メインコンテンツまでスキップ

23. Security Considerations (セキュリティに関する考慮事項)

23. Security Considerations (セキュリティに関する考慮事項)

DHCPへの脅威は、本質的に内部脅威です (DHCPv6ポートがエンタープライズの境界ゲートウェイでブロックされている適切に構成されたネットワークを想定)。ただし、ゲートウェイ構成に関係なく、内部者と外部者による潜在的な攻撃は同じです。

リレーエージェントとサーバー間で手動で構成された事前共有キーを使用したIPsecは、リプレイされたDHCPメッセージに対する防御を提供しません。リプレイされたメッセージは、処理リソースの枯渇を通じてDOS攻撃を表すことができますが、誤構成や他のリソース (割り当て可能なアドレスなど) の枯渇を通じては表すことができません。

DHCPクライアントに対する特定の攻撃は、クライアントに誤った構成情報を提供することを目的とした悪意のあるサーバーの確立です。これを行う動機は、クライアントをDNSやNTPなどの一部のサービスの有効なサーバーではなく悪意のあるサーバーと通信させる「中間者」攻撃を実行することである可能性があります。悪意のあるサーバーは、クライアントの誤構成を通じてサービス拒否攻撃を実行することもでき、クライアントからのすべてのネットワーク通信が失敗します。

DHCPクライアントは、誤ってまたは意図せず構成されたDHCPサーバーからの別の脅威に直面しています。これらのサーバーは、意図せず誤った構成パラメータでDHCPクライアントリクエストに応答します。

DHCPクライアントは、悪意のあるサーバーからの再構成メッセージを受信することによる攻撃の対象となる可能性もあります。このメッセージは、クライアントがそのサーバーから誤った構成情報を取得する原因となります。クライアントがリレーエージェントを介して応答 (更新または情報要求メッセージ) を送信し、その応答がDHCPメッセージがリレーされるサーバーによってのみ受信されることに注意してください。悪意のあるサーバーは、クライアントに再構成メッセージを送信し、その後 (適切な遅延の後) クライアントによって受け入れられるリプライメッセージを送信できます。したがって、クライアントとサーバー間のネットワークパス上にない悪意のあるサーバーでも、クライアントに対して再構成攻撃を実行できる可能性があります。暗号学的に安全で予測が容易でないトランザクションIDの使用も、このような攻撃が成功する確率を減らします。

DHCPサーバーに対する特定の脅威は、有効なクライアントになりすます無効なクライアントです。これを行う動機は、サービスの盗難、または任意の数の悪意のある目的のために監査を回避することである可能性があります。

クライアントとサーバーに共通の脅威は、リソース「サービス拒否」 (DoS) 攻撃です。これらの攻撃は、通常、利用可能なアドレスの枯渇、またはCPUまたはネットワーク帯域幅の枯渇を含み、共有リソースが存在する場合はいつでも存在します。

リレーエージェントがリレーフォワードメッセージに追加のオプションを追加する場合、リレーエージェントとサーバー間で交換されるメッセージは、「中間者」またはサービス拒否攻撃を実行するために使用される可能性があります。

この脅威モデルは、DHCPメッセージの内容のプライバシーを重要とは見なしていません。DHCPは、他のネットワークノードから秘密に保つ必要がある認証または構成情報を交換するために使用されません。

DHCP認証は、DHCPクライアントとサーバーのアイデンティティの認証、およびDHCPクライアントとサーバー間で配信されるメッセージの整合性を提供します。DHCP認証は、DHCPメッセージの内容のプライバシーを提供しません。

セクション21.4で説明されている遅延認証プロトコルは、クライアントとサーバー間で共有されるシークレットキーを使用します。共有キーでの「DHCPレルム」の使用により、管理ドメインの識別が可能になり、クライアントが管理ドメイン間をローミングする際に適切なキーまたはキーを選択できます。ただし、遅延認証プロトコルはキー共有のメカニズムを定義していないため、クライアントは遭遇する各管理ドメインに対して個別のキーが必要になる場合があります。共有キーの使用は、うまくスケールしない可能性があり、侵害されたキーの否認を提供しません。このプロトコルは、共有キーの帯域外交換が実行可能なドメイン内の問題を解決することに焦点を当てています。

再構成メッセージを通じた攻撃の機会のため、DHCPクライアントは、認証を含まない、または認証プロトコルの検証プロセスに合格しない再構成メッセージを破棄する必要があります。

セクション21.5で説明されている再構成キープロトコルは、悪意のあるDHCPサーバーが再構成メッセージを使用してクライアントに対してサービス拒否または中間者攻撃を実行することに対する保護を提供します。このプロトコルは、DHCPサーバーがクライアントにキーを送信する初期メッセージを傍受できる攻撃者によって侵害される可能性があります。

サーバーとリレーエージェント間の通信、およびリレーエージェント間の通信は、セクション21.1で説明されているようにIPSecを使用して保護できます。この場合、手動構成と静的キーのインストールの使用は許容されます。リレーエージェントとサーバーが同じ管理ドメインに属し、リレーエージェントがIPSec構成に加えて他の特定の構成 (たとえば、DHCPサーバーアドレスの構成) を必要とするためです。

最終更新