- PR -

ネットワークで不正にIPアドレス取得したクライアントを強制排除したい

«前のページへ 1|2
投稿者投稿内容
きょ〜じゅ
ベテラン
会議室デビュー日: 2003/07/31
投稿数: 66
投稿日時: 2004-05-31 21:57
引用:


1、定期的にL3スイッチのarp情報をテキストに書き出す。
2、Excelのマクロを利用して、1のテキストをワークシートに取り込む。
3、IP管理一覧の情報とと2の一覧を照合し、arpのIP-Macのマッピング情報と
  IP管理一覧の情報に違いがあるものを抽出する。
4、利用者に状況を確認する。
5、利用者が応答してこないときは、L3でそのMacアドレスの送受信を全て止めて、
  利用者が名乗り出るようにする。

なんて事を行っています。
利用者には嫌な顔されますが、情報漏えい等を防ぐ為にも厳しくしております。
ちゃんと監視している事をちらつかせる事により、効果が出ている例かなと自分なりの評価をしております。



そこまでやられるのであれば案として

(1)L3のarpに全てのMAC-IPアドレスを登録
(2)登録以外のIPアドレスはフィルタリング

これを行えば不正使用自体の発生を抑えられると思いますよ。大変ですけど(笑)

お金を掛ければ認証VLAN等もありますけど、、、、
キタニチ
会議室デビュー日: 2004/03/26
投稿数: 4
投稿日時: 2004-06-01 10:50
キタニチです。お世話様です。
久しぶりに自分の書き込みを見て、レスが伸びてて非常に驚きました。
と、同時にネットワークを運用する人みんなの悩みであることを実感しています。

因みに、
私どもでは資産管理ソフトの機能を利用した問題の打破を考えておりました。
多少、お金のかかることになりますが。

手始めに業者からデモ版を取り寄せ、インストールしてみました。
本当に使い物になってくれるか、まだわかりませんが、
パソコンのMACアドレスも収集可能(プリンタもOKらしい?です)だし、
必要ならば新しい機器が接続された時点でアラートも出せそうだし、
アプリケーションやパッチが一括配付できます(おまけ?)し、
悪くないと思っています。

先ずはご報告まで。

[ メッセージ編集済み 編集者: キタニチ 編集日時 2004-06-02 09:56 ]
JYAJYA
常連さん
会議室デビュー日: 2002/05/22
投稿数: 48
投稿日時: 2004-06-04 02:27
こんばんは。

Windows2000のActiveDirectory(VMWareですが…)に、IAS(RADIUSサーバ)と認証局を入れて、802.1x(EAP-TLS)対応の無線LANアクセスポイントを繋いで遊んでます。(全然仕組みを解ってないので、証明書の設定に問題があるのか、まだ動いてないのですが)

802.1x対応のスイッチとIASを使えば、お手軽に認証VLAN作れないのかなと思うのですが、802.1xってそう簡単に動くものじゃないのでしょうか?
«前のページへ 1|2

スキルアップ/キャリアアップ(JOB@IT)