web-dev-qa-db-ja.com

PCをローカルネットワークから完全に禁止できますか?

PCをLANやWLANから完全に禁止することは可能かどうか疑問に思いました。 MACアドレスによる禁止は変更される可能性があるため、役に立たないことを私は知っています。

追伸:LAN/WLANに接続するために資格情報は必要ないと想定します。

4
sterz

確かに、クライアントはMacアドレスを変更できるため、その上でのあらゆる種類のフィルタリングは多かれ少なかれ役に立たなくなります。

有線LANでは、適切な種類のスイッチを使用して、MACでどのポートからの接続を許可するかを制御し、ポートで許可されるMACの数を制限できます。これは、クライアントが常に接続されてオンになっている場合に役立ちますが、特定のマシンのMACが何であるかを知っている人は、正当なボックスのプラグを抜いて、一致するようにMACアドレスを変更できます。一部のスイッチは、リンクがダウンした場合にポートをブロックするように構成でき、管理者の介入が必要ですが、それはまったく拡張性がありません。

したがって、これはまさに802.1xプロトコルが支援することを目的とした種類のものです。簡単に言うと、ネットワークアクセスが許可される前に、クライアントが認証された資格情報を提示する必要があります。 wikipedia の記事には、それがどのように機能するかについての良い説明があります。

私の知る限り、何らかのアクセス資格情報がないと、達成しようとしていることは実行できません。 802.1xは、アクセスを許可し、他の手段でネットワークリソースの使用をブロックするのではなく、少なくともネットワークレベルで認証を行います。

5
malcolmpdx

ネットワークアクセス制御 と呼ばれるものを探しています。さまざまなベンダーのNACを実装するにはさまざまな方法があります。さらに、Windowsのみ/ほとんどの環境で実装できます ドメインとサーバーの分離 (* nix環境で同様のことを達成できないわけではありませんが、それは価値があるよりもほとんど苦痛です)。ネットワーク自体へのアクセスを妨げずにドメインとサーバーを分離すると、ネットワーク上のサーバーとワークステーションへのアクセスが妨げられます。所有しているマシンの場合は、その特定のサーバーのサーバーとワークステーションを制御できます。/workstationはと話すことができます。

3
Jim B

ネットワークへの物理的アクセス(ハードワイヤーまたは電波を介して)が達成可能な場合は、マシンがトランスポートレベルで参加できると常に想定してください。それを超えてできることは、あなたが本当に気にかけるべきことであり、セキュリティの取り組みに焦点を当てるべき場所です。

2
squillman

ネットワークのサイズと使用しているレイヤー2ハードウェアのタイプに応じて、必要なMacアドレスのみを許可できます。

1
zx81

PCはどのように接続していますか?無線?有線?それは、誰かが自分のラップトップを使用して従業員のように仕事に持ち込むPCです。この場合、法的または内部のセキュリティ対策を講じることができます(主に、従業員がMACアドレスを変更して、ホワイトリストのMACアドレス制限に接続してハッキングする場合)。

あなたのwifiを使用している隣人のように外部の人がネットワークに侵入している場合、パスワードで保護および暗号化されていないwifi接続を決して許可しないことが最善だと思います。

VPNアクセスの場合... openvpnのような証明書でvpnを使用し、彼が持っている場合は、crlオプションを使用して禁止できます。

ソリューションは、ネットワークやサーバーに関連するだけでなく、ケースごとに異なる可能性があります。

さて、もしそれがウイルスでいっぱいの彼自身のラップトップを使っているあなたのCEOなら...頑張ってください;)しかしあなたは多分それをきれいにすることを申し出ることができます:)

1
laurent