DHCPスヌーピング(DHCP Snooping)と Dynamic ARP Inspection(DAI)は、L2ネットワークにおける不正攻撃(なりすまし)を防ぎ、業務ネットワークの安全性を高めるために必須のセキュリティ機能です。特に DHCP なりすましや ARP スプーフィングは、企業ネットワークで実際に多く発生するトラブルであり、適切な設定がなければ深刻な影響を与えることがあります。
この記事では、DHCPスヌーピングと DAI の仕組み、必要となる背景、導入時の注意点、Cisco スイッチを例にした実務設定方法を詳しく解説します。
1. DHCPスヌーピングとは
DHCPスヌーピングは、ネットワーク内での 不正DHCPサーバーからの IP アドレス配布を防ぐセキュリティ機能 です。
1-1. DHCP スヌーピングが必要な理由
ネットワーク内に不正DHCPサーバーが存在すると、端末が誤った Default Gateway や DNS を配布され、以下のような問題が発生します。
- ネットワークに接続できない
- 攻撃者が指定したゲートウェイ経由の通信で盗聴される(MITM攻撃)
- 社内システムにアクセスできない
これらを防ぐために、DHCPスヌーピングは以下の仕組みで保護を行います。
1-2. DHCP スヌーピングの仕組み
- DHCPメッセージを監視し、信頼できるポートと不正なポートを区別する
- 端末に対して配布された IP / MAC / VLAN / ポート情報をバインディングテーブルとして記録
- 不正な DHCP Offer / ACK を破棄し、攻撃を防止
特にバインディングテーブルは、後述の Dynamic ARP Inspection でも重要な役割を果たします。
2. Dynamic ARP Inspection(DAI)とは
Dynamic ARP Inspection(DAI)は、ARP パケットの正当性を検証し、不正な MAC なりすましを防ぐ機能 です。
2-1. ARP なりすましの危険性
ARP スプーフィング攻撃の例:
攻撃者が ARP Reply を偽装して「ゲートウェイは私の MAC アドレスです」と送信すると…
- 端末の通信が攻撃者に向かう(MITM)
- 盗聴・改ざん・セッション乗っ取りが可能
- ネットワーク遅延・通信断の原因となる
ARP は本来セキュリティ機能を持たないため、検証がなければ攻撃に弱い構造になっています。
2-2. DAI の仕組み
- 受信した ARP パケットの「送信 MAC / IP」が正しいものかをチェック
- DHCP スヌーピングのバインディングテーブル を参照し正当性を判断
- 不正な ARP パケットは破棄
そのため、DAI を使う場合は DHCP スヌーピングが必須となります。
3. DHCP スヌーピングと DAI の関係
Dynamic ARP Inspection は DHCPスヌーピングのバインディングテーブルを参照して動作するため、以下の関係があります。
- DHCP Snooping → IP/MAC の正しい情報を収集
- DAI → 収集した情報を元にARP検証を実施
つまり、DHCP Snooping → DAI の順に設定する必要があります。
この依存関係を理解していないと、導入時のトラブルの原因となるため注意してください。
4. 実務での設定例(Cisco Catalyst)
以下では、Cisco Catalyst スイッチを例に設定手順を紹介します。
4-1. DHCPスヌーピングの設定
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 10,20・DHCPサーバー側インターフェースは「trusted」
Switch(config)# interface GigabitEthernet1/0/1
Switch(config-if)# ip dhcp snooping trust・端末側ポートは「untrusted(デフォルト)」
通常は設定不要です。
・バインディングテーブルの確認
Switch# show ip dhcp snooping binding4-2. Dynamic ARP Inspection(DAI)の設定
VLAN 単位で DAI を有効にします。
Switch(config)# ip arp inspection vlan 10,20・DHCP スヌーピング trusted ポートは DAI でも trusted 扱い
Switch(config)# interface GigabitEthernet1/0/1
Switch(config-if)# ip arp inspection trust・ログ確認
Switch# show ip arp inspection5. 導入時に発生しやすいトラブルと対処法
5-1. 静的 IP 設定端末が通信できない
DHCP スヌーピングは DHCP で付与された情報しかバインディングテーブルに登録しません。
→ 静的 IP 端末は DAI の検証に引っかかり、ARP パケットが破棄される可能性があります。
解決方法:
- 静的バインディングを手動で登録
Switch(config)# ip source binding 192.168.1.10 vlan 10 mac 0011.2233.4455 interface Gi1/0/5- または該当ポートを trust にする(非推奨)
5-2. 中継 VLAN(DHCP Relay 使用環境)の設計ミス
DHCP Relay を使っている構成では、DHCPサーバーが L2 セグメント外にあるため、trust ポートの位置を誤ると DHCP が通らなくなります。
→ DHCP Relay のアップリンクインターフェースを trust に設定してください。
5-3. スイッチ再起動でバインディングテーブルが消える
デフォルトでは、DHCP スヌーピングのバインディング情報はスイッチ再起動で消失します。
対策:
Switch(config)# ip dhcp snooping database flash:snoop.dbこれにより、再起動後も DAI とスヌーピングが正常に機能します。
6. 実務での導入手順(おすすめフロー)
- 影響範囲を調査(静的IP端末の有無など)
- DHCP スヌーピングを VLAN 単位で有効化
- DHCP サーバー側ポートを trust にする
- バインディングテーブルが作成されることを確認
- DAI を有効化し、trusted ポートを設定
- ログやトラフィックを監視し問題がないか確認
段階的に導入することで、業務影響を最小限に抑えながらセキュリティを強化できます。
7. まとめ
DHCP スヌーピングと Dynamic ARP Inspection は、L2 ネットワークへの攻撃を防ぐ上で非常に有効なセキュリティ機能です。特に企業ネットワークでは、ARP スプーフィングや不正DHCPサーバーは実際に発生する脅威であり、適切な対策が必要です。
- DHCP スヌーピング:不正DHCPサーバーを防ぐ
- DAI:ARP スプーフィングを防ぐ
- DAI は DHCP スヌーピングのバインディング情報を使用して動作する
実務ネットワークでは導入手順やバインディングテーブルの管理、静的IP端末への対応など、運用面の工夫も重要となります。適切に設計・設定することで、ネットワークの安定性と安全性を大きく向上させることができます。
