番外編 DHCPスヌーピングでよりセキュアな環境を構築する
澁谷 寿夫
AlpHa FACTORY
高鳥 正彦
Infoblox株式会社
Systems Engineer
2008/8/20
DHCPスヌーピングを実現するための設定例
では、実際にスイッチにどのような設定が必要かを説明します。以下に、いくつかの設定例を示します。ここに記載していないスイッチでも、DHCPスヌーピングに対応しているものもありますので、情報を探してみていただければと思います。
●エクストリームネットワークス製品の場合
- DHCPスヌーピングを有効にするコマンド例
# enable ip-security dhcp-snooping vlan VLAN名 ports ポート番号 violation-action drop-packet block-port
- 固定IPを防御するためのソースIPロックダウンのコマンド例
# enable ip-security source-ip-lockdown ports ポート番号
●シスコシステムズ製品の場合
- DHCPスヌーピングを有効にするコマンド例
Router(config)# ip dhcp snooping
Router(config)# ip dhcp snooping vlan VLAN番号
Router(config)# ip dhcp snooping verifty mac-address
Router(config-if)# ip dhcp snooping trust ※信頼するポートに設定
- 固定IPを防御するための、IPソースガードのコマンド例
Router(config-if)# ip verify source
Router(config-if)# ip verify source port-security
●Apresia製品の場合
- DHCPスヌーピングを有効にするコマンド例
(config)# ip dhcp snooping port ポート番号
(config)# ip dhcp snooping vlan add VLAN番号
(config)# ip dhcp snooping enable
- スヌーピングした端末からのパケットのみを中継するための、Denyモードの設定例
(config)# ip dhcp snooping mode deny ※denyモードで動作させる場合
●日本HP ProCurve製品の場合
- DHCPスヌーピングを有効にするコマンド例
ProCurve(config)# dhcp-snooping
ProCurve(config)# dhcp-snooping vlan VLAN番号
ProCurve(config)# dhcp-snooping trust ポート番号
ProCurve(config)# dhcp-snooping authorized-server IPアドレス
先ほどの仕組みの部分でも説明しましたが、DHCPスヌーピングはスイッチで実現する機能のため、DHCPサーバ上には特別な設定は必要ありません。ですが、DHCPサーバの設定がちゃんとされていないと、どんなPCでも接続できてしまいますので注意してください。
DHCPスヌーピングベストプラクティス
連載第3回、4回で説明したDHCPのベストプラクティスと、今回のDHCPスヌーピングの機能を合わせた、DHCPスヌーピングベストプラクティスを考えてみましょう。
スイッチの設定に続き、DHCPサーバ側で不正PCを排除する方法について説明します。詳細は、以前の連載を参照していただくとして、ここでは簡単に方法と利点などを説明します。
●Fixed(Static)でのIP払い出し
FixedやStaticと呼ばれるIPの払い出し方法です。この方法では、クライアントがどのIPアドレスを利用するかを1対1で設定するものです。そのため、クライアントのMACアドレスとIPアドレスの対応表を管理し続ける必要があります。
●MACアドレスフィルタの利用
この方法は、あらかじめDHCPからIPを払い出すクライアントのMACアドレスを登録することにより、接続を許可するクライアントを制限します。この方法も、MACアドレスを管理し続ける必要がありますが、Fixedほど細かく管理する必要はありませんので、少しは楽だと思います。
以上の2つの機能を利用することで、比較的簡単に不正PCを排除することが可能となります。本格的なMACの導入となると、手間がかかると思いますが、すでにDHCPスヌーピングに対応しているスイッチをご利用の場合は、このベストプラクティスを参考に設定することにより、比較的手間をかけずに不正PCを排除することが可能となります。
以前の連載の追加として、本記事ではDHCPスヌーピングについて説明してきました。以前紹介したDHCPサーバだけの不正PC排除には簡単にそれをすり抜ける方法が残ってしまっていましたが、DHCPスヌーピングを併せて利用することにより、もう一歩進んだ排除が可能であることについて理解していただけたと思います。
この記事が、少しでも皆さまの環境をよりセキュアにする手助けになれば幸いです。
 |
2/2 |
| Index | |
| DHCPスヌーピングでよりセキュアな環境を構築する | |
| Page1 DHCPスヌーピングとは DHCPスヌーピングの仕組み |
|
 |
Page2 DHCPスヌーピングを実現するための設定例 DHCPスヌーピングベストプラクティス |
| Profile |
| 澁谷 寿夫(しぶや ひさお) AlpHa FACTORY 学生時代にLinuxと出会い、趣味と仕事で利用するようになる。 ISP勤務時代に出会ったCobaltに一目惚れしてしまい、ついにはCobaltに入社してしまう。それ以後アプライアンスをこよなく愛し、現在はセキュリティ製品のアプライアンスメーカーであるソニックウォールに勤務。 プライベートでは、オープンソースになったCobaltのGUIを開発するProject BlueQuartzの主開発者の1人として活動中。 |
| Profile |
| 高鳥 正彦(たかとり まさひこ) Infoblox株式会社 Systems Engineer システムインテグレータ勤務時は、ネットワーク・サーバ技術者として主にネットワーク認証・アカウント管理システムなどのシステムインテグレーションを行う。 現在はDNS/DHCP/RADIUSのアプライアンスメーカーであるInfoblox株式会社にて、システムエンジニア業務を行っている。 |
 |
もう一度見直したいDNS/DHCP 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
