- 締切済み
DHCPに関して。
環境として、「グローバル固定IP」「プライベート固定IP」「プライベートのDHCP」と混在した環境になってしまっています。 今までだと、DHCPを使用していなかったため、固定IPによる接続しかできないようになっていました。 しかし最近になってDHCPを導入し、一部の人にはDHCP接続にしているのですが、しょっちゅう管理部門で把握していないPCからDHCPを使用されてしまっています。 会社ではアクティブディレクトリーによるドメイン管理をしていますが、把握していないPCは、ほぼドメインに参加していないものなのです。 その為、DHCP側の設定で、該当ドメイン以外からのDHCPプール内のIP利用を拒否させる事は可能なのでしょうか? また、その設定はどうすればよいのでしょうか? 宜しくお願いいたします。
- ark_kiss
- お礼率93% (189/203)
- その他(ITシステム運用・管理)
- 回答数4
- ありがとう数3
- みんなの回答 (4)
- 専門家の回答
みんなの回答
- y_aketa
- ベストアンサー率16% (3/18)
部門ごとをさらにセグメント化し、 部門ごと使えるアドレスの範囲をかなり絞って IPを発行させるというのはどうでしょう。
- nick2038
- ベストアンサー率34% (55/160)
検疫ネットワークを使うしかなさそうですが…。 Microsoftや、参考URLのように各社出しています。 お値段は数百万円くらいなのかな? コレを必要に応じてカスタマイズすれば、たぶんいけるんじゃないかと。 はっきり言って無法地帯になっているようなので、No.2さんの方法が良いんじゃないでしょうか。 例えば上記検疫ネットワークを導入した場合のコスト、サーバが止まった場合のコストを出して、そのコストに見合う罰則を定めて貰うという方向で。 考え無しに適当な事をやってサーバを止めるような人たちの態度を変えて貰わないと、いずれ大事故になると思いますよ。 まーセグメントを切りまくってパケットフィルタをしっかりかければ何とかなるような気もしますがね……。 本質的には解決にならないし、いろいろ不具合も出るかも~。
お礼
検疫ネットワークに関して、URL先を見てきたのですが、DHCP方式・通信妨害方式なるものが少し興味を惹かれました。 実は、この記述に書かれている日立システムズ様からも、ネットワークの監視装置を購入した事があり、これによって抑制は出来ていると思うのですが、やはり認識の甘い人だと、注意しても根っこからは考えを改めない場合が多数です。 No.2様も仰っていましたが、懲戒等の罰則規定を設ければ抑制になるとは思います。 しかし問題なのは、周知度がそこまで高くなるかというと、やはり難しいところですし、知らなかったという発言が、今まででもしょっちゅう聞いていたので、あきれ果てているところです。
- mii-japan
- ベストアンサー率30% (874/2820)
勝手に設定したものには見つけ次第、厳重注意、状況によっては懲戒くらいの規程にしないと、今後重大な事故を起こしますよ(ウィルス・データ漏洩等々) 私の経験では、部門ごとに、アドレス範囲を割当、その範囲内でその部門が責任を持って使用する というルールで行ないました 時々該当範囲にpingを行い、arpコマンドで IPとMACアドレスの対照リストを収集しました(それと届出から、無届を発見し警告を出す) 100台くらいまでならそれほど手間はかかりません なお、届出以外はルータのアクセス拒否テーブルに登録する方法もあります(または届出のあるアドレスのみ許可する、ルータの仕様にもよりますが)
お礼
回答ありがとうございます。 こちらとしても、厳重注意をしてはいるのですが、主にアウトソーシングを行っているため、外勤から内勤に戻った際に、無許可で接続しようとする人が多いのが現状です。 IPとMACの対応自体はこちらでも企業用として販売されている収集ツールを使用し、それようにサーバも構築しています。 ルータ側で設定するというのは、確かによい方法なのですが、固定のプライベートアドレスを順次DHCPに切り替えたいので、どちらかというと、やはりDHCPでできないものかなと画策しているところです。
- mii-japan
- ベストアンサー率30% (874/2820)
DHCPを廃止した方がよろしいのでは そして、ネットワークは許可制にして、管理者に届け出たもののみIPアドレスを指定する 手間はかかりますが、そのほうがよろしいように思えます
補足
実は今までがそうだったんです。 DHCPが無い状態で、管理部門に申請があったもののみIPを付与する状態です。 ただ、これはあくまで管理側が理想とする形態なだけであって、実際にできるかと言うとそうではありません。 IP・サブネット・ゲートウェイ・DNS・サフィックス・Proxy、これらを指定してしまえばいいわけですから、他のPCを見れば、その情報を参照できてしまいますし、許可を出していないPCにもその情報と適当なプライベートIPを付与するだけで、接続されてしまいます。 そして厄介なのが、これによるバッティングなのです。 以前は、これによってサーバとバッティングしてしまう等の問題も起きている事から、DHCPを設け、以降はプライベートIPは特定サーバ以外はDHCP接続にしてしまおうと思っているのです。 その為、こちらでも把握できるように、特定ドメイン外からのDHCPの拒否を行いたいのです。 宜しくお願いいたします。
お礼
セグメント化したいのは確かにあるのですが、それもまたDCに関わってきたりするので何ともいえない状況ですね・・・。 ありがとうございました。