DHCPスヌーピングを9秒で理解&ネスペ午後問対策

DHCPスヌーピング

はじめに

哲学者トニーくん
哲学者トニーくん

【9秒チャレンジ】
DHCP Snoopingとは、ネットワーク内の不正なDHCPサーバー防ぐ仕組みであり、Trusted PortとUntrusted Portを使ってそれを実現する。

  • Trusted Port正規のDHCPサーバーが接続されるポートであり、すべてのDHCPメッセージを許可する。
  • Untrusted Portはクライアントや不正なDHCPサーバーが接続されるポートで、不正なDHCPメッセージ(OFFER、ACK)をブロックする。

では、練習問題を通して実感していきましょう!

問題

システム概要
ある企業のネットワークでは、セキュリティ対策として「DHCPスヌーピング」を有効化しています。この企業のネットワーク構成は以下の通りです:

  • コアスイッチに接続された複数のアクセススイッチが設置されています。
  • DHCPサーバはコアスイッチに接続されており、各アクセススイッチを経由してクライアントにIPアドレスを配布します。
  • DHCPスヌーピングはすべてのアクセススイッチで有効化されています。

問題状況
ある日、ネットワーク管理者から以下の報告がありました:

  1. 一部のクライアントが正しいIPアドレスを取得できず、ネットワークに接続できない。
  2. DHCPスヌーピングのログを確認したところ、不明なDHCPオファーメッセージが検出され、ブロックされている。
  3. クライアントの接続ポートで「トラスト(信頼)」設定が無効になっていることが判明した。

質問

(1) DHCPスヌーピングの役割と機能について簡潔に説明してください。
(2) DHCPスヌーピングにおける「信頼ポート」と「非信頼ポート」の違いを説明してください。
(3) 上記の問題状況を解決するために必要な設定変更を説明し、その理由を述べてください。

解答例

(1) DHCPスヌーピングの役割と機能

DHCPスヌーピングは、ネットワーク内での不正なDHCPサーバからの攻撃を防ぐためのセキュリティ機能です。不正なDHCPサーバが存在すると、クライアントに意図しないIPアドレスや設定情報を配布することで、通信障害情報漏洩が発生する可能性があります。
DHCPスヌーピングは、スイッチが、通過するDHCPメッセージを監視し、次のような機能を提供します:

  • 信頼できるポート(trustedトラステッドポート、信頼ポート)を通過するDHCPメッセージのみ許可する。
  • 不正なポート(untrustedアントラステッドポート、非信頼ポート)から送信された不正なDHCPメッセージをブロックする。
  • DHCPの「バインディング情報」(IPアドレス、MACアドレス、ポート番号)を記録して通信を監視する。

(2) 信頼ポートと非信頼ポートの違い

  1. 信頼ポート
    • DHCPスヌーピングが「信頼できる」と設定されたポートです。
    • 通常、正規のDHCPサーバが接続されるポートとして設定します。
    • このポートを通過するDHCPメッセージは、スイッチによって制限されません。
  2. 非信頼ポート
    • デフォルトで信頼できないとみなされるポートです。
    • クライアントが接続するポートや、不正なDHCPサーバが接続される可能性のあるポートとして設定されます。
    • このポートから送信されるDHCP OFFERやDHCP ACKメッセージはブロックされます。

(3) 問題の解決方法

問題の原因は、クライアントが接続されているポートが「非信頼ポート」に設定されていることです。そのため、DHCPオファーメッセージがブロックされ、クライアントが正しいIPアドレスを取得できていません。

解決方法は以下の通りです:

1.DHCPサーバが接続されているポートを「信頼ポート」に設定する

  • DHCPサーバからのメッセージをブロックしないようにするために、DHCPサーバが接続されているコアスイッチのポートをTrustedポートに設定します。
  • 設定コマンド例(Ciscoスイッチの場合):
    Markdown
    Switch(config)# interface GigabitEthernet1/0/1  
Switch(config-if)# ip dhcp snooping trust

    2.アクセススイッチのクライアントポートは「非信頼ポート」のままにする

    • クライアントが接続するポートは、通常通り非信頼ポートに設定しておきます。

    3.DHCPスヌーピングのVLAN設定を確認する

    • DHCPスヌーピングが正しいVLANで動作しているかを確認し、必要に応じて設定を追加します。
    • 設定コマンド例:
    Markdown
    Switch(config)# ip dhcp snooping vlan 10

    4.DHCPバインディング情報の確認

    • DHCPスヌーピングが正しく動作しているか確認するため、スイッチに記録されたバインディング情報を確認します:
    Markdown
    Switch# show ip dhcp snooping binding

      解説

      DHCPスヌーピングは信頼ポートを適切に設定しなければ、正規のDHCPメッセージもブロックしてしまい、ネットワーク障害を引き起こします。したがって、DHCPサーバや中継器が接続されるポートに信頼設定を行うことが重要です。一方で、クライアントポートを非信頼のままにしておくことで、不正なDHCPサーバからの攻撃を防ぎます。このバランスが、DHCPスヌーピングの効果を最大化するポイントです。

      SUMMER PARADISE – Simple Plan feat. Taka from ONE OK ROCK
      タイトルとURLをコピーしました