DHCPが止まる日、頭の片隅に置きたい原因と対策：ビジネスインフラを狙う攻撃にどう対応するか（3）（2/2 ページ）

DHCPが止まっても気が付かない？

　DHCPのトラブルが表面化しにくい理由の一つは、リース期間にあるかもしれない。IPアドレスを既に正しくDHCPサーバからリースされている端末は、リース期間内であれば再起動しても同一のIPアドレスを専有できる。つまり、DHCPサーバが止まったとしてもそのことに気が付かないからだ。

　その後、リース期間が終わった端末からネットワークにつながらない、という事象が出てくるため、これも「端末によってつながったりつながらなかったりする」上に、「再起動してもつながらない端末と、つながる端末がある」ように見える。

　さらに「野良ルーター」が潜伏していた場合、一気にIPアドレスが書き換わる可能性もある。

　このような課題が残るため、DHCPに対しても、日頃から監視、メンテナンスの目を行き届かせるべきだ。

DHCPで「不審なデバイス」もつながってしまう？

　DHCPの仕組みはネットワークの黎明（れいめい）期から使われていることもあり、基本的には「性善説」で動いている。

　有線ネットワークにおいては、ネットワークのセキュリティは組織内のオフィスのセキュリティに頼っていた。ハブの未使用ポート自体に物理的にアクセスできるかどうかが、ネットワーク接続可否を決めていたからだ。そのため、万が一不審なデバイスがイーサネットポートに接続された場合でも、他の正規デバイスと同様、IPアドレスが払い出されてしまうことに気を付けるべきだ。

　これについてはDHCPに限った問題ではないが、DHCPサーバ側だけでもある程度の対策はできる。

　例えば端末のMACアドレスに対して特定のIPアドレスを払い出し、未登録のMACアドレスを持つ端末を接続させない対策だ。その他、MACアドレスを全て登録しておき、それ以外をフィルタリングで排除するという方法も考えられる。

　現在では不正なデバイスを検知するソリューションも多数存在する。そのような手法を選択することも視野に入れておきたい。

もう一度見直したい「DNS／DHCP」運用

　DNS（Domain Name System）やDHCPはネットワークでは基礎中の基礎ながら、動いていて当たり前といった印象が強い。このため、いったんトラブルが起きてしまうとなかなか復旧できない場合もあるだろう。歴史が長く、ノウハウも多いため、やや地味ながら「過去の記事を参照する」ことで、スキルアップが望める部分でもある。

　＠ITでも、過去記事としてDNS、DHCPを扱った基礎的な情報がたくさん残っている。その一部を次に記す。“温故知新”として役立つ情報がしっかり生きていることが分かると思う。

• 不正なDHCPサーバを見付ける − ＠IT
• いつかは起きる「DHCPが止まる日」のために − ＠IT
• DHCPベストプラクティスと新たな役割の模索 − ＠IT
• DHCPスヌーピングでよりセキュアな環境を構築する − ＠IT

　もう一度DNS、DHCPといったインターネット／ネットワークの基本、基礎を学び、安定したネット運用を心掛けてほしい。

特集：ネットワークセキュリティの新常識　「動作する」と「企業インフラとして確実に機能する」の違い

サイバー攻撃や情報漏えい対策などの「セキュリティ」に注目が集まっている。ビジネスを止めないという意味では、普段は動き続けているかもしれないが、トラブルが即ビジネスに直結してしまう「インフラのセキュリティ」にも注目する必要がある。DNSやDHCP、無線LAN、ネットワーク監視などは、動いていることが運用できているというわけではない。正しく運用できて、はじめてリスクが極小化されるのだ。セキュリティやインフラに専任のエンジニアが張り付き、完ぺきな判断ができるという環境はまれだ。そこで、ネットワークセキュリティをキーワードに、ネットワークのインフラに近い部分に存在する落とし穴を可視化し、適切な対策を取るためにはどうしたらいいか、基礎技術や最新ソリューション、そして事例を含め紹介しよう。

特集：ネットワークセキュリティの新常識　「動作する」と「企業インフラとして確実に機能する」の違い