DHCPサーバを使うとき、ネットワークカードのMACアドレスを登録する。
DHCPとセキュリティの関係
意外に知られていないことだが、DHCPはセキュリティ的に弱点が存在します。
DHCP(Dynamic Host Configuration Protocol)の機能は、クライアントPCに対してTCP/IPに関する設定を自動で行ってくれる機能で、まあどこでも使用されているポピュラーなプロトコルの1つです。
○DHCPに関する解説はここら辺でしています…
自動化が引き起こす悲劇DHCPは自動でTCP/IP情報を設定してくれるスグレモノなわけだですが、その自動化が逆にセキュリティを甘くしてしまう場合があります。
DHCPサーバは、クライアントPCとのやり取りを行う際にクライアントPCを識別せずに、基本的に要求がくればTCP/IP情報を配布してしいます。
そのため、悪意を持った人がクライアントPCをネットワークに接続した場合でも同様にTCP/IP情報を配布してしまいます。
これがDHCPがセキュリティ的に甘いと言われることの1つ目です。
2つ目は、DHCPサーバは基本的にどのクライアントにどのIPアドレスを割り振ったのかを認識していません。
クライアントから要求があると、空いているIPアドレスが適宜割り振られてしまうためです。
そのため、不正アクセスがあった時などに、どのクライアントからアクセスしたのかを調べるのが大変。
これがDHCPがセキュリティ的に甘いと言われることの2つ目です。
DHCPのセキュリティ対策以上の2つの問題について、対策方法が無いわけではなく、以下のような方法で対策が可能です。
* 登録したMACアドレス以外のクライアントにはTCP/IP情報を配布しない
DHCPサーバに事前に登録したMACアドレス以外のクライアントには TCP/IP情報を配布しない設定をしておく。
これで、1つ目の問題はクリアされます。* MACアドレスを基に固定IPアドレスを割り当てる
DHCPサーバに事前にMACアドレスごとに、 割り当てるIPアドレスを設定しておく。
この設定でDHCPを使用しつつ固定IPを利用した構成に 近い運用が可能になります。
これで2つ目の問題もクリア。それほど大騒ぎする脆弱性ではないのですが、日常よく使っている機能にもセキュリティに問題があるということは認識しておいて損はありません。
引用元: ネットワークエンジニアを目指して・セキュリティに関するあれこれ:DHCPとセキュリティの関係,
"http://www.itbook.info/study/security5.html"
