- ベストアンサー
有線LANへの、持込PCの制限
小規模な個人店舗と、隣接する自宅を同一LANで接続しています。ルータはプロバイダから強制レンタルのNEC製WR7610HVです。IP電話を使用する関係で、このルータは外せません。 店舗内には第三者が立ち入ることも多いのですが、わかりやすい場所にハブがあり、持込みのPCを接続される事があります。 これを制限したいのですが、物理的にハブ(LANポート)を隠す以外の方法で、LANケーブルを挿されても接続できないようにする方法を求めています。 今は、簡易的にDHCPをOFFにして、全てのPCを固定IP設定にしていますが、持込みPCがDHCP自動取得になっているととりあえず接続できなくなりますが、手動設定されるとあっけなく破られてしまいます。 無線ならMACアドレス制限等ができますが、有線の場合はこのルータではMAC制限は効かないようです。
- teyawata25
- お礼率18% (6/32)
- ネットワーク
- 回答数11
- ありがとう数5
- みんなの回答 (11)
- 専門家の回答
質問者が選んだベストアンサー
NO.4です。 余剰PCとソフトウェアのみのネットワーク認証ですね? 通信を行う際、WEBブラウザによる強制認証を LDAP、RADIUSゲートウェイで行う仕組みがあります。 利用者は、セキュリティ証明書がインストールされた PCなどから認証画面でID、パスワードを入力し、 認証を通過したユーザー以外はインターネットへの 接続を遮断されます。 これらは、システムの保守と運用がネックになりそうですが、 オープンソースのソフトウェアを組み合わせて構築できると思います。
その他の回答 (10)
- yakinturai
- ベストアンサー率14% (1/7)
NO.4(9)です。 店舗LANからの自宅LANアクセスを遮断するには、 店舗LANのHUBを余剰PCゲートウェイへ置換えます。 紹介したWEB認証のほかにMACアドレスフィルタリングを 併用することで店舗LANの未認証PCはネットワーク接続を 遮断されます。 具体的に説明するとSquidのOpenLDAPモジュールを用いた ユーザー認証+iptablesによるMAC/IPアドレスフィルタリング +WebminからのGUI管理となります。
- Ensenada
- ベストアンサー率44% (484/1090)
細切れの解答、申し訳ありません。 ・ピンク色のLANケーブルはいつでも自分管理の持ち込みPCのため、むき出しにしておきたい。 ・でも他人に勝手に使われるのは嫌だ。 ですよね? 1.)手っ取り早く行うなら、赤い部分を買い足し つまり、LANケーブルの先端に無線LAN APにつなぎ、アクセス制限は無線LAN APの機能(WPA等)で行ってしまう。 WLA2-G54C 実売6,724円~ http://www.amazon.co.jp/gp/offer-listing/B0006L0238/ref=pd_lpo_k2_dp_sr_1?pf_rd_p=466449256&pf_rd_s=lpo-top-stripe&pf_rd_t=201&pf_rd_i=B0000AI0ZB&pf_rd_m=AN1VRQENFRJN5&pf_rd_r=100Z0ZD4A85F43JYPTE0 自分管理下の持ち込みPCに無線LANインターフェースが無ければ、USBを無線LANに変換 2000円くらい http://www.amazon.co.jp/PLANEX-Wi-Fi-USB%E3%82%A2%E3%83%80%E3%83%97%E3%82%BF-%E3%83%9B%E3%83%AF%E3%82%A4%E3%83%88-GW-US54Mini2W/dp/B000KN8QMQ ※型番や規格はもしかして間違えているかもしれませんが、値段や考え方はおなじようなものだと思います。 9000円未満で簡単にできそう。 2.)技術の勉強を兼ねてゆっくり解決するなら、No.4(9)さんの方法。 余剰PC組立 + Linuxで認証サーバーを立てる。 (Windows Server系だと結局OS代金で上の「手っ取り早い方法」以上にお金がかかりそうなので)
補足
わざわざ丁寧な図解ありがとうございます。 出てくる無線機器の型番は見ただけで自分の知識でだいたい想像がつきますので、正確でなくても何ら問題ありません。 揚げ足とる様な言い方で申し訳ないのですが、この方式・・・自分も考えたんですよ。 自分の管理下のノートPCは無線装備済みですし、APはかなり安く買えますし。 ただ、この方式の最大の欠点は、外来者が自由に使える”常設PC”です。これがデスクトップ機とLAPTOP機両方あり、書いて頂いた図のように"HUB"からケーブルでつながっていますから、PC側のLAN端子を引っこ抜くのが容易な状況です。また、現状ではHUBもPCの裏側チョイの位置にあるものですから。 外来者用常設PCも全て無線化すれば概ね対応できますが、No9様の提案方式がやってみたくて仕方ない状況になりました。 ただ自分が引っかかっているのは、FONルータなんです。あんな1980円ぽっちの機器で公開側APからのアクセスは既存LANに影響しないのができるなら、ソフト的対応やルータ設定の類で同様にできるんじゃないかと思えて仕方ありません。 FONがどういう仕組みで既存LANへの制限をしているかが気になって気になって、だれかご存じないですかね。別質問たてた方がいいのかも知れません。 今さっき決意した方針としましては、取り急ぎ(切羽詰まってないのに取り急ぎというのも変ですが)外来者用常設機全部には、どこかに余り物がありそうなUSB無線アダプタ使って無線化して無線APのMAC制限で対応し、確か以前のWindows serverが自宅のどこかにしまってあるハズなので、並行して認証サーバの学習がてらやってみようと思っています。
- Ensenada
- ベストアンサー率44% (484/1090)
No.7です。 前回答の「その他」について 申し訳ありません。有線接続で Radiusサーバー を立てるときは 802.1x有線対応HUB必須だったかも…(結局万単位のお金がかかる) http://atnetwork.info/ccnp5/8021x04.html ↑こんな感じ 詳しいドキュメントがあるのですが、勤め先の社内機密も併記してあるためコピーも持ち出しも出きずこれ以上答えられそうにありません。 m_ _m ただ、 ・必要があるならそこそこのPCを1台用意できる ・質問者さんがネットワークを理解している という条件がわかったので、そのPC+Linuxで解決できる手法をプロの方が回答してくれるとは思います。 VMWareについて 1台余分にPCを用意できるなら VMWareは必要ないです。 ↓気になるだろうので、こんなソフトですというリンクだけ http://itpro.nikkeibp.co.jp/article/COLUMN/20061019/251208/
お礼
VMWareとは仮想PCを構築するものですね。Microsoft VirtualPCを新しいソフトの導入前試験によく使っていますが、これと似たようなものですよね。 それを使って認証サーバを作って、各PCを毎回認証させると、それで別のPCが用意できるなら仮想PC使わなくても認証専用に1台使えばいいからVMWareは要らない、 と、大体こんな感じということですね。 だいぶやりたい事に近づいてきました。いろいろありがとうございます。
- Ensenada
- ベストアンサー率44% (484/1090)
ご質問とやり取りを拝見していると 1. WR7610HVの有線LAN空きポートに勝手に接続されないようにしたい 2. 万単位の金額は出せない 3. 自分の管理化にあるPCは一時的に接続できるようにしておきたい 4. ソフト的解決にしたい 5. ハードウェアの追加は避けたい 6. 1~3さえ解決できれば、特に技術的解決は求めていない。 1.~3.は絶対条件、4~6はできればそうしたい。 と思われます。(6は私の推測です。違っていたらごめんなさい) そうすると No.3の方が回答しているように物理的にLANケーブルを鍵付きにしてしまうのがシンプルだと思います アマゾンで 税込み・送料無料で 4,158円でした。 http://www.amazon.co.jp/%E3%83%97%E3%83%AA%E3%83%B3%E3%82%B9%E3%83%88%E3%83%B3%E3%83%86%E3%82%AF%E3%83%8E%E3%83%AD%E3%82%B8%E3%83%BC-%E9%8D%B5%E4%BB%98LAN%E3%82%B1%E3%83%BC%E3%83%96%E3%83%AB-3m-%E3%83%96%E3%83%AB%E3%83%BC-PTC-LPBU3/dp/B000VV9CJ8 その他、 もしルーターにつなぎっぱなしで常時電源ONでさらにメモリとCPUパワーとHDD容量に余裕のあるPCがあるなら、VMWareとLinuxで仮想PCを作って認証サーバーを立てるという方法も考えられますが…
補足
まとめ頂きありがとうございます。 1番については、WR7610HV本体は第三者が触れる事が困難な場所にありますが、その配下に複数のハブがあり(家庭用の安物ばかり)、そのうちの2台のハブが第三者の目に触れる(手を伸ばせば届く)所にあります。そしそのハブからLANケーブル複数をだしていて、テーブル上の常設PCへつながっているものと普段は何もつながっていないものがあり、そのテーブル上に自分の管理下のPCを一時的につなぐことが多々あります。 常設PCについては第三者の使用が前提で、OSのアカウント制限でほとんど何もできないようにしてあり、OSも月に2度以上入れ直しています(WinXP pro)。 そのため、ハブのポートを物理鍵でロックしても、常設PCから抜かれたらだめかなという感じです。 2番、3番についてはその通りです。 4番については、「きっとソフト的解決ができるだろう。でも自分にわからないから効いてみよう」という発想でした。 5番はやむを得ないとなれば善処しようと思います。 6番は意図が汲み取れませんでした。聞いてるだけで現実には行わないという意味でしょうか。 そういう事ならまんざらはずれでもないですが、今現在で切羽詰まっているわけではなく、持込みPCを容易に接続できる環境で、今後トラブルが発生する可能性があるだろうから、できれば早めに対処しておきたいなという所です。 最後の「その他」がとても気になります。 自作PCをたくさん作っているので、余剰パーツでそこそこのマシンを組めそうです。 「VMWareとLinuxで仮想PCを作って認証サーバーを立てる」というのが自分には漠然としかわかりませんが、自分が求めているのはこういう事だと思います。 同一LAN内にFONルータを設置しています。これの公開側無線からは既存LAN内にはアクセスできないですよね(バグでできるらしいですが、バグフィックスされたという非公式ファームを入れています)。 こういう感じを有線でもできたらいいなと考えています。 *小規模店舗なのですが、いなかなので無駄に面積が広いため、無線で全部カバーすることが困難で、そこら中にLANケーブルを引いています。
- naniwacchi
- ベストアンサー率47% (942/1970)
IEEE802.1X認証がいまのところ一番「堅い」対策になると思います。 ただ、認証サーバも必要となるので、少し運用がやっかいかもしれません。 最近は、レイヤ2スイッチでも MACアドレス認証機能を有するものがでています。 無線LANのものと同様の機能です。 スイッチ自体もそれほど高価でもない価格ですし、 スイッチだけで運用できるところからもお奨めだと思います。
補足
回答ありがとうございます。 やはりハードウェアの追加が避けられないようですね。 できればソフトウェア的制御で済ませたかったのですが。 御指摘のような機器って、万単位の金額出さないとなかなかないですよね。
- camo-tech
- ベストアンサー率27% (25/90)
NWにはあまり知識がないのですが。 素人なりに考えた方法です。 (自宅ではこうしています) 1.DHCPサーバの設定で、接続を許可する範囲を、会社で使っているパソコンの台数にきっちり合わせる 2.DHCPをオンにして、MACアドレスを固定する これで、外部の人がPCを持ち込んで、直接LANに接続し、固定IPを設定したとしても、物理的には接続しても、MACアドレスの不一致で、論理的に接続不可能になるはずですが。 参考になれば幸いです。
補足
私が求めている方法に一番近いご回答ですが、2番の事がこちらのルータではできない様子です。 以前別のところでもっと高機能なルータがあったときに、おっしゃるような方法でうまくできた記憶があります。 持込みPCのMACアドレスの偽装には対応できずですが、それは妥協の範疇としましたが、店内および宅内の台数にDHCP割当数をきっちり合わせても、電源が切れているPCがあると割当数にあまりができてしまいますね。
- yakinturai
- ベストアンサー率14% (1/7)
IEEE802.1X認証、認証VLANと表記のある製品をルーター以下に設置することで解決できます。詳しいことは、お近くにある家電量販店の専門員又は地域の電器店へご相談ください。
お礼
VLAN対応機器導入が現実的っぽいですね。 ソフトウェア的制御でできればいいなと考えていたのですが・・・ ありがとうございました。
>ささっているLANケーブルを抜いて、持込みPC挿されたら・・・ダメですよね (;^_^A 問題無 http://www.princeton.co.jp/product/network/ptclpbu.html URL探せませんでしたが、既に刺さっている普通のUTPを鍵付にするキットもあります ちなみに電源を抜かれると困るとかになると、 ネットワークラックに入れるしかありませんね
- tatsu01
- ベストアンサー率18% (292/1540)
管理設定が出来るハブなら、特定のポートを無効に出来たりするんですが、 >ささっているLANケーブルを抜いて・・・ ということまで考慮する必要があるなら、第三者が触れるところにハブを置くこと自体間違っています。 その場所に置く必要があるなら、鍵付きのケースに入れるしかありません。
>物理的にハブ(LANポート)を隠す以外の方法 なぜこれがだめなんですかね? こんなのが楽だと思いますけど http://www.princeton.co.jp/product/network/ptclpl.html
お礼
>なぜこれがだめなんですかね? 理由は、外部持込みではないPC(こちらの管理下のPC)を一時的に接続する場面が多くあるので、ハブにつながっているLANケーブルの先端を見える位置に出しています。
補足
ご紹介いただいた鍵、 ささっているLANケーブルを抜いて、持込みPC挿されたら・・・ダメですよね (;^_^A
補足
たびたびすいません。 LDAP、RADIUSというのは言葉だけは聞いたことがあるが意味はちっとも???という状態ですが、No7,8の方の回答と見合わせると認証を行うサーバのシステムの名称(総称 or 一部の名称?)という事ですよね。 >認証を通過したユーザー以外はインターネットへ接続を遮断されます。 これはWANだけでなく認証サーバ以外のLAN内のほかの機器(自宅のPCと、それ以外にもネットワークハードディスク等)へのアクセスも遮断されるのですか。そこが最大の目的なので。 また、認証サーバはLINUXが必須or推奨なんでしょうか。Linuxはちんぷんかんぷんなので、必須となると道のりが険しそうです。 Windowsサーバなら、ほんの少しだけ運用したことがあるのですが。 >これらは、システムの保守と運用がネックになりそうですが その「認証サーバ」の保守・運用が一番の山場と考えていいのでしょうか。 自分の努力と手間時間を費やして対処できるなら、現状で切羽詰まっている訳ではなく、半分以上遊び+興味がメインなのでやってみたいと思います。