キャンセル
https://img-en.fs.com/community/uploads/post/201910/07/post_1570420584_1s1vRvXMlJ.jpg

DHCPスヌーピングとは何ですか?また、その仕組みは何ですか?

Howard

翻訳者 ともや
2019年10月7日 に投稿された

「なぜラップトップが動的IPアドレスを取得してもネットワークにアクセスできないですか?」普段はこのような問題が起きませんか?IPアドレスの信頼性を疑っていますか?IPアドレスは許可されたDHCPサーバーからのものですか?そうでない場合はどうやって防ぎますか?この投稿では、ユーザーが違法なIPアドレスを避けられるように、DHCPスヌーピングという用語を導入します。

DHCPスヌーピングとは何ですか?

DHCPスヌーピングは、容認できないと判断されたDHCPトラフィックをドロップする高性能 ネットワークスイッチのオペレーティングシステムに組み込まれたレイヤー2セキュリティテクノロジーです。DHCPスヌーピングは、DHCPクライアントにIPアドレスを提供する無許可(不正な)DHCPサーバーを防ぎます。DHCPスヌーピング機能は、以下のアクティビティを実行します:

信頼できないソースからのDHCPメッセージを検証し、無効なメッセージを除外します。
DHCPスヌーピングバインディングデータベースを構築および維持します。これには、リースされたIPアドレスを持つ信頼できないホストに関する情報が含まれています。
DHCPスヌーピングバインディングデータベースを使用して、信頼できないホストからの後続の要求を検証します。

DHCPスヌーピングの仕組みは何ですか?

DHCPスヌーピングの仕組みを理解するには、動的ホスト設定プロトコルを支持するDHCPの動作メカニズムを明らかにする必要があります。DHCPを有効にすると、IPアドレスを持っていないネットワーク機器は、以下の4つの段階を経てDHCPサーバーと「交流」します。

DHCP Principle.jpg

DHCPスヌーピングは通常、図2に示すようにスイッチのインターフェイスを信頼ポートと非信頼ポートという2つのカテゴリに分類します。信頼ポートは、DHCPサーバーメッセージが信頼されるポートまたはソースです。一方、非信頼ポートは、DHCPサーバーメッセージが信頼されないポートです。DHCPスヌーピングが開始された場合、DHCPオファーメッセージは信頼できるポートを介してのみ送信できます。そうでないと、DHCPオファーメッセージは全部ドロップされます。

DHCP Snooping app.jpg

確認段階では、DHCP ACKメッセージに応じてDHCPバインディングテーブルが作成されます。図3に示すように、ホストのMACアドレス、リースされたIPアドレス、リース時間、バインディングタイプ、VLAN番号、およびホストに関連付けられたインターフェイス情報を記録します。信頼できないホストから受信した後続のDHCPパケットが情報と一致しない場合、そのパケットはドロップされます。

MACアドレス IPアドレス リース(秒) タイプ VLAN インタフェース
エントリ 1 e4-54-e8-9d-ab-42 10.32.96.19 2673 dhcp-snooping 10 Eth 1/23
エントリ 2
エントリ 3
...


DHCPスヌーピングによって防止される一般的な攻撃

DHCPスプーフィング攻撃

DHCPスプーフィングは、攻撃者がDHCPリクエストに応答し、自身をデフォルトゲートウェイまたはDNSサーバーとしてリスト(スプーフィング)しようとする時に発生し、中間者攻撃を開始します。これにより、実際のゲートウェイに転送される前にユーザーからのトラフィックを阻止したり、IPアドレスリソースをチョークする要求で実際のDHCPサーバーをフラッディングすることでDoSを実行したりすることができます。

DHCP枯渇攻撃

DHCP枯渇攻撃は、一般に、偽装されたソースのMACアドレスを使用してDHCP REQUESTメッセージで許可されたDHCPサーバーをフラッディングするために、ネットワークDHCPサーバーを標的にします。DHCPサーバーはDHCP枯渇攻撃だと認識せずに、すべての要求に応答し、利用可能なIPアドレスを割り当て続けて、DHCPプールを枯渇させます。

DHCPスヌーピングを有効にする方法は何ですか?

DHCPスヌーピングは有線ユーザーにのみ適用されます。アクセスレイヤセキュリティ機能を持っているため、DHCPは通常サービスを提供するVLANにアクセスポートを含むスイッチで有効になります。DHCPスヌーピングを展開する場合、保護したいVLANでDHCPスヌーピングを有効にする前に、信頼できるポート(認められたDHCPサーバーメッセージが流れるポート)を設定する必要があります。これは、CLIインターフェイスとWeb GUIに適用します。また、CLIコマンドはこの投稿 FS S3900シリーズスイッチでのDHCPスヌーピング設定で紹介されています。

終わりに

DHCPはIPアドレス指定を簡素化する一方で、セキュリティの問題も引き起こします。DHCPスヌーピングという懸念に対処するために、保護メカニズムは不正なDHCPサーバーからの無効なDHCPアドレスを防ぎ、既存のすべてのDHCPアドレスを使い尽くそうとするリソース枯渇攻撃を防ぐことができます。FS S3900シリーズギガビットスタッカブルマネージドスイッチ は、この機能を最大限に活用してお客様のネットワークを保護できます。

2660

おすすめのコンテンツ