キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
告知

JTAC-Mid-Career-Recruitment-2021.3

CSC-campaign.JPG

 

Stealthwatch: UseCase - 不正な(Rogue) DHCP サーバの検出(7.0)

220
閲覧回数
0
いいね!
0
コメント

はじめに

不正なDHCPサーバは、企業のネットワーク上のIPアドレスを不正なホストに配布する可能性があります。企業は、不正なDHCPサーバとして動作しているIPアドレスに対して対策を講じる必要があります。Stealthwatch はネットワークのセグメンテーションを提供し、主要なホストグループを簡単に監視することができます。適切な検出を確実に行うためには、すべての認可された DHCP サーバが正しく分類され、DHCP サーバのホストグループに含まれている必要があります。これにより、カスタムセキュリティイベントなどの組み込みツールを使用して、不要な DHCP アクティビティを検出することができます。画像は、DHCP クライアント-サーバ間の通信を示しています。
image.png

最小要件

Stealthwatch のシステム構成の最小要件は以下の通りです。
・ すべてのホスト間のトラフィックが可視化できるようにコア/ディストリビューション上でネットフローが有効であること
・ Stealthwatch バージョン 7.0 以降

不正なDHCPサーバの検出

不正な DHCP サーバを検出するには、カスタムセキュリティイベントを設定して、既知の DHCP サーバから発信されていないネットワーク上の DHCP サーバのアクティビティを検出します。カスタムセキュリティイベントを作成するには、[構成(Configure)] をクリックし、[ポリシー管理(Policy Management)] を選択します。
image.png

 図のようにイベントを設定します。誤検出を減らすために、ブロードキャストアドレスを必ず除外してください。
image.png

 トリガーされたイベントは、セキュリティインサイトダッシュボードに表示されます。詳細については、[タイプ別アラーム(Alarms by Type)]ウィジェットのイベントのバーをクリックするか、[今日のアラーム(Today's Alarms)]ウィジェットの円グラフをクリックします。
image.png

結果は、ネットワーク上の不正な DHCP サーバの可能性を示しています。この例では、ホスト10.201.0.15 からの通信を見てみます。詳細を表示(View Details)をクリックしてください。
image.png
セキュリティイベントの詳細が表示されます。このホストからのフローを表示するには、ACTIONS にある丸いアイコンをクリックして 関連フロー(Associated Flows) を選択します。
image.png
フローテーブルのカラムページが表示されます。[接続(Connection)]をクリックし、[サービス(Service)]を追加します。[セット(set)]をクリックします。
image.png
フロー検索結果ページが表示されます。dhcps (DHCP サーバ応答) トラフィックのみを表示するように、Service 列で結果を絞り込みます。これにより、表示されたホストがあたかも DHCP サーバであるかのように他のホストにサーバ DHCP 応答を提供していることがわかります。ファイルサーバホストグループのホスト10.201.0.15 はポート/プロトコル 67/UDP で 10.201.3.59 のクライアントホストにポート/プロトコル 68/UDP で dhcps 応答を提供しています。この動作は DHCP サーバの動作と一致します。このホストが正当な DHCP サーバで、不正なホストグループに配置されているのか、ネットワークに侵入した不正な DHCP サーバなのかを判断するために、そのホストを調査する必要があります。
image.png

参考情報

本記事は、以下の英語の記事を翻訳したものとなります。
Detecting Rogue DHCP Servers (7.0)