キャンセル
https://media.fs.com/images/community/uploads/post/201910/07/post_1570420584_1s1vRvXMlJ.jpg

DHCPスヌーピングとは何ですか?また、その仕組みは何ですか?

Howard

翻訳者 ともや
2022年5月24日 に投稿された

FS.COM|ネットワーク機器専門通販サイト


 「動的IPアドレスを取得したのに、パソコンがネットワークにアクセスできない」と日常生活では、このような問題が起きたことがありますか。また、取得したIPアドレスは正規のDHCPサーバーからのものかどうか真偽を疑ったことがありますか。それに、どのようにこのような状況を防ぎますか。この記事では、不正なIPアドレスを避ける「DHCPスヌーピング」について説明します。

DHCPスヌーピングとは

 DHCPとは「Dynamic Host Configuration Protocol」の略語で、コンピューターがネットワークに接続する際に、自動的にIPアドレスを割り振るプロトコルです。「DHCPスヌーピング」とは、端末間のDHCPトラフィックをチェックして、不正な攻撃を遮断するレイヤ2のセキュリティー技術です。例えば、

 ●信頼できないソースからのDHCPメッセージを検証し、無効なメッセージを除外します。

 ●リースされたIPアドレスを持つ信頼できないホストに関する情報を含むDHCP Snoopingバインディングデータベースを構築し、維持します。

 ●DHCPスヌーピングバインディングデータベースを使用して、信頼できないホストからの後続の要求を検証します。

DHCPスヌーピングの仕組みとは

 DHCP Snoopingの仕組みを理解するためには、DHCP(dynamic host configuration protocol)の仕組みについて理解する必要があります。

DHCPの仕組み

 DHCPを有効にすると、IPアドレスを持たないネットワークデバイスは、以下の4つの段階を経てDHCPサーバと「対話」することになります。


▸step1:DHCP Discover:DHCPクライアントからDHCPサーバーに、IPアドレスの割り当ての要求が発信されます。

▸step2:DHCP Offer:割り当ての要求を受信した後、DHCPサーバーはDHCPクライアントに使用可能なIPアドレスを提案します。

▸step3:DHCP Request:提案を受け取ったDHCPクライアントはそれを検証します。IPアドレスが良ければ、「これでお願いします」というDHCP Requestを返信します。

▸step4:DHCP ACK:DHCPサーバーはDHCP Requestを了承し、DHCPクライアントにDHCP ACK(了解しました)を相手に送信します。

関連記事:動的IPアドレスと静的IPアドレス、その違いとは?

DHCPスヌーピングの仕組み

 DHCPスヌーピングを有効にすると、スイッチのインターフェースを2種類に分けられます。

インタフェース 説明
trustポート(信頼できるポート)

●DHCPサーバからのトラブルを受信するポート

●untrustポートで受信したDHCPメッセージをすべてチェックする

untrustポート(信頼できないポート) ●DHCPクライアントからのトラフィックを受信するポート

 DHCPスヌーピングが開始された場合、DHCPオファーメッセージはtrustポートを介してのみ送信できます。そうでないと、DHCPオファーメッセージは全部ドロップされます。

_1570419954_XgNqUWM9Fx.jpg

 また、DHCP ACKの受信段階では、DHCP ACKメッセージに従ってDHCPバインディングテーブ ルが作成されます。DHCPバインディングテーブルには、ホストのMACアドレス、リースIPアドレス、リース時間、バインディングタイプ、ホストに関連するVLAN番号とインターフェース情報が以下のように記録されています。


MACアドレス IPアドレス リース(秒) タイプ VLAN インタフェース
エントリ 1 e4-54-e8-9d-ab-42 10.32.96.19 2673 dhcp-snooping 10 Eth 1/23
エントリ 2
エントリ 3
...

DHCPスヌーピングによって防止される一般的な攻撃

DHCPスプーフィング攻撃

 DHCPスプーフィングは、攻撃者がDHCPリクエストに応答し、自身をデフォルトゲートウェイまたはDNSサーバーとしてリスト(スプーフィング)しようとする時に発生し、中間者攻撃を開始します。これにより、実際のゲートウェイに転送される前にユーザーからのトラフィックを阻止したり、IPアドレスリソースをチョークする要求で実際のDHCPサーバーをフラッディングすることでDoSを実行したりすることができます。

DHCP枯渇攻撃

 DHCP枯渇攻撃は、一般に、偽装されたソースのMACアドレスを使用してDHCP REQUESTメッセージで許可されたDHCPサーバーをフラッディングするために、ネットワークDHCPサーバーを標的にします。DHCPサーバーはDHCP枯渇攻撃だと認識せずに、すべての要求に応答し、利用可能なIPアドレスを割り当て続けて、DHCPプールを枯渇させます。

DHCPスヌーピングを有効にする方法は何ですか?

 DHCPスヌーピングは有線ユーザーにのみ適用されます。アクセスレイヤセキュリティ機能を持っているため、DHCPは通常サービスを提供するVLANにアクセスポートを含むスイッチで有効になります。DHCPスヌーピングを展開する場合、保護したいVLANでDHCPスヌーピングを有効にする前に、信頼できるポート(認められたDHCPサーバーメッセージが流れるポート)を設定する必要があります。これは、CLIインターフェイスとWeb GUIに適用します。また、CLIコマンドはこの投稿 FS S3900シリーズスイッチでのDHCPスヌーピング設定で紹介されています。

終わりに

 DHCPはIPアドレス指定を簡素化する一方で、セキュリティの問題も引き起こします。DHCPスヌーピングという懸念に対処するために、保護メカニズムは不正なDHCPサーバーからの無効なDHCPアドレスを防ぎ、既存のすべてのDHCPアドレスを使い尽くそうとするリソース枯渇攻撃を防ぐことができます。FS S3900シリーズギガビットスタッカブルマネージドスイッチ は、この機能を最大限に活用してお客様のネットワークを保護できます

7.4k

おすすめのコンテンツ