ネットワークエンジニアで高きを目指せ(サイバージャヤ、マレーシア)

世界を股にかけて転職する男(マレーシア<ー>ベトナム)

DHCPスヌーピングとDHCPスプーフィングの混乱を一発で避ける方法

DHCPスヌーピングとDHCPスピーフィングでよく混乱する。

DHCPサーバーから配布される情報は、IP AddressやSubnet mask,Default gateway のIp Addressといったもので、配布されて繋がった先が盗聴用のPCだったりすれば目にも当てられません。

しかし、世の中には悪意を持った邪悪な成りすまし用のDHCPサーバーが存在しており、こういったサーバーのことをDHCPスプーフィングといいます。

私はこういったカタカナが嫌いで、英語によく直すのですが、英語ではspoofingと書きます。

 

Spoofing:いたずら、なりすまし

 

この対策として、DHCPスヌーピングというのがあります。

DHCPスヌーピングは、DHCP要求やDHCP応答のやり取りを監視するような役割を果たします。

DHCPクライアント側を信用できないポート、DHCPサーバ(正規)を信用できるポートとして分けて、正規のクライアントだけ接続を通すといったものです。

 

このスヌーピングとスピーフィングですが非常に混乱するのですが、スヌーピングは英語で書くとsnoopと書きます。意味は、詮索するとか、嗅ぎまわるとかです。

この単語を見たときハッとしました。

 

もしかして。。。。。https://ja.wikipedia.org/wiki/%E3%82%B9%E3%83%8C%E3%83%BC%E3%83%94%E3%83%BC

 

やっぱりそうだ。このsnoopとは、犬のスヌーピーの名前の由来になったものなんです。

 

よかったこれで解決。スヌーピーは悪くない。

Amazon.comの広告)

↑どうみても邪悪な顔をしていない。

 

DHCP snoopingとは、スヌーピーのように成りすましサーバーからの応答や要求をくんくん嗅ぎまわって拒絶するイメージで解決。今日もしっかり右脳が働いてくれています。

 

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

Ping-tも無事全て銀にできまして、現在全部金にすべく戦闘中。

さすがに8割以上取れるので、捗ります。

しかし、100点が取れるわけではないので、ある程度銅(元々銀だった問題が間違えて銅になる)が貯まったら倒して銀にかえる。

 

今日から、何をミスったか復習を兼ねて書いていこうと思う。

きっと読者にとって非常につまらないものになるとは思う。

 

ACLの特定のホスト向けの設定と、Static Routeのホストルートを間違えた。

ホストルート向けの設定は以下の通り。

ip route 192.168.3.12 255.255.255.255 Serial 1/1 

スタティックルートの設定で、ネットワークを指定するわけではなく特定のホストを指定する場合は255.255.255.255を打つ。

どういういうことかというと

特定のホストではなく、ネットワークの場合以下のような設定になる。

ip route 192.168.3.0 255.255.255.0 Serial 1/1 

 これだと、192.168.3.1から192.168.3.254までのIPアドレスを持つ254台のホスト向けということになる。しかし、ホストルートの場合まさにひとつのホスト向けの設定だ。

今回の場合は192.168.3.12というIPアドレス向けのスタティックルートの設定がこれだ

 

ip route 192.168.3.12 255.255.255.255 Serial 1/1 

 

ACLも、特定のホストだけハミゴにする設定がある。それの設定方法が以下だ。

access-list 1 deny 192.168.1.1 0.0.0.0

ちなみにこの設定は以下のように書き換えられる。

access-list 1 deny host 192.168.1.1  

うっかり特定のホストという言葉にだまされて、っぱとこの0.0.0.0を選んじまったぜ。

 

PPPの設定、インターフェースコンフィグレーションモード、グローバルコンフィグレーションモードのどちらか?

 

どうしても覚えられないどうしよう。

グローバルコンフィグレーションモード

認証用データベースの作成(PAPの場合、CHAPの場合共にNeeds!)

(config)#username {user名}[privilege Level] password[0|7] {パスワード}

 

ちなみに、 パスワード7番は、暗号化される。デフォルトは0。

usernameと来たらconfig!という風に覚えて問題ないのだろうか。

 

インターフェースコンフィグレーション

■PPP認証の有効化

(config-if)#encapsulation ppp

(config-if)#ppp authentication {pap}{chap}

PAPで認証に失敗した場合、CHAPで認証を試みる設定。

 

CHAP認証用のUser名とpassword名を指定

(config-if)#ppp chap hostname {ユーザ名}

(config-if)#ppp chap password[0|7] {パスワード}

 

WANはあまりに遠い世界過ぎて苦手だ。 

イメージしにくい。 

 

読者登録をしていただけると大変助かります。

 
 本サイトが参考になったらクリックをお願いします。

  にほんブログ村 にほんブログ村へ