的な問題と対策、そして私たちが考えなくてはならないセキュリティの心構えなど、2回に分けてお送りします(編集部)
パッチの適用は急務としても、これだけでは確実に脅威がなくなるわけではないのがこの問題のポイントです。しかし私たちにはまだできることがあります。後編では6つの対策ポイントを提示し、現時点におけるベストプラクティスを考えます。(編集部)
IPネットワークのコアとなるDNSやDHCP。これらのサービスは一度安定稼働してしまうとなかなかメンテナンスまで目が行き届かないというのが現状ではないだろうか。本連載ではDNS、DHCPに今だからこそもう一度フォーカスを当て、企業活動のためには絶対に止められないサービスとしてどのような改善が行えるのかを紹介していく。
クライアントにIPアドレスを配布するDHCPサーバ、オフィスでは縁の下の力持ちとして利用されている場合が多いのではないだろうか。今回から2回にわたり、DHCPサーバの利用手法、そしてDHCPサーバを止めないための方法についてを解説する。
連載「もう一度見直したいDNS/DHCP」の最終回「DHCPベストプラクティスと新たな役割の模索」では、DHCPを利用した不正PCの排除方法を解説しました。しかしそこにはただし書きとして「DHCPを使わない方法でIPアドレスを設定されるとお手上げ」という一文がありました。そこでDHCPサーバとスイッチの機能を利用して、安全に不正PCを排除する方法を考えます。
インターネット上にあるサーバやサービスの「名前」とIPアドレスとの対応を管理することで、インターネットを支えている「DNS(Domain Name System)」。まずは、その役割や構造といった基礎から説明する。
本連載では、Windows Server 2012 R2管理の基本となる「サーバーマネージャー」の使い方を解説していく。第1回目はWindows NTから提供され、現在まで機能アップされ続けている「DHCPサーバー」を取り上げる。
シスコの認定資格「CCENT/CCNA」のポイントを学ぶシリーズ。今回は、ルーターでDHCPサーバーを稼働させるための設定方法を解説します。
RADIUSサービスを利用すると、リモートアクセス時のユーザー認証を集中的に管理できる。RADIUSサービスを利用するには、Windows Server OSでインターネット認証サービスを導入する。
本連載ではRADIUSの概要をお話ししてみたい。初めにお断りしておくが、筆者はRADIUSのプログラムを提供する側の人間ではない。どちらかといえばプログラムを利用する側の人間である。それもあり、RADIUSそのものだけを深く掘り下げることはせず、認証を軸にお話できればと思う。