ネットワークに関する質問です。

あるサブネットにおいて、登録したMACアドレス/IPアドレスの組以外での接続は全て拒否したいと思っています。

・どのような技術で可能でしょうか?
・どのようなツール(ソフトウェア/ハードウェア)で可能になりますか?

回答の条件
  • URL必須
  • 1人2回まで
  • 登録:2004/12/08 18:01:09
  • 終了:--

回答(7件)

id:JULY No.1

JULY回答回数966ベストアンサー獲得回数2472004/12/08 18:25:21

ポイント10pt

ものすごく面倒だけど、タダで出来る方法(^^;

arp で IP アドレスと MAC アドレスの関係を固定で登録します。

但し、再起動すると忘れちゃうので、起動時に再設定する

ような仕組みをこしらえる必要があります。

URL は Linux のものですが、Windows でも同様のことができます。

さらに、DHCP サーバも、「この MAC アドレスに対して

この IP アドレスをリースする」という設定を書き、

それ以外の IP アドレスはリースしないようにします。

こうすれば、MAC アドレスと IP アドレスの対応は関係

は固定されますので、後は IP アドレスで制限をかければ、

ほぼ、お望みの制限がかけられると思います。

id:esseesse

最初のURLに関して:

全ての端末にARPを設定して回るんですか?

2つめのURLに関して:

IPアドレス決め打ちで設定された場合には対応できますか?

>IP アドレスで制限をかければ

に関係するのでしょうけど、そっちの詳細も教えていただけるとうれしいです。

2004/12/08 18:33:26
id:kn1967 No.2

kn1967回答回数2915ベストアンサー獲得回数3012004/12/08 18:25:42

ポイント10pt

ダミーです。

サブネットが正しく設定されているのであれば同じLAN内に設置されていても、他のサブネット下のIPアドレスとは直接通信はしませんよ。

ただし、MACアドレスでの判定となるとサブネットとは違う階層での話になりますからサブネット(論理的分離)ではなくルータ(物理的分離)になりますね。

id:esseesse

質問文の書き方が悪かったようで申し訳ありません。

やりたいことはたとえば192.168.0.0/24において、未登録なPCは接続してほしくないのでそれを排除する方法を教えてください、ということです。

申し訳ありませんが、上記の意図の下での再回答をお願いします。

2004/12/08 18:36:59
id:kensaito No.3

kensaito回答回数163ベストアンサー獲得回数42004/12/08 18:38:13

ポイント30pt

手軽な手段としては、

・DHCPサーバにあらかじめMACアドレスとIPアドレスを登録しておく。

・スコープの空き部分はリリースしないようにしておく。

とすれば、とりあえずDHCPクライアントはネットワークに接続できなくなります(固定IPなネットワーク機器は接続できる)。

あとは、

・MACアドレスによるフィルター機能のあるL2スイッチを導入する

とか、

http://www.hitachi-system.co.jp/ong/

不正接続防止ソリューション -日立システム- オープンネット・ガード

・この手のクライアント管理ツールを導入する

という手があると思います。

id:esseesse

あー、なるほど、L2スイッチにフィルタ機能が付いてるものがあるんですね。

それ以外だとどうしてもIPアドレス決め打ちで接続されたときに通知はできても拒否はできないって感じなんですね。。。

なんとかソフトウェアとか追加のハードウェア(サブネットに1台程度のもの)でなんとかならないかと思ったんですが、ちょっと無理そうな気がしてきました。

2004/12/08 18:47:34
id:phase-d No.4

phase-d回答回数91ベストアンサー獲得回数32004/12/08 18:54:07

ポイント20pt

ネットワークの規模や予算なんかによってしまいますが、

そこそこの大きな規模の場合だと、こういったソリューションを使うのが一般的でしょうかね。

http://www.atmarkit.co.jp/fnetwork/tanpatsu/17gbcase/01.html

@IT:導入事例:佐賀大学医学部が10ギガ・イーサを導入した理由

ちょっと関連しそうな導入事例とか。

認証スイッチとかそういったものが必要になってくるので、

どうしてもお値段がかかってしまうものですけどね…。

id:esseesse

こういったゲートウェイのソリューションの場合は確かに通信は出て行かないですけど、ゲートウェイを通らない通信は遮断できないですよね。

L2スイッチでの対応にしても、ハブを置かれたらハブの中で終わる通信に関してはアウトだし。。。

なかなかいい解決はないもんですね。

2004/12/08 19:03:02
id:sudoh No.5

sudoh回答回数35ベストアンサー獲得回数02004/12/08 22:46:36

ポイント5pt

BlackICE とかのソフトウェア製品を使ってみてはどうでしょうか。

id:esseesse

これってただのファイアウォールではないですかね?

ファイアウォールが必要なわけではないのですが。。。

2004/12/09 07:34:20
id:felixthecat No.6

golgothirty回答回数27ベストアンサー獲得回数02004/12/09 01:31:40

ポイント20pt

DHCPでもある程度アクセス制限が可能ですが、本格的にやるなら802.1xによる端末認証でしょう。

http://internet.watch.impress.co.jp/cda/news/2004/12/03/5646.htm...

バッファロー、中小企業向けのIEEE 802.1Xユーザー認証サーバーを発売

具体的な装置はこんな感じです。

id:esseesse

なるほど、ありがとうございます。

ただ、認証関係でクライアントを選ぶのとL2スイッチ、もしくはルータも対応していないといけなさそうですね。

管理が楽なのとクライアント側で何もしなくていいという観点で見るとL2スイッチのMACアドレスフィルタリングが一番現実的な解のような気がするのですが、実際のところはどうなんでしょうか。

2004/12/09 07:49:59
id:kn1967 No.7

kn1967回答回数2915ベストアンサー獲得回数3012004/12/09 23:34:09

ポイント40pt

http://www.atmarkit.co.jp/fsecurity/rensai/securitytips/034ipsen...

@IT:Security Tips > 未登録機器のイーサネット接続をブロック - ip-sentinel

>未登録なPCは接続してほしくない

  勝手に個人のパソコンを持ってきて繋いだりされたくないということでよろしいかしら?

  L2スイッチなどという話も出ていますが、物理的に接続されて、かつ、IPはパソコン側でDHCPの範囲内の値で固定設定してある場合には侵入されてしまうので、お望みの事を実現するためには、監視ソフトを用意するといった事が必要になります(上記はLinux用なので無料、windows用ならば下記のような有料のものになるかもしれません)

id:esseesse

ありがとうございます。

ARPでなんとかできないかと思い、

http://www.hatena.ne.jp/1102501294

の質問を追加でして、だめっぽいということであきらめたんですが、方針は間違ってなかったんですね。。。

とりあえず一旦、質問を締めます。

みなさま、ありがとうございました。

2004/12/10 07:08:32

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません