Q&A
何を元にPCを特定するか次第でしょう
大抵の情報は偽装が可能なので「偽装できないもの」は想定しづらいですけど・・・
現在、特定PCしか接続できないプロキシを無料で構築できないか検証中ですが
なかなか、特定PCというのが課題でできておりません。
squidでもnginxでも良いのですが、特定PCはデバイス固定で無料で構築するため
OSはLINUX(CentOSやubuntu)でないとけないかと思います。
一度、オレオレ認証局をたててクライアント証明書を発行し、認証ページにアクセスさせ
認証できたPCだけをアクセス可能なsquidを構築しましたが、クライアント証明書は
コピーやエクスポートできてしまうため、複数のPCにインストールできるといった
ことで、ダメでした。(PCの使用者が証明書をコピーして使う可能性です。)
何かPCの固定的なもの(コンピューター名等)が証明書と紐づいてマッチしていなければ
使用不可とか、マッチしていなければ認証ができないとか、方法はないでしょうか?
構成は通常のプロキシと同じで
WAN(インターネット)⇒ プロキシ ⇒ WAN(インターネット)の構成です。
因みにMACは同一ネットワークでないとだめとか、NATがかかるとIP共々変わってしまうと
いった点で使用不可です。
よろしくお願いいたします。
> 何を元にPCを特定するか次第でしょう
フリーWIFIやテザリングしている特定PCからのプロキシになります。
プロキシは特定のURLへの接続用です。
おっしゃる通り偽装が可能なので、偽造できない、または使用者が簡単に
コピー等できない環境をと考えています。(そういう意味でPCとの紐づけ)
MACって、同じネットワーク以外からも認証に使用可能なのでしょうか?
例えばテザリングしているPCからMAC認証が可能でしょうか?
直接とれるのは直近の接続端末(相手ゲートウェイ/今回の場合はフリーwifi)だけど、TCPヘッダにまぎれていたはず。
TCPヘッダー
https://www.infraexpert.com/study/tcpip8.html
すみません、TCPヘッダーのどこに登録されているのでしょうか?(まぎれている?)
わからないので教えていただけないでしょうか。
https://ipsj.ixsq.nii.ac.jp/ej/index.php?action=pages_view_main&active_action=repository_action_common_download&item_id=72275&item_no=1&attribute_id=1&file_no=1&page_id=13&block_id=8
を見る限り、送信元のMACアドレスはNATで完全に置き換わるという認識でしたが。
回答1件
0
PCで認証させる理由は何でしょうか?
許可したPCしかインターネット接続できるネットワークに参加させないようにすることで対処できませんか?
特定PCの利用者の管理権限を落として、クライアント証明書へのアクセスができないようにするとかはできませんか?
投稿2020/03/03 07:42
総合スコア204
会社で持ち出しPCを特定Webサイトへ接続させるためです。
現在は持ち出しPCから社内に一度VPNで接続し、特定Webサイトへ
接続しているのですが、いろいろと訳ありで社外から直接プロキシ経由で
接続したいのです。
特定PCはコンピューター名とかMACアドレスとか固有のもの(登録されているもの)
しか接続をさせたくないです。
特定Webサイトへは該当のプロキシからのアクセスのみ許可します。
あなたの回答
tips
プレビュー
