新規接続した端末のOSがWindowsXPだった場合のみLANネットワークへの接続を禁止したいと考えています。

具体的には、その端末へのDHCP割り当てを無効とするなどの処置をする必要があると思うのですが、
そもそも、接続した端末のOS情報は、ルータ側でどのように収集すれば良いのでしょうか?

回答の条件
  • 1人1回まで
  • 登録:
  • 終了:2015/03/06 18:05:03
※ 有料アンケート・ポイント付き質問機能は2023年2月28日に終了しました。

回答3件)

id:freemann No.1

回答回数336ベストアンサー獲得回数55

ポイント100pt

稚拙な知識で回答します。
通常であれば、LAN内にActive Directoryを動かしているWindows Serverを置いて、ドメイン環境で行う制限だと思います。
Active DirectoryでユーザのOSのバージョンによって接続を拒否するというやり方だと思います。

頑張ってください。

id:Xenos

ご返信ありがとうございます。
検索かけて勉強してみます。

2015/02/27 23:51:19
id:hissssa No.2

回答回数428ベストアンサー獲得回数129

ポイント100pt

ActiveDirectoryによる制限は、あくまでドメイン参加している端末のドメイン上リソースへのアクセスを制限するものなので、LAN接続そのものを遮断するのは不可能です。

LANに接続した端末を、ルータ他のネットワーク機器からOS判定して特定のOSのみを確実に遮断するというのは、恐らく不可能かと思われます。
接続端末のOSを判定するには、SNMPなりWMIなりといった、ネットワーク管理プロトコルに端末が反応すれば可能ですが、そのためには判定機器側が端末側の管理用セキュリティを通過する必要があります。
また端末側で管理プロトコルが有効になっていなかったり、パーソナルファイアウォール等で遮断していたり等でそもそも不可能な場合もあります。

端末のネットワークへの接続自体を遮断する方法としては、「MACアドレス管理により、事前にMAC登録された端末のみを通信可能とする」くらいしかないかと思われます。

id:Xenos

ご解説ご返信ありがとうございます。
Lan接続そのものを遮断することが不可能との情報助かります。

2015/02/28 15:53:13
id:Xenos

質問者から

Xenos2015/02/28 23:17:17

みなさまご回答ありがとうございます。

英文で同じような質問があるか検索したところ以下の内容がHitしました。

「Can DHCP Server determine client's OS?」

http://networkengineering.stackexchange.com/questions/3031/can-d...

"DHCP fingerprints"と呼ばれる機能として実装されている模様です。

OSによって DHCPパケットにわずかに違う箇所があり、これを検出することでOSの種類を

推定しているみたいです。

↓のPage.1の一番下の段落にもそのような機能についての紹介がありました。

http://www.infoblox.jp/sites/infobloxcom/files/ja/resources/info...

お金があればこういうシステムを導入するのが手っ取り早いかもしれません。

id:blue_star22 No.3

回答回数297ベストアンサー獲得回数12

ポイント100pt

接続自体ではプロトコルのやりとりをするだけなので、OSなど名乗らないから無理ですよね。よく公衆LANなどにあるように、最初仮接続させて、ブラウザベースでパスワードなど送信させればすぐにOSはわかりますよね。それで本接続はできないとする。

id:Xenos

> 接続自体ではプロトコルのやりとりをするだけなので、
やっぱりそうなのですか。プロトコルのやりとりの時点で、何らかの徴候が見られなければ
難しいのですね。

2015/03/03 10:58:06

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

回答リクエストを送信したユーザーはいません