DHCPスヌーピング
コンピュータネットワークにおいて、DHCPスヌーピング(英: DHCP snooping)とは、DHCPインフラストラクチャのセキュリティを向上させるために適用される一連の技術である[1]。
DHCPスヌーピングは、スイッチングハブにおいて、DHCPサーバがLAN上のクライアントとの間でやり取りするDHCPメッセージの中身をスヌーピング(のぞき見)し、不正な端末がDHCPクライアントやDHCPサーバになりすます攻撃(これをDHCPスプーフィング攻撃という)を防止する。英語でスプーフィング(spoofing)とは"なりすまし"の意味であり、そのなりすましを発見するためにスヌーピング(snooping = のぞき見)して不正なDHCPパケットを監視するするのである。
右の図の例では、正規のDHCPサーバが接続されているポートのみを"Trusted port"(信頼できるポート)、それ以外を"Untrusted port"(信頼できないポート)とし、DHCPサーバから送られるメッセージがUntrusted portに届いた場合はそれを破棄する。これにより、不正なDHCPサーバからのメッセージがクライアントに届かないようになる[2]。また、DHCPトランザクションを正常に完了したホストに関する情報は、スイッチ内のバインディングデータベースに蓄積される。このデータベースは、他のセキュリティ機能やアカウンティング機能によって使用することができる。
この他、DHCPスヌーピングデータベース情報を使用して、レイヤ2スイッチドドメインのIPの整合性を保証することがある。この情報により、ネットワークは次のことが可能になる。
- AAAアカウンティングやSNMPと組み合わせて、IPアドレスの物理的な場所を追跡できる。
- source-guard(source-lockdown)と組み合わせて、ホストが自分に割り当てられたIPアドレスのみを使用するようにする[3]。
- arp-inspection(arp-protect)と組み合わせて、ARP要求を無害化する
また、DHCPスヌーピングはDHCPパケットを監視するのみならず、DHCPパケットのレートを制限することも可能で、大量のDHCP要求を送りつける攻撃(DoS攻撃)を防ぐことができる。具体的には、インターフェースが受信できる1秒あたりのDHCPパケット数を設定することでDoS攻撃を防ぐ。下記例はシスコ社製の機器でのコマンド設定。
- (config-if)#ip dhcp snooping limit rate {1秒あたりに受信可能なDHCPパケット数}
関連項目
[編集]脚注
[編集]- ^ “Five Things To Know About DHCP Snooping”. Packet Pushers. 29 February 2016閲覧。
- ^ “いまさら聞けないスイッチの基礎(15) DHCP”. マイナビニュース. 2019年2月22日閲覧。
- ^ “Catalyst 3750-X and Catalyst 3560-X Switch Software Configuration Guide, Cisco IOS Release 15.0(2)SE and Later”. Cisco.com. 29 February 2016閲覧。