助け合いフォーラム
この問題はプレミアムコンテンツです。
untrustポートではDHCPOFFER・ACKは通さないところをこのコマンドで通す可能性が出てくるのでしょうか?
こちらの問題の正解の解説につきまして、明確に理解したいため、質問させていただきます。
何卒よろしくお願いいたします。
untrustポートに接続された
例えば悪意のあるDHCPサーバになりすましたクライアントがあると仮定します。
(すみません、
自分で分かりやすくするために
"悪意のあるDHCPサーバになりすましたクライアント"としています。
"untrustポートに接続されたクライアント"と同じ意味です。)
正解のコマンドを実行すると、
スイッチのuntrustポートに接続された、
この悪意のあるクライアントのMACアドレスと、
この悪意のあるクライアントが送信したDHCPOFFERのMACアドレスが一致しているかを検証し、
一致していた場合は通す、
一致していなかった場合は通さない
ようにする。
という解釈で合っておりますでしょうか。
そもそもuntrustポートではDHCPOFFERや
DHCPACKは通さない
と学習したのですが、
正解のコマンドを実行すると、
一致していた場合は通すことになるのでしょうか。
※DHCPOFFERや
DHCPACKがuntrustポートにおいて、
門前払いでなくなるといったイメージの解釈で問題ないでしょうか。
すみません、解説を読んでよく理解できませんでした。
お忙しいところ申し訳ございませんが、どなたかご回答いただけますと幸いです。
MACアドレス検証機能はDHCPメッセージの正当性を検証するものであり
MACアドレス検証の結果によってuntrustedポートからのDHCP OFFERやACKを許可するわけではありません。
DHCPスヌーピングでは、untrustedポートからのDHCP OFFERやACKは基本的にブロックされます。
これは、untrustedポートからこれらのメッセージが来ることは、
通常はDHCPサーバーがuntrustedポートに接続されているという不正な状況を示しているからです。
あくまでもMACアドレス検証は、「念には念を」でセキュリティをより強固なものにするために使用します。
コメント
この投稿に対して返信しませんか?
n nnnnnomi
2023/06/30 11:52
ご回答ありがとうございます。 MACアドレス検証の結果によって、untrustedポートからのDHCP OFFERやACKを許可するわけではないということが 理解できました。ありがとうございます。 申し訳ございません、このコマンドに関しまして、続いてお聞きしたいのですが、 解説には untrustedポートに届いた 送信元MACアドレスと DHCPパケットのMACアドレスを比較する とあるのですが、この二つのMACアドレスが違うアドレスになるのは何故なのかが よく理解できませんでした。。 送信元MACアドレスとDHCP OFFERやACKのMACアドレスが違くなるのはなぜのでしょうか。 不正クライアントが罪を別のPCやサーバになすり付けるためなのでしょうか。 ご回答のいただけますと幸いでございます。