番外編 DHCPスヌーピングでよりセキュアな環境を構築する
澁谷 寿夫
AlpHa FACTORY
高鳥 正彦
Infoblox株式会社
Systems Engineer
2008/8/20
連載「もう一度見直したいDNS/DHCP」の最終回「DHCPベストプラクティスと新たな役割の模索」では、DHCPを利用した不正PCの排除方法を解説しました。しかしそこにはただし書きとして「DHCPを使わない方法でIPアドレスを設定されるとお手上げ」という一文がありました。そこでDHCPサーバとスイッチの機能を利用して、安全に不正PCを排除する方法を考えます(編集部)
以前、DHCPベストプラクティスとして、DHCPを利用して不正PCの排除を行う方法について説明しました。その際にも説明しましたが、この方法は完全ではなく、詳しい人であればIPアドレスを手動で設定してDHCPの制限を逃れることができるという問題がありました。その場合、本来ネットワークに接続させたくないPCが簡単に接続されてしまいます。
今回は、そのような状況を踏まえ、よりセキュアな環境を構築する方法について説明していきたいと思います。この方法は、DHCPサーバとスイッチの機能を利用することにより構築します。そのため、すでに対応しているスイッチがエッジに設置されていれば、すぐにでもその環境を構築することが可能です。
| 【関連記事】 もう一度見直したいDNS/DHCP 連載インデックス http://www.atmarkit.co.jp/fsecurity/index/index_corenet.html |
DHCPスヌーピングとは
今回はスイッチの機能である「DHCPスヌーピング」を利用します(ベンダによっては別の名前の場合もあります)。
ところでスヌーピング(Snooping)とは何のことでしょうか。snoopとは英語でのぞき見する、詮索(せんさく)するという意味です。つまり、DHCPサーバとDHCPクライアントの通信を監視し、通信を許可する端末を制限することができる機能です。
この機能を使うことにより、DHCPサーバにより払い出されたIPアドレス、MACアドレス以外からの通信を遮断することが可能となります。それにより固定IPを設定したクライアントからの通信を遮断します。
DHCPスヌーピングの仕組み
では、どのような仕組みで動作する機能かを解説しましょう。
 |
| 図1 DHCPスヌーピングを利用したネットワーク構成図 |
図1が一般的な、DHCPスヌーピングを利用したネットワーク構成図です。まず、スイッチのポートを以下の2つのうちどちらかに設定します。
●trusted
trustedとは、信頼されたという意味からも分かるように、サーバや上位スイッチ/ルータなど、管理者が把握している機器を接続するポートに設定する状態です。そのため、trustedに設定されたポートについては、DHCPスヌーピングは有効になりません。
●untrusted
untrustedとは、trustedとは正反対の状態です。つまり、管理者が把握できない機器が接続されるポートです。今回のDHCPスヌーピングが見張るポートは、まさにこのuntrustedに設定されたポートです。
連載第4回「DHCPベストプラクティスと新たな役割の模索」で説明したように、DHCPによるIPの払い出し順は以下のようになります。
| 1. | DISCOVER: | クライアント→DHCPサーバ |
| 2. | OFFER: | DHCPサーバ→クライアント |
| 3. | REQUEST: | クライアント→DHCPサーバ |
| 4. | ACK: | DHCPサーバ→クライアント |
untrustedに設定されたポートでは、そのポートに接続されたクライアントからの通信は、DHCPメッセージのみが許可されます。すなわち、手動でIPアドレスを設定しても外部への通信は遮断されます。DHCPを有効にしたクライアントを接続すると、まずDISCOVERを送りIPアドレスの払い出し要求を行います。順調に通信が進めば、ACKがサーバから送られIPアドレスがクライアントに設定されます。
そして、このACKをスイッチが監視することにより、ACKに含まれる以下の情報をバインディングテーブルに書き込みます。
- ポート番号
- MACアドレス
- IPアドレス
- Expire
- VLANタグ(スイッチによっては対応していません)
クライアントはバインディングテーブルに情報が書かれた後、Expireに達するまで通信が可能となります。
1/2 |
 |
| Index | |
| DHCPスヌーピングでよりセキュアな環境を構築する | |
 |
Page1 DHCPスヌーピングとは DHCPスヌーピングの仕組み |
| Page2 DHCPスヌーピングを実現するための設定例 DHCPスヌーピングベストプラクティス |
|
 |
もう一度見直したいDNS/DHCP 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
