- PR -

DHCPについて

1
投稿者投稿内容
ZYX
大ベテラン
会議室デビュー日: 2004/11/08
投稿数: 109
投稿日時: 2004-12-09 10:19
こんにちは。
社内LANの管理者をしています。

Windows 2000 ServerのDHCPサーバー機能を使って、
社内の各クライアントPCにIPアドレスを割り当てています。

現状としましては、既存のLANケーブルにつなげてしまえば、
誰でも自由にIPアドレスがリースされてしまいます。

今回DHCPサーバーをWindows Server 2003に切り替えますので、
その際にセキュリティ強化を行いたいと考えています。

社内で規定した命名規則に従ったコンピュータ名のクライアントPCのみ
DHCPサーバーよりIPアドレスがリースされるようにしたいと思います。
(コンピュータ名でフィルタリングを行い、
 命名規則に準じていないクライアントPCにはIPアドレスがリースされない)

上記の環境を実現する方法はありますでしょうか?

WindowsのDHCPの設定では不可能な場合には、
別途ソフト導入も考えていますので、よいソフトがあれば教えてください。

また、上記のようにコンピュータ名によるフィルタリングが不可能なら、
クライアントがLANケーブルをつなげた際にサーバーの認証を受け、
認証が成功したらIPアドレスが割り当てられる方法でも結構です。
(ソフトを使用した認証や他の方法による認証でも何でも結構です)

『社内LANの補足説明』
DHCPサーバー : Windows Server 2003
       (Windows 2000 Serverでも可)
クライアントPC : Windows 98、Windows 2000 Pro、Windows XP Pro
ActiveDirectory : 非導入です。Workgroupで運用中。(導入予定も無し)

拙い説明で分かり難いとは思いますが、ご指導お願いします。
綾瀬
ぬし
会議室デビュー日: 2002/07/31
投稿数: 393
お住まい・勤務地: どっちも3階
投稿日時: 2004-12-09 10:33
こんにちは。

前に似たような話題があったみたいですね。
http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=12001&forum=3&7

安く仕上げるならやっぱりMACアドレスによる制限なんですかねぇ。
DHCPで認証とか行なう場合はやはり何らかのソフトが必要になると思います。

最近なら免疫ネットワークとかもありますし、こっち方面で探してみるのも
いかがででしょうか。
komey
ベテラン
会議室デビュー日: 2003/11/27
投稿数: 76
投稿日時: 2004-12-09 17:07
DHCP自体で認証する、というのは、ニーズはよく聞くものの実現しているDHCPサーバはあまり聞かないですね。理由はIPアドレスを手動で設定すれば通信できてしまうからだと思います。
というわけで、業界の方向性としては、DHCPパケットが流れる前に認証することの方が多いと思います。

企業向けのスイッチをお使いであれば、スイッチでMACアドレス認証をする機能がついているかもしれません。この機能を使えば、DHCPのシーケンスが流れる前に認証することができます。
# スイッチが複数台になる場合は、設定が面倒なのでRADIUSサーバが必要になるでしょうけど。

また、MACアドレス以外で認証したい場合は、IEEE802.1Xという規格があります。これも企業向けのスイッチであれば対応しているものが多いです。こちらは、ポートに接続した際に、EAPというPPPの拡張規格みたいなものを使って、クライアントPCに設定されたユーザ名/パスワードやクライアント証明書で認証することができます。
# 大抵、クライアントソフトウェアが必要になります。

802.1Xは無線LANの規格であるIEEE802.11iで使われているので、無線LANでの使用がメジャーです。最近の無線LANアクセスポイントはWPA(IEEE802.11iの一部を抜粋した規格)に対応しており、802.1X認証できるものが多いので、無線LANもお使いであれば、結構使いものになるかもしれません。
なお、WindowsSPのSP1では、標準の無線LANクライアントソフトウェアがWPA対応していたと思うので、特別なクライアントソフトウェアを入れなくても無線LANで802.1X認証ができるはずです。


[ メッセージ編集済み 編集者: komey 編集日時 2004-12-09 17:09 ]
1

スキルアップ/キャリアアップ(JOB@IT)