弊社では、アライドテレシスのCentreCOM x230シリーズを使用し、PoEで事業所内に設置している無線のアクセスポイントに電力を供給しています。
これまではWEPキーが分かれば誰でも接続できる状態だったのですが、セキュリティの観点から無線LANに接続できる端末を制限する必要が出てきました。
契約上、アクセスポイント自体に接続可能なMACアドレスを登録する設定はできないようで、CentreCOMにMACアドレスを登録していく必要があると考えているのですが、認識は合っておりますでしょうか…。
また、接続許可する端末の台数は恐らく50台以上になるので、手動ではなく動的にMACアドレスを登録することは可能でしょうか?
基本的な内容かもしれませんが、アドバイス頂けると幸いです。
また、Radiusサーバを導入するなどといった、新たな機器の導入ということはできないですが、より良い制限方法があればあわせて教えていただけると大変助かります。
気になる質問をクリップする
クリップした質問は、後からいつでもMYページで確認できます。
またクリップした質問に回答があった際、通知やメールを受け取ることができます。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
回答4件
0
MACアドレスは暗号化されない
参考URL
のに加えて、ごく簡単に偽装できるので、
MACアドレスによる制限にセキュリティ的な意味はほぼありません。
WEPは論外なので、まずここを変えるのは必須として、
これも何らかの理由で漏れてしまうとは入れてしまうという問題は変わらないので、
根本的には端末認証を行う必要があるかと思います。
該当のスイッチは使ったことが無いのですが、
公式カタログ
を見る限り
強固な認証機能をサポート
同一ポート上でIEEE 802.1X認証/Web認証/MACアドレスベース認証の混在を可能とするTri-Auth機能や、同一ポート上でユーザーごとに別々の認証方式で認証し、かつ異なるVLANを動的に付与
と記述があるので、IEEE802.1Xもしくはweb認証を導入するのが根本的な解決になるかと思います。
*RADIUS等の認証サーバが別途必要になるのかもしれません。
予算とセキュリティポリシーの睨めっこになると思いますが、可能な限り専門家に依頼することをお勧めします。
ごく簡易的に行うのであれば、
・定期的、短期間にパスワードを変えて漏洩時のリスクを減らす
などでしょうか。
投稿2016/07/22 08:22
総合スコア18713
0
そもそもですが、WEPを使っている時点でセキュリティの観点からマズいと思います。その認識があってのMACアドレスのフィルタだと思いますが、MACアドレスは変更・偽装がifconfigでできちゃいます。WEPが破られたら受動的な盗聴でMACアドレスを含む通信内容は取得できるので、攻撃側に意志があれば簡単に内側に入れます。
問題はWEPだと思います。
投稿2016/07/22 05:56
総合スコア1149
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2016/07/22 08:23
2016/07/22 08:31
0
契約上、アクセスポイント自体に接続可能なMACアドレスを登録する設定はできないようで、CentreCOMにMACアドレスを登録していく必要があると考えているのですが、認識は合っておりますでしょうか…。
CentreCOM x230でMACアドレスベース認証はできるようですが、同一の無線APに接続された機器間の通信はできてしまいます。
従って、無線APからCenterCOM介して他ネットワークに接続するときが制御の評価対象になります。
また、接続許可する端末の台数は恐らく50台以上になるので、手動ではなく動的にMACアドレスを登録することは可能でしょうか?
動的登録が可能か?と言われれば恐らく可能ですが、よほどの作り込みと検証が必要です。
私の想像では、teratarm等ターミナルソフトウェアのAPIを用いて、以下でできるかな?という感じです。
やってみないとわかりませんが。
・スイッチのmac address table取得
・現在のmac 制御テーブルの取得
・取得したmac address tableとmac 制御テーブルの比較
・mac address teble にあって、mac制御テーブルにないレコードをコマンド定型文に埋め込んで実行。
でも、動的登録にしたら不正端末も登録されてしまうような気がします。
投稿2016/07/22 05:29
総合スコア4309
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2016/07/22 05:39
2016/07/22 05:52
2016/07/22 06:00
0
アクセス制限には、認証とフィルタの2種類があります。
認証に関して検討されましたか?
一般的なアクセスポイントであれば、何らかの認証に対応していると思います。
MACでのフィルタは、CentreCOMで実施しても意味ないと思います。
多分、アクセスポイントのMACが行きます。
投稿2016/07/22 05:32
退会済みユーザー
総合スコア0
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
退会済みユーザー
2016/07/22 05:41
2016/07/22 05:46
退会済みユーザー
2016/07/22 05:55
2016/07/22 06:02
2016/07/22 06:14
あなたの回答
tips
太字
斜体
打ち消し線
見出し
引用テキストの挿入
コードの挿入
リンクの挿入
リストの挿入
番号リストの挿入
表の挿入
水平線の挿入
プレビュー
質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
退会済みユーザー
2016/07/22 11:33
2016/07/22 11:36