- PR -

ネットワークで不正にIPアドレス取得したクライアントを強制排除したい

1|2 次のページへ»
投稿者投稿内容
キタニチ
会議室デビュー日: 2004/03/26
投稿数: 4
投稿日時: 2004-04-26 18:19
NTネットワークを構築し、550台ほどのLANを運用している者です。
先週、DNSに登録したIPアドレスを
該当クライアントが電源を切っている隙に何者かに乗っ取られ、困っています。
すぐにDNS正・副から該当のものを削除したのですが、一向に効果なし。
犯人はネットワークコンピュータでは見えませんがPINGすると返事が返してきます。
ドメインに参加はできないながらも確実に社内ネットワークに巣食ってしまいました。
このことからPCとすると98系の可能性を考えています。
もしかすると危険因子、または社内の心無いユーザの仕業と思われるので、
どうしても強制排除したいのですが、何かよい方法はないでしょうか?
残念ながらQND等のツールは導入していません。
どうぞ、よろしくお願いします。
NeXT
大ベテラン
会議室デビュー日: 2004/04/06
投稿数: 215
お住まい・勤務地: 江戸
投稿日時: 2004-04-26 19:46
DHCP を利用しているのであれば,DHCP サーバに強制排除したい
マシンの MAC アドレスを登録し IP アドレスの割り当て要求を拒
否する方法もあります。

ただし勝手に固定 IP アドレスを振られたら役にたたないですが。
きつね
常連さん
会議室デビュー日: 2004/01/02
投稿数: 37
お住まい・勤務地: 西新宿
投稿日時: 2004-04-27 03:31
もう少し下位レイヤから攻めて、
1. 同一サブネット内のホストから該当IPアドレスにpingを打ち、arpテーブルから不正ホストのMACアドレスを調べる。
2. もし、インテリジェントなスイッチを使っているなら、そのスイッチの FDB から 不正ホストのMAC アドレスを探し、不正ホストが繋がっているポートを特定する。
等をして、不正ホストの物理的な位置を特定するのが先決かと思います。
インテリジェントなスイッチを使っていないなら、該当ホストに対して大量の UDP パケットを送るなどして、スイッチの LED の点灯具合から不正ホストが繋がっているポートを特定するなんてのもいいかもしれません。
きょ〜じゅ
ベテラン
会議室デビュー日: 2003/07/31
投稿数: 66
投稿日時: 2004-04-27 08:38
引用:

きつねさんの書き込み (2004-04-27 03:31) より:
もう少し下位レイヤから攻めて、
1. 同一サブネット内のホストから該当IPアドレスにpingを打ち、arpテーブルから不正ホストのMACアドレスを調べる。
2. もし、インテリジェントなスイッチを使っているなら、そのスイッチの FDB から 不正ホストのMAC アドレスを探し、不正ホストが繋がっているポートを特定する。


インテリジェントなスイッチだと、存在しそうにないポート(Uplinkとか)にテーブルを書いて閉め出すのも一つの手かも知れません:-P
# 暫くは別のIPに付け替えたりと混乱の素になるかも知れませんが。。。。。
キタニチ
会議室デビュー日: 2004/03/26
投稿数: 4
投稿日時: 2004-04-27 09:24
皆様、書き込みありがとうございます。
あの後tracertで範囲を限定し、1台1台チェックする古典的手法で
犯人を特定することができました。

しかし、弊社では恥ずかしながらこういったことが
悪意のあるなしに関わらず日常的に起きているので
今後同様のことが起きた際には
教えていただいた方法を試させていただきたいと思います。
ありがとうございました。

[ メッセージ編集済み 編集者: キタニチ 編集日時 2004-04-27 09:25 ]
Junbow
ぬし
会議室デビュー日: 2002/01/24
投稿数: 373
お住まい・勤務地: saga.jp
投稿日時: 2004-04-27 13:51
 tracertで追跡できたってことは、ルーターの向こう側にあったのですね??
(確かに、550台もあれば、複数のセグメントで運用されていることに・・)
 と、なると、それぞれのセグメントの出口ルーターで、そのIPアドレスからの
パケットやそこに行くパケットをrejectしてあげれば、そのマシンは外界との
通信が絶たれることになります。

 ここで、その問題のマシンが、故意に設定されたのでなければ「ページが
見えない」とか「メールができない」とか言い出すと思うので、特定に結び
つくかと思います。
 悪意のマシンなら、とりあえず外部へのアタックや外部からのアクセスが
できなくなるので、IPアドレスが特定できている場合は、一つの作戦に
なるかもしれません。

Coo
会議室デビュー日: 2004/05/28
投稿数: 7
投稿日時: 2004-05-31 16:40
はじめまして。にわかLAN管理者から抜け出せずにいる者です。
とても遅いコメントで恐縮ですが、今、自分も似たような状況を打破する為に日々考えております。

L3スイッチ1台で10個ほどのセグメントをポートベースVLANで作成し、セグメント単位・IPアドレス単位でルーティングの制御をしております。
IPはスタティックで配布しております。

IP管理一覧を作成し、配布したIPごとに利用するNICのMacアドレス、そのマシンの利用者を一つのレコードにして、「当LANに接続登録済みのマシン」として管理しています。

キタニチさんと同じように、IPアドレスの不正な利用が多く、どうやって不正利用を撲滅するか色々考えた結果、自分は以下のように管理するようにして、落ち着く事ができました。

1、定期的にL3スイッチのarp情報をテキストに書き出す。
2、Excelのマクロを利用して、1のテキストをワークシートに取り込む。
3、IP管理一覧の情報とと2の一覧を照合し、arpのIP-Macのマッピング情報と
  IP管理一覧の情報に違いがあるものを抽出する。
4、利用者に状況を確認する。
5、利用者が応答してこないときは、L3でそのMacアドレスの送受信を全て止めて、
  利用者が名乗り出るようにする。

なんて事を行っています。
利用者には嫌な顔されますが、情報漏えい等を防ぐ為にも厳しくしております。
ちゃんと監視している事をちらつかせる事により、効果が出ている例かなと自分なりの評価をしております。

スタティックIPの環境でないと意味のない方法ですが^^;;;
要するにJunbowさんのおっしゃる事とおんなじです^^;;;

失礼しましたm(__)m
Junbow
ぬし
会議室デビュー日: 2002/01/24
投稿数: 373
お住まい・勤務地: saga.jp
投稿日時: 2004-05-31 21:43
 こんばんは。
 MACアドレスを全部管理されているのですね!!! すごい・・
 スイッチによっては、MACアドレスベースのVLANというのがあったと思います。

 MACアドレスを完全把握/縛りするのであれば、使えそうな機能だなーと思いました。
1|2 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)