DHCPスヌーピングとは何ですか?また、その仕組みは何ですか?
「動的IPアドレスを取得したのに、パソコンがネットワークにアクセスできない」と日常生活では、このような問題が起きたことがありますか。また、取得したIPアドレスは正規のDHCPサーバーからのものかどうか真偽を疑ったことがありますか。それに、どのようにこのような状況を防ぎますか。この記事では、不正なIPアドレスを避ける「DHCPスヌーピング」について説明します。
DHCPスヌーピングとは
DHCPとは「Dynamic Host Configuration Protocol」の略語で、コンピューターがネットワークに接続する際に、自動的にIPアドレスを割り振るプロトコルです。「DHCPスヌーピング」とは、端末間のDHCPトラフィックをチェックして、不正な攻撃を遮断するレイヤ2のセキュリティー技術です。例えば、
-
信頼できないソースからのDHCPメッセージを検証し、無効なメッセージを除外します。
-
リースされたIPアドレスを持つ信頼できないホストに関する情報を含むDHCP Snoopingバインディングデータベースを構築し、維持します。
-
DHCPスヌーピングバインディングデータベースを使用して、信頼できないホストからの後続の要求を検証します。
DHCPスヌーピングの仕組みとは
DHCP Snoopingの仕組みを理解するためには、DHCP(dynamic host configuration protocol)の仕組みについて理解する必要があります。
DHCPの仕組み
DHCPを有効にすると、IPアドレスを持たないネットワークデバイスは、以下の4つの段階を経てDHCPサーバと「対話」することになります。
-
step1:DHCP Discover:DHCPクライアントからDHCPサーバーに、IPアドレスの割り当ての要求が発信されます。
-
step2:DHCP Offer:割り当ての要求を受信した後、DHCPサーバーはDHCPクライアントに使用可能なIPアドレスを提案します。
-
step3:DHCP Request:提案を受け取ったDHCPクライアントはそれを検証します。IPアドレスが良ければ、「これでお願いします」というDHCP Requestを返信します。
-
step4:DHCP ACK:DHCPサーバーはDHCP Requestを了承し、DHCPクライアントにDHCP ACK(了解しました)を相手に送信します。
関連記事:「動的IPアドレスと静的IPアドレス、その違いとは?」
DHCPスヌーピングの仕組み
DHCPスヌーピングを有効にすると、スイッチのインターフェースを2種類に分けられます。
インタフェース | 説明 |
---|---|
trustポート(信頼できるポート) | ●DHCPサーバからのトラブルを受信するポート |
●untrustポートで受信したDHCPメッセージをすべてチェックする | |
untrustポート(信頼できないポート) | ●DHCPクライアントからのトラフィックを受信するポート |
DHCPスヌーピングが開始された場合、DHCPオファーメッセージはtrustポートを介してのみ送信できます。そうでないと、DHCPオファーメッセージは全部ドロップされます。
また、DHCP ACKの受信段階では、DHCP ACKメッセージに従ってDHCPバインディングテーブ ルが作成されます。DHCPバインディングテーブルには、ホストのMACアドレス、リースIPアドレス、リース時間、バインディングタイプ、ホストに関連するVLAN番号とインターフェース情報が以下のように記録されています。
項目 | MACアドレス | IPアドレス | リース(秒) | タイプ | VLAN | インタフェース |
---|---|---|---|---|---|---|
エントリ 1 | e4-54-e8-9d-ab-42 | 10.32.96.19 | 2673 | dhcp-snooping | 10 | Eth 1/23 |
エントリ 2 | ||||||
エントリ 3 | ||||||
... |
DHCPスヌーピングによって防止される一般的な攻撃
DHCPスプーフィング攻撃
DHCPスプーフィングは、攻撃者がDHCPリクエストに応答し、自身をデフォルトゲートウェイまたはDNSサーバーとしてリスト(スプーフィング)しようとする時に発生し、中間者攻撃を開始します。これにより、実際のゲートウェイに転送される前にユーザーからのトラフィックを阻止したり、IPアドレスリソースをチョークする要求で実際のDHCPサーバーをフラッディングすることでDoSを実行したりすることができます。
DHCP枯渇攻撃
DHCP枯渇攻撃は、一般に、偽装されたソースのMACアドレスを使用してDHCP REQUESTメッセージで許可されたDHCPサーバーをフラッディングするために、ネットワークDHCPサーバーを標的にします。DHCPサーバーはDHCP枯渇攻撃だと認識せずに、すべての要求に応答し、利用可能なIPアドレスを割り当て続けて、DHCPプールを枯渇させます。
DHCPスヌーピングを有効にする方法は何ですか?
DHCPスヌーピングは有線ユーザーにのみ適用されます。アクセスレイヤセキュリティ機能を持っているため、DHCPは通常サービスを提供するVLANにアクセスポートを含むスイッチで有効になります。DHCPスヌーピングを展開する場合、保護したいVLANでDHCPスヌーピングを有効にする前に、信頼できるポート(認められたDHCPサーバーメッセージが流れるポート)を設定する必要があります。これは、CLIインターフェイスとWeb GUIに適用します。FS S3900シリーズのギガビットスタッカブルマネージドスイッチは、この機能をフルに発揮し、ネットワークを保護することができます。
終わりに
DHCPはIPアドレス指定を簡素化する一方で、セキュリティの問題も引き起こします。DHCPスヌーピングという懸念に対処するために、保護メカニズムは不正なDHCPサーバーからの無効なDHCPアドレスを防ぎ、既存のすべてのDHCPアドレスを使い尽くそうとするリソース枯渇攻撃を防ぐことができます。FS S3900シリーズギガビットスタッカブルマネージドスイッチ は、この機能を最大限に活用してお客様のネットワークを保護できます。
お勧めの記事
メールアドレス
-
レイヤ2(L2)スイッチとレイヤ3(L3)スイッチ、ルーターとの違いは?
2022年06月20日
-
ハブ、スイッチ(スイッチングハブ)、ルーターとは?違いを解説
2022年06月20日
-
電源コードの種類・規格について:国内規格と海外規格の選定
2022年06月09日
-
PoEインジェクター(パワーインジェクター)とは?
2022年06月24日
-
SFP・SFP+・SFP28・QSFP・QSFP28とは?規格、仕様、性能、選び方について解説
2022年06月10日