DHCPスヌーピング

装置独自の機能ですが、簡易な不正端末、間違ってIPアドレスを設定した端末、不正なDHCPサーバーの排除方法として多くの機器で採用されているDHCPスヌーピングについて説明します。

DHCPスヌーピングの概要

 DHCPスヌーピングを有効にするとDHCPでのIPアドレス取得のやりとりをスイッチで監視します。

DHCPスヌーピング1

 スイッチは正式にIPアドレスを割り当てられた端末が接続されているインターフェースやMacアドレス等の情報を保持しており、その端末の通信しか許可しません。

DHCPスヌーピング2

 つまりパソコンにDHCPを利用せずに固定でIPアドレスを設定しても通信出来ないように出来ます。

DHCPスヌーピングの動作

 DHCPスヌーピングを動作させた際はDHCPサーバーや固定でIPアドレスを割り当てるサーバー、プリンター等が接続されるインターフェースをTrustedインターフェースとして設定します。

 Trustedインターフェースではスヌーピングを行わないため自由に通信が可能です。

DHCPスヌーピング3

 その他のインターフェースはUntrustedインターフェースと呼ばれ、正式にDHCPサーバーからIPアドレスが割り当てられた場合のみ通信が可能になります。

DHCPスヌーピングのメリット

 DHCPスヌーピングのメリットとして大きな点は不正なDHCPサーバーを排除出来る点です。

 最近では特に家庭向けの機器でDHCPサーバーがデフォルトで動作している事が多く、安易にネットワークに接続した場合、本来のサブネットと違うIPアドレスが割り当てられて通信出来ない可能性があります。

DHCPスヌーピング5

 又、不正なDHCPサーバーからIPアドレスを割り当てられてIPアドレスが重複する可能性もあります。IPアドレスが重複した場合は通信出来たり出来なくなったりします。

 DHCPスヌーピングを適用するとTrustedに設定されたインターフェース以外のDHCPサーバーからのIPアドレス割り当てを遮断する事が出来るため、意図しないDHCPサーバーによりIPアドレスが割り当てられる事を防げます。

DHCPスヌーピング6

 2点目のメリットは、不正に持ち込んだパソコンや間違って固定でIPアドレスを設定されたパソコンが通信出来ないように出来る点です。

 固定でIPアドレスを設定されたパソコンはDHCPスヌーピングだけでも通信を遮断出来ますが、不正に持ち込んだパソコンはDHCPスヌーピングだけでは通信を遮断出来ません。

 不正に持ち込んだパソコンでもDHCPでIPアドレスを取得する設定にすれば誰でも通信が可能になるためです。このため、DHCPサーバーに登録されたMacアドレスだけIPアドレスを割り当てるようにすれば、登録されていない不正に持ち込んだパソコンにはIPアドレスが割り当てられないように出来ます。

DHCPスヌーピング4

 規模が大きくなるとパソコン1台1台のMacアドレスの管理は大変ですが、通信しているARPの情報からMacアドレスを自動収集したり、IDとパスワード等の認証でMacアドレスを利用者側が登録する等、管理者側でMacアドレスを設定せずにDHCPサーバーに登録出来るDHCPサーバーを導入すると、容易な管理で不正アクセスを防ぐ効果も期待出来ます。

  • このエントリーをはてなブックマークに追加