質問

2010年03月18日 10時41分
  • MACアドレスを利用したネットワーク認証

L30
情シスのオープンナレッジ『Syszo』サービス終了のお知らせ

質問

許可されたPCや端末以外の社内LAN接続を防止し、かつ
社内のどこに繋いでもユーザ毎に特定のセグメントが割りあたる仕組みを
導入したいと考えています。

○現在の構成:
・ユーザ数は約500人
・利用サブネット数は10個未満(物理的、特定の組織で分けています)
・AD導入済み(ドメインは1つ)
・クライアントはDHCP(Windowsサーバ)
・有線LANのみ

○実現したいこと:
・会社支給PCしか接続できないようにしたい
・できればMACアドレスをキーにしたい
・セグメント間でアクセス制限を行いたい
・ユーザが社内のどこで接続しても特定のセグメントが割り当たる
ようにしたい
・あまりお金をかけずに実現したい

○ざっくり考えた実現方法案:
・RADIUSサーバ的なものを入れて、ネットワーク認証を行う
・ブロードキャストパケットを利用して不正PCを排除できる機器を
導入する
・ダイナミックVLAN対応のネットワーク機器を導入する

○アドバイスして欲しいこと:
上記の通り、実現する技術や製品があることは調べてみて
わかったのですが、実際どのような組み合わせが現実的なのか
経験がなく判断がつきません・・・
このような仕組みを部分的にでも導入して運用されている方が
いらっしゃいましたら、実現方式を教えていただきたいです。
また、お勧めの製品などがありましたら情報お願い致します!!

4件の回答があります

回答

Ciscoのスイッチでポートセキュリティを
使えばできると思いますが‥

L2スイッチでもできると思うので、
あまり費用は掛りませんが‥

(-。-)y-゜゜゜

2010年03月18日 10時58分

回答

windows2008のADに導入されたNAPが運用の手間が省けていいですよ。
実際の導入についてはベンダーに何社か声をみるべきでしょう。
製品の相性もありますし、そもそもこの分野は半端な知識だと
製品選定が難しいです。
たとえばコメント1さんの方法では島ハブがリピータハブでないと
なりませんが、最近のシステム監査の教科書ではリピータハブは
使わないということになっているので物言いがつきやすく、
そもそも入手困難です。

下記MS公式ブログはNAPについてのもので、対応製品のベンダー一覧が
書いてありますので参考にされることを強くお勧めしたいです。

2010年03月18日 12時52分

回答

MACでコントロールというわけではないですが
「パレットコントロール」という製品なんかよいかと思います
 不正接続機器の検出もできます。

でも、ここまでするならDHCPじゃなくて固定IPのほうが管理しやすくないですか? アクセス制限もユーザID(orセキュリティグループ)で行うほうが自由度がありますし。(同じ組織のなかでも課長以上や部長以上でのアクセス制限もあるでしょう。)

2010年03月18日 20時09分

回答

こんにちは。

シスコ等のルータなり、スイッチの設定を駆使して、、、
とやっても、自社で専任の運用技術者がいるなりしないと、
台数的・管理工数的に、かなり厳しいと思われます。

ご要望が全て満たされないと思いますが、比較的低価格で利用できる、
アプライアンス機があり、検討価値は有ると思いますので、参考の為
に乗せます。

法人であれば、応相談で、試用機の貸出依頼も可能かと思います。
(昔は機種によっては応じてもらえましたが、、、
 現状はメーカに確認されることをお勧めします。
 運用事例も知っていると思うので、相談できるとおもいます)

○FutureNet RA-630
http://www.centurysys.co.jp/securityserver/RA1100_RA630.html
 ・RADIUSサーバ
 ・802.1x認証サーバ ・AD連携

○FutureNet NS-430
http://www.centurysys.co.jp/securityserver/NS430.html
 ・MACアドレスによる不正PC検知・遮断
  (MACアドレスリストは、ブラック、ホワイト両対応)
 ・DHCPによる払出アドレス指定(MACアドレス判定)
 ・RADIUS連携(サーバは上記と組合せるなりして、別途必要)

以上、ご参考になればと思います。宜しくお願いします。

2010年03月19日 13時11分

あなたもコメントしましょう!