パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

勤務時間中にネット株取引で懲戒処分」記事へのコメント

  • by Anonymous Coward
    教員側に教育をしないといけないパターンですか…
    しかも53歳だなんていい年こいた社会人が。

    それはそうと、私の知り合いが勤める学校では
    教育委員会のネットーワーク管理担当が学校内で接続できるPCなども管理してたので、
    個人PCなんぞは普通に校内LANに参加できないようになってるのですが、
    この人わざわざ校内接続マシンと自分のマシンLANケーブルを差し替え、
    自分のマシンのIPアドレスを変更してまでやってたんでしょうか?
    それともこの学校では(神奈川県内全ての学校?)ではLANの規制が緩いのでしょうか?
    ちょっとその辺が気になりました。
    • by Anonymous Coward on 2005年11月19日 13時55分 (#834707)
      某私立高校で校内ネットワークの管理をしてます。
      校内LANの設定、アドレス割り振り、サーバの構築と設定、運用を一人でやってますが、学校でネットワーク管理していると色んなことがあるもんです。例えば、生徒が掲示板やチャットを荒らしたり、密かに出会い系サイトに出入りしてたり、教職員が勤務時間中にヤフオク見てたり、果てにはWINMXがどこかで稼動してたり…。
      流石に昨今の情勢に鑑み、少なくとも発信元の特定は出来るよう、教職員に個別のIPを割り振り、DHCPを廃止する方向の作業をしてますが、これも周知徹底に時間が掛かってますし。
      #WindowsUpdateも周知徹底しようと思ってもこれまたサパーリorz

      ウチはネットの利用に関しては比較的寛容な方ではあったんですが、P2Pのトラフィックなんか見ちゃうと、どうしたもんかと思っちゃいますね。とりあえず、要らんポートへのセットアップパケットの通過を禁止したり、squid.confで望ましくないサイトのリストをチマチマ更新したり、そんなんボチボチやっているです。

      #教職員へのIPアドレス割り振り・設定が一段落したら、arpでMACアドレスを拾って、MACで制限を掛ける方向に持っていく予定。

      ま、私はネットの設定に関しては全権委任されてるわけですが、似たような境遇の方々はどんな設定されてますかね?<パケットフィルタとかsquidの設定とか色々云々。
      親コメント
      • Re:相変わらずの (スコア:2, 参考になる)

        by Elbereth (17793) on 2005年11月19日 14時22分 (#834717)
        >流石に昨今の情勢に鑑み、少なくとも発信元の特定は
        >出来るよう、教職員に個別のIPを割り振り、DHCPを
        >廃止する方向の作業をしてますが、これも周知徹底に
        >時間が掛かってますし。

        DHCPじゃ発信元の特定ができないというのは間違ってると
        思いますが……
        手間はかかるかも知れませんが。
        親コメント
        • Re:相変わらずの (スコア:2, 参考になる)

          by Anonymous Coward on 2005年11月19日 15時06分 (#834730)
          >>DHCPじゃ発信元の特定ができないというのは間違ってると
          その通りですが、どの道MACアドレスを拾って回らなきゃいかんというのが非現実的でありまして。
          それと、もう一つ怖いのが、生徒なり外部の誰か(←可能性は薄いと思いますが)が勝手にLAN内にノートパソコンなりをつないでもそのまま使えてしまうのが怖い訳です。
          まさに使い勝手/管理・設定の手間/セキュリティレベルのトレードオフを考えて妥協点を見出すしかないわけですが、一応私の方針としては、
          ・発信元特定と管理の為に教職員に固定IP割り振り
          ・ある程度設定が済んだらMACアドレス収集
          ・dhcpd.confに、拾ったMACアドレス:当事者の固定IPアドレスを設定。これで、もしパソコンの再インストールをされて、ネットワークの設定がDHCPに戻った場合でも固定化して使える、と。

          ↑ここまでの作業を行ってる最中です。今後の方針としては、DHCPで登録したMACアドレス以外は無効なIPアドレスを割り振るようにするか、MACアドレスフィルタリングまで掛けるか、様子見の方針です。
          親コメント
          • Re:相変わらずの (スコア:1, すばらしい洞察)

            by Anonymous Coward on 2005年11月19日 19時51分 (#834818)
            オフトピですが、
            MACアドレスなんて、本気で悪いことしたければ、
            簡単に変更できるもんなんで、何かあったときに、
            無実の学生を責めないように気をつけてください。
            linuxだと、
            ifconfig eth0 hw ether xx:xx:xx:xx:xx:xx
            だったっけか。

            # 巷に溢れている、「MACアドレスは世界に唯一無二の、変更不可能なハードウェア識別子」
            # という認識は、さっさとあらためられて欲しいと思う。
            親コメント
            • Re:相変わらずの (スコア:2, すばらしい洞察)

              by beans-beans (28638) on 2005年11月19日 22時40分 (#834900)
              とりあえず、こういったある種の不正な利用については、カジュアルコピーと同じような
              感覚なので、手軽さを奪われればかなりの抑止効果は上がると思います。

              学校現場はそういった意識の高い人と全くない人が
              入り交じっているというくらいの現状なので、
              少し垣根を高くすると抑止効果絶大です。

              でもまぁ、悪いことをするためにそこまで調べ上げて理解できる人は
              公務員としてのあり方についてもきちんと理解できるんだろうなぁとも思います。
              親コメント
          • by Anonymous Coward
            > ある程度設定が済んだらMACアドレス収集

            んな面倒なことせず、「MACアドレス申請制」にすりゃいいんじゃ

            > 無効なIPアドレスを割り振るようにするか
            これも、登録されたMACアドレス以外には割り振らないようにすればと思うんですが
            • by mocchino (13752) on 2005年11月21日 12時29分 (#835605)
              うちは申請制ですね、まぁ所詮300台程度のPCだけど
              会社なので、入退場処理と平行してやりますから
              一回初期設定が済んでしまえば後はあまり問題にならない程度の作業量です。

              一ヶ月に数百人入れ替わるとかはまず無いですから..

              ちなみにisc-dhcpでやってますが、固定とrangeを使い分けてます
              DHCPの効果はもう一つ効果があって、パッチ未適応端末をみつけたら、登録削除で楽に切断が可能になることです
              無論その上で固定で使おうとする人には容赦もいらず徹底的に排除対応に移行出来ます。

              ちなみにDHCPを使った特定MAC限定の非固定宣言はclassを使います
              全部固定だと、学校とかでは辛いでしょうIP資源は大切に?
              class "sample1" {
                match hardware;
              }
              subclass "sample1" 01:XX:XX:XX:XX:XX:XX;

              pool {
                    allow members of "sample1";
                    range 192.168.0.10 192.168.0.20;
              }
              親コメント
      • DHCPサーバのIPアドレス割り当て設定を
        ・ 範囲から順に割り当て
        から
        ・ MACアドレス毎に固定設定
        に変更ではあかんのやろか。
        親コメント
        • by Anonymous Coward on 2005年11月19日 21時04分 (#834850)
          それだと、誰かがMACアドレスを調べてまわらなきゃだめで
          す。職員が数百人単位いると、もう絶望的…

          まさかとは思いますが、調べ方を教えたらみんな調べら
          れると思うほど楽観的じゃないですよね?
          親コメント
          • む。
            比較した上で「数百台手で設定して回った方がまだ楽」という結論でしたか。
            それなら外野がとやかく言うようなことではなかったです。
            お騒がせしました。
            親コメント
          • 接続されたPCのMACアドレスを自動収集するツールなどもあるので、まるっきり絶望的ということもないのでは?

            大抵ハードウェアのシリアルなども取れるのでMACを詐称してもすぐバレます。
            親コメント
            • by Anonymous Coward
              >接続されたPCのMACアドレスを自動収集するツールなどもあるので、まるっきり絶望的ということもないのでは?

              どんな神ツールでもできないことがあります。

              ・収集対象マシンの電源が上がってないときはどうしますか?
              ・L2の向こう側なんかMAC収集できないかも?
              ・使用者や仕様場所との紐付けはどうしましょうかね?
              • まぁ万能というわけには行きませんね。電源に関してはWake on LAN、L2の向こうは…取れたような記憶が。

                使用者や場所との紐付けは手作業ですね。「この部屋のアドレスはこの範囲」とかルールがあればある程度自動化できると思いますが。

                てゆーかそのへん全部済ませたPC支給するべきだと思う。

                #現実はそううまく行かないのは知ってるけどIDで。
                親コメント
          • Re:相変わらずの (スコア:1, すばらしい洞察)

            by Anonymous Coward on 2005年11月20日 23時40分 (#835298)
            問題のIPアドレスだけとめれば、相手から連絡がきますが?

            そのほうが特定に手間がかからない...
            親コメント
          • by bero (5057) on 2005年11月21日 14時47分 (#835693) 日記
            ・とりあえず一定期間フリーで割り当て
            ・dhcpサーバに割り当てたIP:MACアドレス対のログが残るので、それを元に固定割り当てに変更
            (例えば社内webの特定cgiに各自のマシンからアクセスしてもらって名前を入力してもらい、この時名前:IPのLOGを取っておいて固定変更時に許可するIPを決定)

            じゃイカンのですか?
            親コメント
      • Re:相変わらずの (スコア:2, 参考になる)

        by tuneo (2938) on 2005年11月19日 21時56分 (#834885) ホームページ 日記
        DHCPサーバを廃止して固定IPにしなくても、
        host arege1 {
          hardware ethernet aa:bb:cc:dd:ee:ff;
          fixed-address 192.168.0.1;
        }
        なんて感じでdhcpd.confを書けば、DHCPでIPアドレスを割り当てる既存のインフラを壊さずに、あるMACアドレスに割り当てられるIPアドレスを固定できるんじゃありませんでしたっけ?
        親コメント
        • by Anonymous Coward
          それってMACアドレス毎に(新マシン毎追加毎に).confを書き換えなければ逝けないわけで。。。
        • by Anonymous Coward
          それなら新規追加時に固定IPを割り振った方が管理簡単で無いかい?
          一見スマートな方法が何時も効率的とは限らないんで。
      • by Anonymous Coward
        何処も現状は一緒なんですね。
        サーバーにWINMXとかライセンス上共有できないウイルス対策ソフトとか、ライセンス台数を超えてソフトインストールしていたところもあると聞きます。

        # 共有PCでYahoo!にログインしないで下さい、○○さん。あなたのアカウントでログイン出来てますよ。

アレゲは一日にしてならず -- アレゲ研究家

処理中...