DHCPスヌーピング

出典: フリー百科事典『ウィキペディア(Wikipedia)』
ナビゲーションに移動 検索に移動
DHCPスヌーピングのしくみの例

コンピュータネットワークにおいて、DHCPスヌーピング: DHCP snooping)とは、DHCPインフラストラクチャのセキュリティを向上させるために適用される一連の技術である[1]

DHCPスヌーピングは、スイッチングハブにおいて、DHCPサーバLAN上のクライアントとの間でやり取りするDHCPメッセージの中身をスヌーピング(のぞき見)し、不正なDHCPサーバや不正なDHCPクライアントからのトラフィックを防止する。右の図の例では、正規のDHCPサーバが接続されているポートのみを"Trusted port"(信頼できるポート)、それ以外を"Untrusted port"(信頼できないポート)とし、DHCPサーバから送られるメッセージがUntrusted portに届いた場合はそれを破棄する。これにより、不正なDHCPサーバからのメッセージがクライアントに届かないようになる[2]。また、DHCPトランザクションを正常に完了したホストに関する情報は、スイッチ内のバインディングデータベースに蓄積される。このデータベースは、他のセキュリティ機能やアカウンティング機能によって使用することができる。

この他、DHCPスヌーピングデータベース情報を使用して、レイヤ2スイッチドドメインのIPの整合性を保証することがある。この情報により、ネットワークは次のことが可能になる。

  • AAAアカウンティングやSNMPと組み合わせて、IPアドレスの物理的な場所を追跡できる。
  • source-guard(source-lockdown)と組み合わせて、ホストが自分に割り当てられたIPアドレスのみを使用するようにする[3]
  • arp-inspection(arp-protect)と組み合わせて、ARP要求を無害化する

脚注[編集]

[ヘルプ]
  1. ^ Five Things To Know About DHCP Snooping”. Packet Pushers. 2016年2月29日閲覧。
  2. ^ いまさら聞けないスイッチの基礎(15) DHCP”. マイナビニュース. 2019年2月22日閲覧。
  3. ^ Catalyst 3750-X and Catalyst 3560-X Switch Software Configuration Guide, Cisco IOS Release 15.0(2)SE and Later”. Cisco.com. 2016年2月29日閲覧。