CCNA試験対策 下巻ch8: DHCP Snooping and ARP Inspection (1/2)
https://www.ciscopress.com/store/ccna-200-301-official-cert-guide-volume-2-9781587147135www.ciscopress.com
DHCP Snooping
DHCP Snooping Concepts
- L2ポート上で動作するACLやFirewallのような機能
- DHCP自体はL3で動作することに注意
- DHCP Snoopingではポートを2つに分類する
- trusted
- switch,router,DHCPサーバなどが繋がっているポート
- untrusted
- PC、APなどが繋がっているポート
- trusted
- DHCP Snooping概略
A Sample Attack: A Spurious DHCP Server
- 正当なDHCPサーバのDHCPOFFER/ACKよりも先に偽DHCPOFFER/ACKが受信されてしまう
- 利用可能なIPアドレス・デフォルトゲートウェイが配られるのでクライアントは攻撃に気づかない
- デフォルトゲートウェイに攻撃者のサーバが設定され、パケットを盗聴・改ざんされてしまう(中間者攻撃)
DHCP Snooping Logic
- untrustedポートに入ってくるフレームを検査する
Filtering DISCOVER Messages Based on MAC Address
- 攻撃
- 対策
Filtering Messages that Release IP Addresses
- 攻撃
- 対策
DHCP Snooping Configuration
Configuring DHCP Snooping on a Layer 2 Switch
- 設定
Switch(config)#ip dhcp snooping vlan 1 Switch(config)#no ip dhcp snooping information option Switch(config)#interface g0/1 Switch(config-if)#ip dhcp snooping trust
- DHCP Snoopingの状態確認
Switch#show ip dhcp snooping Switch DHCP snooping is enabled DHCP snooping is configured on following VLANs: 1 Insertion of option 82 is disabled Option 82 on untrusted port is not allowed Verification of hwaddr field is enabled Interface Trusted Rate limit (pps) ----------------------- ------- ---------------- GigabitEthernet0/1 yes unlimited FastEthernet0/1 no unlimited FastEthernet0/2 no unlimited
Option 82 on untrusted port is not allowedno ip dhcp snooping information optionが反映されている
- 何これ
- DHCP relay agentがbroadcastをunicastに詰め替えるときに付与されるフィールド
- RFC3046
- L3SWのときに有効にすべき設定
- 今回はL2SWなので切る
- DHCP relay agentがbroadcastをunicastに詰め替えるときに付与されるフィールド
- DHCP Spoofingして動作検証してみる
- DHCP Snoopingを設定していないとき
from PC0
C:\>ipconfig /renew IP Address......................: 10.0.1.53 Subnet Mask.....................: 255.255.255.0 Default Gateway.................: 10.0.1.49 DNS Server......................: 255.255.255.252
- デフォルトゲートウェイに攻撃者のIPアドレス
10.0.1.49が設定されてしまった- MITM攻撃の餌食
- DHCP Snoopingを設定しているとき
C:\>ipconfig /renew IP Address......................: 10.0.1.53 Subnet Mask.....................: 255.255.255.0 Default Gateway.................: 10.0.1.1 DNS Server......................: 255.255.255.252
- デフォルトゲートウェイに正当なDHCPサーバによる設定
10.0.1.1が設定された。OK
Limiting DHCP Message Rates
- DHCP snoopingは汎用CPUを食うのでそれ自体が攻撃対象になりうる
- この対策として、DHCPのレートリミット機能がある
- switch-port securityよろしく、portをerr-disabledにする
Switch(config-if)#ip dhcp snooping limit rate 10 Switch(config-if)#int f0/1 Switch(config-if)#ip dhcp snooping limit rate 2 Switch(config-if)#int f0/2 Switch(config-if)#ip dhcp snooping limit rate 2
Switch#show ip dhcp snooping Switch DHCP snooping is enabled DHCP snooping is configured on following VLANs: 1 Insertion of option 82 is disabled Option 82 on untrusted port is not allowed Verification of hwaddr field is enabled Interface Trusted Rate limit (pps) ----------------------- ------- ---------------- FastEthernet0/2 no 2 FastEthernet0/1 no 2 GigabitEthernet0/1 yes 10
errdisable recoveryglobal configコマンドで自動復旧も設定できるらしいがPacket Tracerでは動作しなかった
英語
- backdrop
- 背景
- spurious
- 偽の
- legitimate(正当な)の対義のように用いられている
- 偽の
