DHCP とは？

Dynamic Host Configuration Protocol（DHCP）は、組織のネットワーク上の各ネットワークデバイス（ホスト）にインターネットプロトコル（IP）アドレスを割り当てるためのシステムです。ホストには、デスクトップコンピューター、ラップトップ、タブレット、モバイルデバイス、シンクライアント、その他のタイプのデバイスがあります。各ホストには、インターネットを介して他のデバイスと通信するためのIP アドレスが必要です。DHCPネットワークプロトコルは、ネットワーク管理者が手動で割り当てを行うのではなく、アドレスを自動的に割り当てます。DHCPは、デバイスがネットワーク上の新しい場所に移動したときに新しいIPアドレスを自動的に割り当てる役割も果たします。DHCPサービスは、IPアドレスに加えて、ドメイン・ネーム・システム（DNS）アドレス、サブネットマスク、ネットワーク通信に不可欠なデフォルトゲートウェイなどの設定パラメーターを割り当てます。

デバイス（DHCPクライアントとも呼ばれる）がネットワークに接続すると、「DHCP discover」メッセージがネットワークのサブネットにブロードキャストされ、IPアドレスとその他の設定情報が要求されます。ネットワーク上のDHCPサーバーが DHCP discover メッセージを受信すると、DHCP offer で応答します。DHCP offer には、IPアドレスのプールから選択したIPアドレス、ネットワークパラメーター、およびDNSサーバー、サブネットマスク、デフォルトゲートウェイ、IPアドレスのリース期間などのDHCP情報が含まれます。DHCPクライアントは複数の応答を受信する場合がありますが、提供されたIPアドレスの1つだけを選択し、どのオファーが受け入れられているかを確認するリターンメッセージを送信します。DHCPサーバーは、確認済みの最終的なIP設定の詳細を含むメッセージで承認を確認します。クライアントは、この情報を使用してネットワークインターフェースを設定します。DHCPでは、ほとんどのクライアントに特定の期間のリースが提供され、サーバーから延長を要求することでリースを更新できます。クライアントがネットワークから出ると、DHCPリリースメッセージが送信され、IPアドレスが解放されて再割り当てされる可能性があることがサーバーに通知されます。

DHCP サーバー。DHCPサーバーは、使用可能なアドレスのプールから、ネットワークに接続するデバイスにIPアドレスを自動的に割り当てます。DHCPサーバーは、サブネットマスク、デフォルトゲートウェイ、DNSサーバーなどの追加のネットワーク設定パラメーターも提供します。

DHCPクライアント。クライアントは、ネットワークに接続し、DHCPサーバーから設定情報を受信するデバイスです。クライアントには、コンピューター、ラップトップ、モバイルデバイス、または接続を必要とするその他のデバイスが含まれます。

DHCPリレー。DHCPリレーにより、DHCPクライアントとサーバー間の通信が可能になります。

IPアドレスプール。これらは、DHCPサーバーがデバイスに割り当てるために使用できるIPアドレスの集合です。

サブネット。サブネットはIPネットワークの小さな部分であり、ネットワーク管理をシンプル化するために要求されています。

リース。リースとは、DHCPサーバーから受信したIPアドレスと設定情報が有効である時間のことです。リースが期限切れになると、デバイスはDHCPサーバーから更新を要求することがあります。

DNS サーバー。DHCPサーバーは、DNS（ドメイン・ネーム・システム）サーバー情報をDHCPクライアントに提供し、IPアドレスのドメイン名を解決することもできます。

デフォルトゲートウェイ。デフォルトゲートウェイは、宛先がローカルネットワークの外にある場合にパケットが転送される場所です。

DHCPプロトコルにより、組織やネットワーク管理者は次のことが可能になります。

• ネットワーク管理の合理化。DHCPは、IPアドレスの割り当てを効率的かつ自動的に処理することで、ネットワーク管理者の負担を軽減します。DHCPは、ワイヤレスネットワーク上の異なる場所間を移動する携帯電話など、頻繁に更新する必要のあるデバイスに特に効果的です。

• IP アドレスの最適化。IPアドレスを再利用できるため、ネットワークに必要なアドレスの総数が最小限に抑えられます。

• 変更管理のシンプル化。DHCPを使用すると、エンドユーザーを中断させることなく、IPアドレススキームをあるアドレス範囲から別のアドレス範囲に変更できます。

• ミスを最小限に抑える。DHCPはIPアドレスの管理を一元化および自動化し、2台のデバイスが同じアドレスを受信したり、1台のデバイスが誤ったアドレスを受信したりする可能性を最小限に抑えます。

Dynamic Host Configuration Protocolは、いくつかの重大な脆弱性の影響を受けやすくなっています。

• 不正なDHCPサーバー。不正なDHCPサーバーとは、不正なあるいは競合するIPアドレス、サブネットマスク、ゲートウェイ、DNSサーバーなど、悪性のDHCPサービスをクライアントに提供する不正なデバイスです。不正なサーバーは、サービス妨害、ネットワークの中断、ルーティングの不正確さを引き起こし、machine-in-the-middle 攻撃に関与する可能性があります。

• Machine-in-the-middle 攻撃。DHCPサーバーは、攻撃者が2者間のメッセージを傍受してリレーするmachine-in-the-middle 攻撃の影響を受けやすい可能性があります。

• DHCP 枯渇。枯渇攻撃は、偽装されたMACアドレスを使用して大量のDHCPリクエストを送信し、使用可能なIPアドレスプールを枯渇させます。その結果、サービス妨害が発生し、正当なネットワーククライアントがIPアドレスを取得できなくなったり、ネットワークにアクセスできなくなったりする可能性があります。

• スプーフィング。DHCPスプーフィング攻撃では、攻撃者はDHCPメッセージを傍受して変更し、IPアドレスの変更、ネットワークトラフィックのリダイレクト、機微な情報の窃取、machine-in-the-middle 攻撃を行います。

• リレー攻撃。DHCPリレーエージェントは、さまざまなネットワークセグメント間でDHCPメッセージを転送するデバイスです。DHCPリレー攻撃では、攻撃者は侵害されたDHCPリレーエージェントを使用して悪性のDHCPメッセージを挿入したり、ネットワークの制限されたセグメントにアクセスしたりすることで、DHCPサーバーのセキュリティ制御を回避する可能性があります。

• スクリプティングの脆弱性。DHCPの運用は、スクリプトを使用して自動化およびカスタマイズできます。これらのスクリプトが適切に記述またはテストされていない場合、エラーやバックドアが含まれている可能性があり、DHCPサーバーのセキュリティを侵害する可能性があります。

ネットワークセキュリティを強化するために、ネットワーク管理者はDynamic Host Configuration Protocolシステムを脅威から保護する際に多層的なアプローチを採用することができます。

• DHCPサーバーとクライアントの認証とアクセス制御は、不正なDHCPサーバーを阻止し、許可されたクライアントのみがIPアドレスを受信できるようにします。

• ファイアウォールはトラフィックを監視してフィルタリングし、不正アクセスや攻撃からDHCPサーバーを保護できます。

• ロギングにより、管理者はDHCPサーバーのパフォーマンスを監視し、疑わしいふるまいや異常を特定できます。

• パッチを適用してサーバーを更新することで、脆弱性を悪用する攻撃を防止できます。

• データ暗号化は、データ漏えいを緩和し、盗聴を防止します。

• DHCPスヌーピングは、不正なDHCPメッセージをフィルタリングします。

• DNSファイアウォールは、悪性のドメインやIPアドレスをブロックします。