やったこと

ネットワークスペシャリスト

学んだこと

均等に振り分けるものではない。

野良PCからのARPリクエストを、アクセス制御を司る端末が応答を偽造する。

ARPスプーフィングも、正しく使用することでセキュリティ効果に役立てることができるという事例。

DHCPによるIPアドレスの払い出しは、ブロードキャストドメイン内でのみ行われる。
言い換えると、ルータを超えられない。

■ 前提

同一ネットワーク上に、DHCPサーバが複数存在することを想定する。

■理由

DHCP OFFER を送信したDHCPサーバは、DHCP REQUESTを受け取り次第、DHCP ACKを返す。

他のDHCPサーバは、DHCP OFFERに含まれるIPアドレスが払い出されることを知ることができる。

つまり、「このIPアドレスをこれから使います」ということを、全DHCPサーバに通知する目的で、ブロードキャストにてDHCP REQUESTを送信する。

DHCP クライアントとDHCPサーバが別セグメントに存在する場合、DHCPクライアントが送信する DISCOVERとREQUESTを、DHCPサーバが存在するセグメントへ中継する機能。
レイヤー3のネットワーク機器に搭載されている。

リレーエージェントにて中継した時点で、DISCOVERとREQUESTはユニキャストとなる。

DHCP クライアント --- ブロードキャスト ---> リレーエージェント --- ユニキャスト ---> DHCP サーバ

DHCP関連パケットを監視すること。
これにより、正規のDHCPサーバから払い出されたIPのみ通信を許可するといった通信制限を課すことができる。
L2SWに搭載されている。

■Trusted設定

L2SWのポートに対して行う、「DHCPスヌーピング、および通信制限を課さない」という設定。
このポートに接続されたセグメントは、通信制限が課されることなく、自由に通信できる。
DHCPサーバあての通信や、固定IPアドレスを持つ機器のために使用する。

■Untrusted設定

L2SWのポートに対して行う、「DHCPスヌーピング、および通信制限を課す」という設定。
このポートに接続されたセグメントでは、式のDHCPサーバから払い出されたIPアドレスからのみ通信が可能となる。

言い換えると、正規のDHCPサーバが関与しない、不正なIPアドレスを使用した通信をブロックする。