やさしいネットワークとセキュリティ

ネットワーク・セキュリティエンジニアの視点から各種テクノロジーと資格試験対策をやさしく解説します。

DHCPスヌーピング

DHCPを運用しているネットワークでは、以下のような不正な機器の接続により、問題が発生する場合があります。

  • 正規のDHCPサーバ以外のDHCP機能を有する機器
  • 固定のIPアドレスを設定した端末

これを防ぐ機能がDHCPスヌーピング

スイッチのポートに「トラステッド」「アントラステッド」を設定します。

  • トラステッドポート:通信を信頼、つまり通信を制限しないポート。DHCPサーバを接続する。
  • アントラステッド:通信を信頼しない、つまり通信を制限するポート。DHCPサーバ以外の機器を接続する。

スイッチはDHCPサーバとクライアント間のメッセージを監視して、以下の動作を行うます。

  • アントラステッドポートからのDHCPサーバが送信する通信は遮断
  • 正規のDHCPサーバから割り当てられたIPアドレスやMACアドレス以外の端末からの通信は遮断

      f:id:aolaniengineer:20190804052255p:plain

 

組織内であれば、物理的にネットワークに接続することは困難ですので、どちらかというと意図せずに不正な接続をしてしまったケースが多いかもしれません。