web-dev-qa-db-ja.com

DHCPリース時間を非常に短い時間に設定すると、セキュリティが向上しますか?

はい、もしくは、いいえ? :O

なぜ?

3
LanceBaynes

視点に依存しますが、これがDHCPサーバーのなりすましおよびポイズニング攻撃のベクトルから見られる場合、実際にはセキュリティが低下し、エクスプロイトが成功するまでの時間がかかります。また、一部の競合状態のシナリオで成功する競合の可能性を高めています。結論として、この質問は、一般的なルールとしてではなく、心配している特定の明示的なシナリオまたは攻撃ベクトルでよりよく尋ねられます。

5
Shinnok

非常に一般的な用語では、いいえ。おそらく、セキュリティが強化されている可能性があるという推測は、IPを頻繁に切り替えることにより、特定のホストに対する長期的な攻撃を持続するための障壁が高まるということです。ただし、実際には、ベースとなる実際のネットワーク識別子はMACアドレスであり、このモデルでは一定のままです。したがって、DHCP間隔の間にホストを再識別することは簡単です。

あなたが達成する可能性が最も高いのは、攻撃者が遅いポートスキャンなどのタスクをより小さなサブに分割する必要があるかもしれないので、攻撃者がそれを実行しようとする場合、(攻撃者にとって)少し高いレベルの煩わしさです。 1つのIP更新間隔内で完了することができるタスク。

5
TobyS

1)コンピューターが接続されている場合、DHCPリース時間は何も意味しません(RFC2131が適切です)。クライアントがネットワークに接続されている限り、リース期間が終了する前にクライアントは同じアドレスを要求し続けて(そして許可する必要があります)、サーバーはそれを許可し続けます。基本的に、リース時間は、1つのMACアドレスに対して1つのIPが予約される期間を決定するだけです。リース期間が終了したときに、クライアントがリース期間を更新していない場合は、別のクライアントに自由に与えることができます。 onlyリース時間を変更する目的は、a)アドレスが不足していて未使用のIPをより早く再利用する必要がある場合、それを短くするか、b)1つのホストに同じアドレスを維持させることです長時間(たとえば、夜間にマシンの電源をオフにし、朝の起動時に同じアドレスにしたい場合)。

2)大学でDHCPを管理し、64,000を超えるアドレスを配布している人の経験からこれを取り入れてください。セキュリティのためにリース時間が短くなると、ログのボリュームが大幅に増加し、データがMACと一致する可能性が高くなります。 IPへのアデセスは失われるか、必要なすべての場所に到達するわけではありません。

4
Jason Antman

同じコンピュータ上に同じIPが長時間存在しないことを確認するという意味では、これは主観的すぎます。そうです、ある意味では、セキュリティの「向上」と呼ぶことができます。一方、マシンで何かが開かれ、バックドアがある場合、攻撃者はシェルを開いてリバースtcpを実行し、マシンに戻ることができるため、IPまたはリースがどのように見えるかは関係ありません。そのような状況でのセキュリティの強化。

それ以外には、xx分ごとにDHCPリースを更新する必要がある理由がわかりません。どういうわけかそれがDNSに接続されている場合、リースが更新されるたびにそれを更新するのはお尻の痛みです。

1
Split71

短い答えは次のとおりです。いいえ。DHCPリース時間を短くしても、セキュリティは向上しません。最も可能性の高い形式の攻撃を防ぐために、彼らはほとんどまたは何もしません。それをいじる必要はありません。それはあなたの時間の有効利用ではありません。人生は短すぎる。標準のセキュリティ対策に集中するために、限られた時間をより有効に活用してください。

1
D.W.