質問
うちは 1000台くらいのPCがありますが、認証機能を持ったL2スイッチとRADIUSサーバの組み合わせでチェックしています。
新たに社内LANに接続したいPCがある場合は、システム部に申請してもらい、システム部員が出向きます(※)。条件を満たすPCは接続を許可すべく、RADIUSサーバにそのPCのMACアドレスを登録します。
※ウイルス対策ソフトをインストールし、OSのセキュリティ関連の設定をします。
うちは、各部署がPCを自由に購入できるのでこのような流れとなってます。
L2スイッチは、パケットが流れてくるとその送信元MACアドレスをチェックし、RADIUSサーバに「このパケット通していいかな」と問い合わせます。RADIUSサーバからOKが返ってくれば、そのバケットを通しますし、NGが返ってくると遮断します。
RADIUSサーバは自前で構築しました。そんなむずかしくないです。パラメータがいろいろあるので最初はとまどいますが、何をどうすればいいかを把握した後は簡単でした。アプライアンスのRADIUSサーバもありますので、必要ならそういうものを使うという手もありかと思います。
ウチは固定IPで情シスからの割り当て制を取っています。ネットワーク上に流れるIPをキャプチャしてログを取りそこに出現するIPを羅列して登録以外のIPだけのこすExcelマクロを作りました。毎週それを走らせることにしています。
質問
うちの会社は小さいので、
自作 Mac アドレス検知のスクリプトに
「目視(笑)」で不届きな輩を見つけて注意しています。
入れ替わりが多くありリテラシが高くないので、
年に数回注意する事があるのです。
ところで、ある程度の規模の会社は
やっぱり監視アプライアンスをいれているのでしょうか?
「あれ」は高いので
対象クライアントが300台くらいまでは
現行の似非検知スクリプトで対応したいと思いますが、
現在100〜200台を管理されている方はどうされていますでしょうか?
良かったら教えてください。