web-dev-qa-db-ja.com

DHCPと静的IPアドレッシング

セキュリティの観点から、DHCPと静的IPアドレッシングはどのように比較されますか?それぞれに関連するリスク/メリットは何ですか?

2つの間の好ましい解決策はネットワークのサイズとレイアウトによって異なることはわかっていますが、比較する方法のより一般的な説明を探しています。

システムの機密性、整合性、または可用性に直接および重大な影響を与えない限り、ネットワークのオーバーヘッドやインフラストラクチャのコストなどのトピックは無視して、セキュリティの観点からのみ回答してください。

20
Iszi

DHCPオファーは、ネットワークに関する一部の情報をリークします。含まれているオプションは、ネットワークレイアウトとインフラストラクチャに関する特定の詳細を明らかにします。これは、DHCPが行うように設計されているものです。静的割り当てでは、この詳細は提供されません。

ここでの脅威は、ネットワークへの不正な接続です。これは、ライブネットワークジャックに接続するデバイスか、WLANにアクセスするワイヤレスクライアントのいずれかです。不正な接続が行われると、攻撃者が接続した後に何でも実行できるようになるのは、DHCPとStaticの比較です。

MAC登録によるDHCPは、最も堅牢なDHCPモデルです。知られていないMACにはアドレスを提供しないため、理論的には、許可されていないデバイスに情報が提供されることはありません。同じことが静的割り当てにも当てはまり、アドレス指定を要求するサーバーはありません。

MAC登録のないDHCPは、許可されていないデバイスがIPアドレスを消費することを許可します。

MAC登録では、すべてのタイプのすべての新しいデバイスをDHCPシステムに登録する必要があります。これにより、新しいデバイスが機能するまでの時間が大幅に増加する可能性があります。すべてのネットワークデバイスのMACが簡単に読み取れる場所に掲載されているわけではないため、一部のエッジケースデバイスでは、使用しているMACを把握するためにベンチテストが必要になる場合があります。プラグアンドゴーは機能しません(設計上!)。さらに、既存のデバイスのネットワークカードが何らかの理由で交換されている場合、技術者は新しいMACを再登録することを忘れないでください。 古いMACの登録解除はこのプロセスの重要なステップであり、DHCPスコープがいっぱいになるまで見逃されることがよくあります。

MAC登録によるDHCPの有用性を低下させるいくつかの攻撃があります。攻撃者が承認されたデバイスとそのネットワークポート(2つのNICを搭載したラップトップなど)の間にブリッジを配置できる場合、そのデバイスのMACアドレスを非常に簡単に把握できます。この方法で監視されたトラフィックは、承認されたデバイスのMACアドレスを明らかにします。ほとんどのネットワークカードではMACアドレスの変更が許可されているため、攻撃者が行う必要があるのは、NICの1つでMACを変更し、承認済みのデバイスを取り外し、番号を付け直したデバイスを接続し、登録済みのMACにアクセスすることだけです。

ワイヤレスでは、攻撃者がWLANに侵入して、電波を監視できるようになると、 MAC情報の取得も同様に簡単です。

これに対する防御は、ネットワークアクセスコントロールです。ネットワークと通信するには、接続されたデバイスがマシンレベルで認証できる必要があります。これにより、重要なネットワーク会話が発生するのを防ぐため、ネットワークに接続されている不正なデバイスから保護されます。上記のシナリオでは、攻撃者のデバイスはアクセスを拒否されます。すべてのデバイスがNAC、特にネットワーク接続プリンターを使用できるわけではないため、攻撃者はこれらのデバイスに集中できます。つまり、ネットワーク切断イベントをこれらのポートで監視する必要があります。

21
sysadmin1138

一般的に、適切に構成された環境では、この選択はセキュリティにあまり影響しません。そうは言っても、DHCPには考慮に値するいくつかの穴があるかもしれません。

DHCPを使用すると(既知のクライアントにアドレスを渡すだけであると想定)、ネットワーク上でジャンプする不明なマシンにはアドレスが与えられません。ここで、プラグインするマシンにリースを配布する場合、セキュリティの問題が発生しますが、答えは「それをしないでください!」です。
理論的には、誰かがネットワークに接続してブロードキャストメッセージを探し、ネットワークがどのようなものかを理解することができます(DNSサーバー、ルーター、DHCPクライアントIDと取得したIP範囲に基づいて情報が漏洩した可能性があります)に割り当てられていますが、人々が(理論的には安全な)ネットワークに接続している場合、大きな魚を揚げる必要があります。

静的アドレスとDHCPサーバーがない場合、自然な情報漏えいが少なくなります(ルーターとDNS情報は渡されず、情報を漏らすDHCPクライアントIDもありません)。この場合でも、攻撃者がネットワークに接続した場合、DHCPブロードキャストから取得した情報と同じ情報を探し出すまで、静かにトラフィックを傍受するだけで済みます。DHCPブロードキャストから取得するのに時間がかかり、困難になりますが、それはまだ可能です。


理想的には、未使用のネットワークポートを非アクティブにし、高品質のWPAを使用してすべてのワイヤレスを保護し、おそらくアクセススイッチとワイヤレスアクセスポイントでMACアドレスフィルタリングを実行する必要があります。ネットワークに接続し、DHCPから発生する可能性のある情報漏えい(または座って傍受)と、ネットワークとの間にある別の障害物との間に別の障害物を配置することで、ネットワークに接続できます。

10
voretaq7

動的に割り当てられたIPアドレスの課題の1つは、ファイアウォールルールの構築が多少難しくなる可能性があることです。多くの場合、ファイアウォールルールは、通信するホストのハードコードされたIPアドレスを使用して構築されます。これらのホストに動的IPがある場合、それらのホストの安全なファイアウォールポリシーをコーディングすることは困難です。

(通常、DNSホスト名ではなく、ハードウェアコーディングされたIPアドレスをファイアウォールポリシーで使用するのが最も安全な理由は、ファイアウォールのセキュリティがDNSスプーフィング、DNSハイジャック、またはその他のDNS攻撃に対して脆弱ではないためです。)

5
D.W.

ここでまだ言及されていない別のセキュリティ問題は、中間者攻撃の可能性です。

攻撃者が不正なDHCPサーバーを展開すると、イントラネットとインターネットの両方の通信で、攻撃者は本質的にゲートウェイになることができます。

このタイプの攻撃の軽減策は、インフラストラクチャで使用されるハードウェアに依存します。ハードウェアがブロックルールをサポートしている場合。ポート、送信元ポート67のパケットを禁止します。

そうでない場合は、ネットワーク上の不正なDHCPサーバーを受動的にリッスンすることもオプションです。

4