Windows Server DHCPサーバのスコープレベルフィルタリング

Windows Server の DHCP サーバには、 スコープ 単位での フィルタリング 機能が備わっていません。複数スコープを運用していて、特定のクライアントが特定の スコープ に入らないようにする方法として、 スコープ の ポリシー を活用してみます。

サーバレベルでの拒否

まず本題に入る前に、DHCPサーバレベルでのフィルタリング機能を使い、特定のMACアドレスへのIPアドレス配布を拒否する方法から見てみます（以下、Windows Server 2012にて試行）。

DHCPサーバ管理コンソールの一番下にある「フィルタ」を開き、「拒否」を右クリックして「新しいフィルタ」を選択。

図01.新しいフィルタをクリック

ポップアップウィンドウのMACアドレス欄へ拒否したいデバイスのMACアドレスを入力して追加します。

図02.新しいフィルタの入力

フィルタの拒否アイコンが無効状態になっていたら、右クリックから有効化すれば即反映されます。

図03.拒否フィルタの有効化

試しにAndroidデバイスのWiFiインターフェイスのMACアドレスを拒否リストへ登録してみると、WiFiの接続確立後、「IPアドレスを取得中…」が延々と続くようになりましたが、DHCPサーバログにはNACKなどの形跡は残らないようです。

図04.IP配布拒否されたAndroid端末

このフィルタリング機能は、不審端末のネットワーク利用をブロックする一助とはなるのですが、残念ながら各スコープレベルにこのようなフィルタリングは備わっていません。

オフィスビルをフロア毎に異なるスコープ（サブネット）に区切って運用している場合、各フロアへ設置しているAPのWiFi電波は、どう調整してもフロアを越えて届いてしまうもの。

こうした電波を元にWiFiインターフェイスを持つPCが、本来の設置場所とは異なるスコープへ繋がってしまうのは管理上好ましくないことから、今回、スコープレベルでもこのようなフィルタリング機能の実現出来ないか、模索してみるわけです。

スコープレベルでの拒否

Microsoftのこちらの記事によると、スコープレベルではポリシーを作って同様のフィルタリングを実現出来るのだそうです。

docs.microsoft.com

 

2 Pockets

Scenario: Secure a subnet to a specific set of clients

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn425040(v=ws.11)#creating-a-scope-based-deny-filter-list-using-dhcp-policies

今回必要としている拒否フィルタの場合、

「登録したMACアドレスと等しくないクライアントに対してのみ、IPアドレスを配布する」

というポリシーを設定すれば、実質的にそれは拒否フィルタとして機能するというものです。

それにはまず、DHCP管理コンソール左ペインに並ぶスコープのうち、拒否を設定したいスコープを開き、ポリシーアイコンを右クリックして「新しいポリシー」を選択します。

図05.新しいポリシーを選択

DHCPポリシー作成ウィザードが始まるので、先ずは適当な名前や説明を入力。

図06.ポリシー名を入力

新規ポリシーの条件一覧はまだ空っぽなので、「追加」ボタンを押して条件を追加します。

図07.ポリシー条件一覧（初期状態）

ポリシー条件の追加では、以下の要領で条件句を設定の上、値の欄へブロックしたいMACアドレスを追加してOK押下します。

• 条 件 : MACアドレス
• 演算子 : 等しくない  (Not Equals)

図08.ポリシー条件の追加

作成した条件が一覧に追加されているのを確認したら次へ。

図09.ポリシー条件一覧に現る

するとこのポリシーに割り当てるIPアドレス範囲を聞かれます。ここでスコープ設定で既に設定しているIPアドレス範囲をそのまま適用する場合であっても、必ずその範囲を明示的に設定しないと、このポリシーは機能しません。

図10.IPアドレス範囲の設定

当初、ここで「IPアドレス範囲を設定しますか」というラジオボタンで「いいえ」を選択したのですが、結果的にポリシーが効かないので調べてみると、こちらのフォーラムでIPアドレス範囲の明示的な指定が必要なことを知った次第です。

social.technet.microsoft.com

Problem with DHCP Scope Policies to Allow only devices with certain MACs

https://social.technet.microsoft.com/Forums/SECURITY/en-US/1b201ba4-e93e-425a-a315-b8e4ea665069/problem-with-dhcp-scope-policies-to-allow-only-devices-with-certain-macs?forum=winserverNIS

続くDHCPオプションの設定ウィンドウは特に必要ないので何もせずに次へ。

図11.DHCPオプションの設定

最後にサマリーを確認してDHCPポリシー作成ウィザードは終了です。

図12.ポリシーサマリーの確認

スコープのポリシー機能はデフォルトでは非アクティブになっているので、これを右クリックから「アクティブ化」すればポリシーは機能するようになります。

図13.スコープポリシーの有効化

作成した個別のポリシー単位でも有効化・無効化が設定出来るようにはなっているのですが、こうした個別ポリシーの無効化やスコープポリシー全体の非アクティブ化を行うと、何故か全デバイスからのリクエストが拒否されてしまうことが実際にありました。無用なトラブルを避ける意味でも、使わない時は作成したポリシーを削除してしまうのが確実です。

さらに設定作業中は出来れば、DHCPサーバログをリアルタイムで監視した方が良さそうです（監視方法についてはこちら）。

Fun Scripting 2.0

Windows Server DHCPサーバログをリモート監視

https://servercan.net/blog/2020/11/windows-server-dhcpサーバログをリモート監視/

Windows Serverの DHCP Server サービスには、GUIベースの管理コンソールに動作ログを閲覧する機能が実装されていないので、DHCPに関するトラブルシューティングの際は、ログファイルを開いて確認するしかありません。DHCPログをリモートからリアルタイムで継続的に監視する簡易的な方法を考察します。Windows ServerのDHCPサーバサービスはそのログファイルを今も昔も変わらず、%WINDIR%\System32\dhcp\に過去一週間分のログが日毎のテキストファイル形式で保存していて、そのファイル名には日付ではなく曜日が使われており、バッチ処...

DHCPスコープポリシーによりIPアドレスの配布を拒否されると、Windows 10 PCでは次のように「インターネットなし」という状態になります。

図14.IP配布拒否されたWindows10

近年ではランダムMACアドレスの仕組みを実装したデバイスも増えていることから、こうした比較的単純なアプローチでの振り分けも、そういつまでも有用ではないかも知れませんね。