[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[stalk:01099] Re: 個人使用ノートパソコン接続制限



太田@タイムインターメディア です

# 原文を適宜改行させていただきました
tadashi nagao wrote:
<snip>
> ノートパソコン(に限りませんが)をネットワークに勝手に
> つなげないように制限するのはどんな方法があるのでしょうか?
> (いろいろあると思いますが)
> 
> また、最初に、つないだパソコンに対して確認のメッセージを
> 送ってそれがオーケーだったらネットワークに参加させるとか
> いう方法あるのでしょうか?
> (それまで、特定のポートとパケットしか受け付けません。)

 ほぼ、そのものズバリの方法として、MAC アドレスプールを使用
した DHCP サーバを使う方法があります。

# MAC アドレスとは、イーサネットデバイスに割り当てられている
# 規格として一意性が保証されているアドレスです(既知でしたら
# ご容赦)

 通常の DHCP サーバでは、クライアントのインターフェイス
からのリクエストに対して動的に IP アドレスを割り当てるだけ
ですが、これと MAC アドレスプールを併用すると、MAC アドレス
が登録されていないインターフェイスには IP アドレスを発行しない
ように設定することができます。

 あとは、ルータやサーバで、DHCP サーバが発行しているアドレス
空間以外からの接続を reject するように設定すれば『よそ者』は
ネットワークを利用できなくなります。

 ま、このような対策をしても手動で DHCP サーバが発行している
 IP アドレスを設定するよ〜な輩もいることでしょうから、万全とは
言えませんが。

 で、これについても arp などを使って継続的に監視をすれば良い
のですが、これから先のレベルとなると最後は MAC アドレスの書き
換えなんて荒業に至るまでの「いたちごっこ」という話も ^^;;

 と、いうことで、通常は DHCP サーバレベルの『縛り』程度で充分
実用となるとは思います。

 それ以上のコストをかけて防御する必要があるネットワークなら、
物理的接続の可能性を排除して、それを監視するような方策をとる
ことになるでしょう。

-- 
timedia [+81-3-5362-9009] % finger bugbird@xxxxxxxxxxxxx
Login: bugbird             Name: User Bugbird Toshiboumi Ohta
Directory: /network/admin  Shell: /bsd/tcp/mac/midi
On since Sat Aug 20 1955 (JST) on tyo from mama.and.papa
--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
              ★忘年会対策に・・・
  http://transfer.infoseek.co.jp/Trlast?pg=tr_last_top.html&svx=971122