最終回 DHCPベストプラクティスと新たな役割の模索
澁谷 寿夫
Infoblox株式会社
Systems Engineer
2008/3/12
不正PCの排除にDHCPを利用する
最後に、もう少しDHCPを有効に使う1つの方法を説明します。DHCPはIPアドレスなどの情報をクライアントに配布するために利用されるというのは、すでに理解できていると思います。ここでは、そのIPアドレスを払い出すクライアントを制限することにより、不正につながれたPCの排除について、いくつかの方法を説明します。
といっても、あくまでDHCPでできる方法ですので、DHCPを使わない方法でIPアドレスを設定されるとお手上げではありますが。
●Fixed(Static)でのIPアドレスの払い出し
FixedやStaticと呼ばれるIPアドレスの払い出し方法です。いままで説明してきたDHCPの払い出しは、あらかじめ用意したIPアドレス群の中から使われていないものをクライアントに払い出すという方法でした。この方法では、どのクライアントがどのIPアドレスを利用するかということが保証されていませんので、毎回別のIPアドレスになる可能性があります(実際には、同じIPアドレスが振り続けられることがほとんどですが)。
設定としては、クライアントのMACアドレスと払い出すIPアドレスを1対1で結び付けてしまうというものです。この方法のメリットは、接続を許可したクライアントが、必ず同じIPアドレスを使うということです。そして、登録されていないクライアントには、IPアドレスが払い出されません。
細かくクライアントを制限できる半面、MACアドレスとIPアドレスを常に管理し続けないといけませんので、クライアントの入れ替え時にはそれなりの作業が発生します。また、一番初めにMACアドレスを収集するのも大変な作業です。
●MACアドレスフィルタの利用
この方法は、あらかじめ接続を許可するMACアドレスを登録しておいて、登録されているクライアントにのみIPアドレスを払い出すという方法です。MACアドレスを登録するという意味ではFixedと同じですが、こちらは特定のIPアドレスの範囲から払い出します。
また、Fixedのように1対1での情報を管理する必要はありませんので、少しは手間がかからないと思います。ですが、MACアドレスの情報は常時最新に保つ必要がありますので、やはりそれなりの手間が必要です。
●Optionフィルタの利用
この方法は、いままでのものとは少し違った使い方をするためのものです。先の2つの方法は、接続するクライアントを制限するためのものでした。このOptionフィルタは、Optionによって払い出すレンジや設定情報を分けるためのものです。
まず、Optionについて少し説明します。
一般的にDHCPのOptionは、DNSサーバやゲートウェイなどといったIPアドレス以外の情報をクライアントに設定するために利用されます。
ここで利用するOptionは、「Option 60」というものです。このOptionはクライアントからDHCPサーバに送られるメッセージに入っているものです。IP電話やシンクライアントなどでは、製品の型番などが送られてきます。
すなわち、製品の型番などによって払い出すIPアドレスのレンジを分けたり、オプションの設定を変えたりすることができます。例えば、IP電話の場合は、IPアドレスやゲートウェイだけではなく、IP電話のサーバやtftpサーバのアドレスもDHCPのオプションで設定されます。そのため、同じネットワーク内にPCとIP電話がある場合は、レンジやオプションを分ける必要があります。そういった場合にこのオプションが利用できます。この機能を利用すれば、わざわざIP電話用のネットワークを作らなくてもいい場合もあります。
これまで、4回にわたってDNSとDHCPの重要性について説明してきました。DNSやDHCPは皆さんが当たり前のように利用しているサービスであり、水や電気のように止まってしまうと影響が大きいということも分かってもらえたかと思います。
この連載が、運用上は日陰の存在であった、DNSとDHCPについて見直すきっかけになってくれれば幸いです。
 |
3/3 |
| Index | |
| DHCPベストプラクティスと新たな役割の模索 | |
| Page1 DHCPサービスを止めないために 方法その1:2台のサーバでDHCPのサービスを行う 引く手あまた――でも手を握るのは1つだけ |
|
| Page2 方法その2:HA構成による冗長化 方法その3:DHCP Failoverを使う |
|
 |
Page3 不正PCの排除にDHCPを利用する |
| Profile |
| 澁谷 寿夫(しぶや ひさお) Infoblox株式会社 Systems Engineer 学生時代にLinuxと出会い、趣味と仕事で利用するようになる。 ISP勤務時代に出会ったCobaltに一目惚れしてしまい、ついにはCobaltに入社してしまう。それ以後アプライアンスをこよなく愛し、現在はコアネットワークサービスのアプライアンスメーカーであるInfobloxに勤務。 プライベートでは、オープンソースになったCobaltのGUIを開発するProject BlueQuartzの主開発者の1人として活動中。 |
 |
もう一度見直したいDNS/DHCP 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
