人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

新規接続した端末のOSがWindowsXPだった場合のみLANネットワークへの接続を禁止したいと考えています。
具体的には、その端末へのDHCP割り当てを無効とするなどの処置をする必要があると思うのですが、
そもそも、接続した端末のOS情報は、ルータ側でどのように収集すれば良いのでしょうか?

●質問者: Xenos
●カテゴリ:コンピュータ
○ 状態 :終了
└ 回答数 : 3/3件

▽最新の回答へ

1 ● freemann
●100ポイント

稚拙な知識で回答します。
通常であれば、LAN内にActive Directoryを動かしているWindows Serverを置いて、ドメイン環境で行う制限だと思います。
Active DirectoryでユーザのOSのバージョンによって接続を拒否するというやり方だと思います。

頑張ってください。


Xenosさんのコメント
ご返信ありがとうございます。 検索かけて勉強してみます。

2 ● hissssa
●100ポイント

ActiveDirectoryによる制限は、あくまでドメイン参加している端末のドメイン上リソースへのアクセスを制限するものなので、LAN接続そのものを遮断するのは不可能です。

LANに接続した端末を、ルータ他のネットワーク機器からOS判定して特定のOSのみを確実に遮断するというのは、恐らく不可能かと思われます。
接続端末のOSを判定するには、SNMPなりWMIなりといった、ネットワーク管理プロトコルに端末が反応すれば可能ですが、そのためには判定機器側が端末側の管理用セキュリティを通過する必要があります。
また端末側で管理プロトコルが有効になっていなかったり、パーソナルファイアウォール等で遮断していたり等でそもそも不可能な場合もあります。

端末のネットワークへの接続自体を遮断する方法としては、「MACアドレス管理により、事前にMAC登録された端末のみを通信可能とする」くらいしかないかと思われます。


Xenosさんのコメント
ご解説ご返信ありがとうございます。 Lan接続そのものを遮断することが不可能との情報助かります。

質問者から

みなさまご回答ありがとうございます。

英文で同じような質問があるか検索したところ以下の内容がHitしました。
「Can DHCP Server determine client's OS?」
http://networkengineering.stackexchange.com/questions/3031/can-dhcp-server-determine-clients-os

"DHCP fingerprints"と呼ばれる機能として実装されている模様です。
OSによって DHCPパケットにわずかに違う箇所があり、これを検出することでOSの種類を
推定しているみたいです。

↓のPage.1の一番下の段落にもそのような機能についての紹介がありました。
http://www.infoblox.jp/sites/infobloxcom/files/ja/resources/infoblox-note-dhcp-fingerprint-enabling-end-point-discovery-control-ja.pdf

お金があればこういうシステムを導入するのが手っ取り早いかもしれません。


3 ● blue_star22
●100ポイント

接続自体ではプロトコルのやりとりをするだけなので、OSなど名乗らないから無理ですよね。よく公衆LANなどにあるように、最初仮接続させて、ブラウザベースでパスワードなど送信させればすぐにOSはわかりますよね。それで本接続はできないとする。


Xenosさんのコメント
> 接続自体ではプロトコルのやりとりをするだけなので、 やっぱりそうなのですか。プロトコルのやりとりの時点で、何らかの徴候が見られなければ 難しいのですね。
関連質問

●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ