同じLAN内に勝手に端末を接続される。セキュリティ的に問題がある。
DHCPを殺してもちょっと知ってる方なら自分で設定されてしまう。

と相談を受けました。

認証VLANを導入するのが一番かと思いますがコストや手間を考えるとなかなか難しいところ。
無線だけなら親機にMAC認証があるのでそれで設定してもいいのですが管理が面倒で、有線で接続されることもある。

ということで偽装ARPパケットを送信して通信不能にする不正検知システムを設置することに。

市販では、日本CADのIntraGuardian,富士通のPFU,PanasonicのIntraPOLICE,SOFTCREATEのL2Bllocker,NECのInfoCageなどなど数えれば多いのですが、どれも高額で一番導入しやすいIntraGuardianでさえ5万円超え。

今回はそのようなシステムを無料でということで、捨てる寸前のノートPCを使って不正機器排除システムを構築しました。

システムに使用したのはこちらのVY17F/RF-U
シリアルポート,モデム,プリンタポート,PS/2まで備えている5世代前くらいの化石PCです。

150117150118


これにCentOS5.1をインストールし、IP-SENTINELというソフトウェアを入れました。
参考にさせてもらったのがこちらのサイト。

最初に

yum -y groupinstall 'Development tools'

を行った以外はそのままの手順で構築。

その後はips.cfgという設定ファイルを下記のように作成します。

ブラックリスト方式

*@AA:BB:CC:DD:EE:FF

ホワイトリスト方式(192.168.109.0/24セグメントの場合)

0.0.0.0/0 ##すべてを拒否
!192.168.109.{1-255}/24 AA:BB:CC:DD:EE:FF

早速ブラックリスト方式でテストしました。

疎通が途中で切れてほとんどネットワークが使い物にならなくなっているのがわかります。
WS000001

ログを確認するとでたらめなMACアドレスに変えられています。
WS000002

起動スクリプトを設定すれば電源を入れるだけの不正PC排除システムの完成です。

この偽装ARPを送る方法は、MACアドレスを登録されているものに偽装されたらまったく意味のない物ですので排除システムとしては万能ではありませんが、セキュリティ的には大きな効果があるものと思います。

タグ :
#セキュリティ
#情報システム
#不正PC
#検知
#遮断
#フリー