最近、ユーザーが自宅からラップトップを持ち込んでネットワークに接続し、インターネットにアクセスしようとするという問題が発生しました。ポートレベルでMAC制限を設定できることは知っていますが、非準拠のマシンが将来的にネットワークにアクセスするのを防ぐ方法があるのではないかと考えていました。現在、すべてのWindows 7クライアントマシンを実行しており、「Windows 7でない場合はアクセスできない」と簡単に伝えたいのですが、その方法が正確にはわかりません。 2008以降のWindowsServerでAD環境を実行しています。
多分NAPで動作し、WinXP(およびWin7)の設定があるように見えますが、最新かどうかに基づいてアクセスを禁止/許可できます。ウイルス対策がオンになっている場合など、Windows XP自体ではありません。このようにネットワークにアクセスするために指定したもの以外のものを無効にする方法はありますか?
よろしくお願いします!
クレジットは上記で言及した人に与えられるべきですが、802.1Xはこのタイプの動作を制御する方法です。直接の経験よりもはるかに複雑ですが、ワイヤレスネットワークでの認証には自宅のRADIUSサーバーを使用しています。pfsenseを使用すると、セットアップが簡単でした。
MAC認証は最も弱いタイプの認証であり、MACアドレスは数秒でスプーフィングされ、ネットワークへのフルアクセスが許可されます。ユーザーが行う必要があるのは、ラップトップのMACアドレスを見つけて、個人のラップトップでスプーフィングすることだけです。企業ネットワークに。
これを停止するには、802.1xを使用する必要があります。ここでは、CiscoスイッチとWindows NPSサーバーを使用して展開しましたが、ドメインの一部であるデバイスのみがネットワークにアクセスできます。証明書も使用しました。
ただし、802.1xに沿ったMACアドレスによってポートをロックダウンすることも、MACフラッディング攻撃を防ぐための良いアイデアです。 MACフラッディング攻撃のリスクを軽減するために、ポートを8つのMACアドレスにロックしました。
まず、使用する必要のないすべてのネットワークポートを無効にしてください。
そして今、あなたにとってはうまくいかないが、そこにいる人々が考えるための別の選択肢に移りましょう。パッシブOSフィンガープリントは、この問題の解決策を求めている人には有効かもしれませんが、Windows以外のユーザーをブロックしたい場合や、MACコンピューターのLANを持っていて、他のものをブロックしたい場合があります。
いくつかの状況に適している可能性のある解決策として、そこにそれを投入します。ただし、802.1Xのようなものの方が堅牢なオプションだと思います。
私が知る限り、Windows:xpなどでosfを使用してフィルタリングできないため、機能しません...またはできますか?やってみないと分からない。
しかし、Windowsマシンのみを許可したいとします。
1)Linuxブリッジを作成します。 http://bwachter.lart.info/linux/bridges.html
2)パッシブOSフィンガープリントモジュールをロードし、次のようなルールを使用します。
iptables -I INPUT -p tcp -m physdev --physdev-in eth0 -m osf --genre Windows --ttl 0 -j ACCEPT
続きを読む: iptablesを使用して特定のオペレーティングシステムから送信されたパケットをブロック/許可する方法は?
次に、このブリッジマシンがネットワークとルーターの間に挿入されます。ファイアウォール/ゲートウェイとして使用するLinuxルーターがネットワーク上にすでにある場合は、osfモジュールルールをiptablesに追加するだけです。
残念ながら、OSフィンガープリントは、OSが初期TTL、ウィンドウサイズ、およびTCP SYNパケット)の他のいくつかのビットを設定する方法に基づいているため、TCPでのみ機能します。打ち負かすことができるので、完全に安全というわけではありません。