最近、ユーザーが自宅からラップトップを持ち込み、ネットワークに接続してインターネットにアクセスしようとするという問題が発生しました。ポート レベルで MAC 制限を設定できることはわかっていますが、今後、非準拠のマシンがネットワークにアクセスできないようにする方法があるかどうか疑問に思っています。現在、すべてのクライアント マシンは Windows 7 で実行されており、単に「Windows 7 でない場合はアクセスできません」と伝えたいのですが、その方法が正確にわかりません。AD 環境、2008 以降の Windows Server を実行しています。
NAP が機能するかもしれないと思いました。WinXP 用の設定 (および Win7 用の設定) があるようですが、Windows XP 自体ではなく、最新かどうか、ウイルス対策がオンになっているかどうかなどに基づいてアクセスを許可/禁止できます。このように、指定したもの以外がネットワークにアクセスできないようにする方法はありますか?
ご協力ありがとうございます!
答え1
上で言及した方々の功績ですが、この種の動作を制御する方法は 802.1X です。私が直接経験したことよりも多くのことが関係していますが、私は自宅でワイヤレス ネットワークの認証に RADIUS サーバーを使用しています。pfsense を使用すると、セットアップは簡単でした。
答え2
MAC 認証は最も弱いタイプの認証であり、MAC アドレスは数秒で偽装され、ネットワークへの完全なアクセスが許可されます。ユーザーは自分のラップトップの MAC アドレスを見つけて、それを自分の個人用ラップトップで偽装するだけで、企業ネットワークへの完全なアクセスが可能になります。
これを止めるには 802.1x を使用する必要があります。私が働いている場所では、Cisco スイッチと Windows NPS サーバーを使用してこれを導入し、ドメインの一部であるデバイスのみがネットワークにアクセスできるようにしています。また、証明書も使用しました。
ただし、802.1x と並行して MAC アドレスでポートをロックダウンすることも、MAC フラッディング攻撃を防ぐのに良い方法です。MAC フラッディング攻撃のリスクを軽減するために、ポートを 8 つの MAC アドレスにロックダウンしました。
答え3
まず、使用する必要のないネットワーク ポートをすべて無効にしてください。
さて、あなたには役に立たないかもしれないが、世間の人たちが検討すべき別の代替案に移りましょう。パッシブ OS フィンガープリンティングは、この問題の解決策を求めているが、おそらく Windows 以外のユーザーをブロックしたい人や、MAC コンピューターの LAN があり、その他すべてをブロックしたい人には有効かもしれません。
いくつかの状況に適しているかもしれない解決策として、これをここに挙げておきます。ただし、802.1X のようなものがより堅牢なオプションだと私はまだ思っています。
私の知る限り、Windows:xp などで osf を使用してフィルタリングすることはできないので、機能しません... または、できるのでしょうか? 試してみなければわかりません。
しかし、Windows マシンだけを許可したいとします。
1) Linux ブリッジを作成します。 http://bwachter.lart.info/linux/bridges.html
2) パッシブ OS フィンガープリント モジュールをロードし、次のようなルールを使用します。
iptables -I 入力 -p tcp -m physdev --physdev-in eth0 -m osf --genre Windows --ttl 0 -j 受け入れる
続きを読む:iptables を使用して特定のオペレーティング システムから送信されたパケットをブロック/許可するにはどうすればよいですか?
このブリッジ マシンは、ネットワークとルーターの間に挿入されます。ファイアウォール/ゲートウェイとして使用する Linux ルーターがネットワーク上にすでにある場合は、osf モジュール ルールを iptables に追加するだけです。
残念ながら、OS フィンガープリントは、OS が初期 TTL、ウィンドウ サイズ、および TCP SYN パケット内のその他のいくつかの要素を設定する方法に基づいているため、TCP でのみ機能します。また、破られる可能性もあります。したがって、完全に安全というわけではありません。
答え4
MAC フィルタリングを設定すると、これが最も安全なルートであり、すべてをキャッチできることが保証されます。なぜ MAC フィルタを設定しないのですか?