アカウント名:
パスワード:
host arege1 { hardware ethernet aa:bb:cc:dd:ee:ff; fixed-address 192.168.0.1;}
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
相変わらずの (スコア:3, 興味深い)
しかも53歳だなんていい年こいた社会人が。
それはそうと、私の知り合いが勤める学校では
教育委員会のネットーワーク管理担当が学校内で接続できるPCなども管理してたので、
個人PCなんぞは普通に校内LANに参加できないようになってるのですが、
この人わざわざ校内接続マシンと自分のマシンLANケーブルを差し替え、
自分のマシンのIPアドレスを変更してまでやってたんでしょうか?
それともこの学校では(神奈川県内全ての学校?)ではLANの規制が緩いのでしょうか?
ちょっとその辺が気になりました。
Re:相変わらずの (スコア:5, 興味深い)
校内LANの設定、アドレス割り振り、サーバの構築と設定、運用を一人でやってますが、学校でネットワーク管理していると色んなことがあるもんです。例えば、生徒が掲示板やチャットを荒らしたり、密かに出会い系サイトに出入りしてたり、教職員が勤務時間中にヤフオク見てたり、果てにはWINMXがどこかで稼動してたり…。
流石に昨今の情勢に鑑み、少なくとも発信元の特定は出来るよう、教職員に個別のIPを割り振り、DHCPを廃止する方向の作業をしてますが、これも周知徹底に時間が掛かってますし。
#WindowsUpdateも周知徹底しようと思ってもこれまたサパーリorz
ウチはネットの利用に関しては比較的寛容な方ではあったんですが、P2Pのトラフィックなんか見ちゃうと、どうしたもんかと思っちゃいますね。とりあえず、要らんポートへのセットアップパケットの通過を禁止したり、squid.confで望ましくないサイトのリストをチマチマ更新したり、そんなんボチボチやっているです。
#教職員へのIPアドレス割り振り・設定が一段落したら、arpでMACアドレスを拾って、MACで制限を掛ける方向に持っていく予定。
ま、私はネットの設定に関しては全権委任されてるわけですが、似たような境遇の方々はどんな設定されてますかね?<パケットフィルタとかsquidの設定とか色々云々。
Re:相変わらずの (スコア:2, 参考になる)
>出来るよう、教職員に個別のIPを割り振り、DHCPを
>廃止する方向の作業をしてますが、これも周知徹底に
>時間が掛かってますし。
DHCPじゃ発信元の特定ができないというのは間違ってると
思いますが……
手間はかかるかも知れませんが。
Re:相変わらずの (スコア:2, 参考になる)
その通りですが、どの道MACアドレスを拾って回らなきゃいかんというのが非現実的でありまして。
それと、もう一つ怖いのが、生徒なり外部の誰か(←可能性は薄いと思いますが)が勝手にLAN内にノートパソコンなりをつないでもそのまま使えてしまうのが怖い訳です。
まさに使い勝手/管理・設定の手間/セキュリティレベルのトレードオフを考えて妥協点を見出すしかないわけですが、一応私の方針としては、
・発信元特定と管理の為に教職員に固定IP割り振り
・ある程度設定が済んだらMACアドレス収集
・dhcpd.confに、拾ったMACアドレス:当事者の固定IPアドレスを設定。これで、もしパソコンの再インストールをされて、ネットワークの設定がDHCPに戻った場合でも固定化して使える、と。
↑ここまでの作業を行ってる最中です。今後の方針としては、DHCPで登録したMACアドレス以外は無効なIPアドレスを割り振るようにするか、MACアドレスフィルタリングまで掛けるか、様子見の方針です。
Re:相変わらずの (スコア:1, すばらしい洞察)
MACアドレスなんて、本気で悪いことしたければ、
簡単に変更できるもんなんで、何かあったときに、
無実の学生を責めないように気をつけてください。
linuxだと、
ifconfig eth0 hw ether xx:xx:xx:xx:xx:xx
だったっけか。
# 巷に溢れている、「MACアドレスは世界に唯一無二の、変更不可能なハードウェア識別子」
# という認識は、さっさとあらためられて欲しいと思う。
Re:相変わらずの (スコア:2, すばらしい洞察)
感覚なので、手軽さを奪われればかなりの抑止効果は上がると思います。
学校現場はそういった意識の高い人と全くない人が
入り交じっているというくらいの現状なので、
少し垣根を高くすると抑止効果絶大です。
でもまぁ、悪いことをするためにそこまで調べ上げて理解できる人は
公務員としてのあり方についてもきちんと理解できるんだろうなぁとも思います。
Re:相変わらずの (スコア:0)
んな面倒なことせず、「MACアドレス申請制」にすりゃいいんじゃ
> 無効なIPアドレスを割り振るようにするか
これも、登録されたMACアドレス以外には割り振らないようにすればと思うんですが
Re:相変わらずの (スコア:1)
会社なので、入退場処理と平行してやりますから
一回初期設定が済んでしまえば後はあまり問題にならない程度の作業量です。
一ヶ月に数百人入れ替わるとかはまず無いですから..
ちなみにisc-dhcpでやってますが、固定とrangeを使い分けてます
DHCPの効果はもう一つ効果があって、パッチ未適応端末をみつけたら、登録削除で楽に切断が可能になることです
無論その上で固定で使おうとする人には容赦もいらず徹底的に排除対応に移行出来ます。
ちなみにDHCPを使った特定MAC限定の非固定宣言はclassを使います
全部固定だと、学校とかでは辛いでしょうIP資源は大切に?
class "sample1" {
match hardware;
}
subclass "sample1" 01:XX:XX:XX:XX:XX:XX;
pool {
allow members of "sample1";
range 192.168.0.10 192.168.0.20;
}
Re:相変わらずの (スコア:2)
・ 範囲から順に割り当て
から
・ MACアドレス毎に固定設定
に変更ではあかんのやろか。
Re:相変わらずの (スコア:1, 興味深い)
す。職員が数百人単位いると、もう絶望的…
まさかとは思いますが、調べ方を教えたらみんな調べら
れると思うほど楽観的じゃないですよね?
Re:相変わらずの (スコア:1)
比較した上で「数百台手で設定して回った方がまだ楽」という結論でしたか。
それなら外野がとやかく言うようなことではなかったです。
お騒がせしました。
Re:相変わらずの (スコア:1)
大抵ハードウェアのシリアルなども取れるのでMACを詐称してもすぐバレます。
Re:相変わらずの (スコア:0)
どんな神ツールでもできないことがあります。
・収集対象マシンの電源が上がってないときはどうしますか?
・L2の向こう側なんかMAC収集できないかも?
・使用者や仕様場所との紐付けはどうしましょうかね?
Re:相変わらずの (スコア:1)
使用者や場所との紐付けは手作業ですね。「この部屋のアドレスはこの範囲」とかルールがあればある程度自動化できると思いますが。
てゆーかそのへん全部済ませたPC支給するべきだと思う。
#現実はそううまく行かないのは知ってるけどIDで。
Re:相変わらずの (スコア:1, すばらしい洞察)
そのほうが特定に手間がかからない...
Re:相変わらずの (スコア:1)
・dhcpサーバに割り当てたIP:MACアドレス対のログが残るので、それを元に固定割り当てに変更
(例えば社内webの特定cgiに各自のマシンからアクセスしてもらって名前を入力してもらい、この時名前:IPのLOGを取っておいて固定変更時に許可するIPを決定)
じゃイカンのですか?
Re:相変わらずの (スコア:2, 参考になる)
Re:相変わらずの (スコア:0)
Re:相変わらずの (スコア:0)
一見スマートな方法が何時も効率的とは限らないんで。
Re:相変わらずの (スコア:0)
サーバーにWINMXとかライセンス上共有できないウイルス対策ソフトとか、ライセンス台数を超えてソフトインストールしていたところもあると聞きます。
# 共有PCでYahoo!にログインしないで下さい、○○さん。あなたのアカウントでログイン出来てますよ。