• ベストアンサー
※ ChatGPTを利用し、要約された質問です(原文:不正なサービスの起動元の特定について)

不正なサービスの起動元の特定について

このQ&Aのポイント
  • 50人程度の会社の管理をしています。以下のセキュリティ関連のインシデントが発生しており、対策を考えています。
  • 1.社内で資源登録外のネットワーク機器(特に無線機器)が持ち込まれる。2.DHCPサービスが社内で不正に起動され、社内PCがそちらからIPを取得してしまう。両者の関連性は不明ですが、1の結果、2が発生したことも考えられます。
  • Q1.「1」について、「不正に持ち込んだ機器を社内LANに接続させない」、または接続した際に「アラートを発生させる」ソリューションはありますでしょうか?。Q2.「2」について、不正なサービスが起動された時点で、その起動したPCの特定などをする方法はありますでしょうか?。ご意見を頂けると助かります。

質問者が選んだベストアンサー

  • ベストアンサー
  • Wr5
  • ベストアンサー率53% (2173/4061)
回答No.1

>Q1. >「1」について、「不正に持ち込んだ機器を社内LANに接続させない」、または接続した際に >「アラートを発生させる」ソリューションはありますでしょうか?。 検疫ネットワークとかネットワーク接続制限とかで検索すると、なんらか見つかるかと。 未登録のMACアドレスの機器の接続を拒否する。とかですね。 # 勝手に固定IP降られている場合にどう対応するのかは不明ですが……。 # そこら辺は提供元に問い合わせて下さい。 >Q2. >「2」について、不正なサービスが起動された時点で、その起動したPCの特定などをする >方法はありますでしょうか?。 通信内容まで確認する必要がありますから、どうなんでしょうかねぇ……。 DHCPに限って言えばWireSharkでパケットキャプチャしながら確認することで対象のMACアドレスを取得できるかも知れません。 # 既存のDHCPサーバを止めた状態でリクエストを発行すれば、対象機器が応答するかと。 # 取得できたMACアドレスのベンダーコードでメーカーがある程度特定できる……かも知れません。 あとは……スイッチングHUBなどでネットワーク別けているでしょうから、それぞれのスイッチングHUBの上流側のケーブルを抜いた状態で同様の方法で取得していけば、どのHUB配下に繋がっているのかは探せるのではないでしょうか? 対象のMACアドレスが判明したら、上流のルータで禁止させる。というのもアリでしょうかね。 # 外と通信できなければ勝手に設置した人も諦めるかと…。 今後、同様の問題を発生させない為には、罰則などを規定する必要もあるかも知れませんね。 その場合、上長やセキュリティ担当・社長などに掛け合う必要があるでしょう。

noname#185813
質問者

お礼

詳細なご説明を有難うございました。 今後の運用の見直しにて、ご意見を参考にさせて頂きます。

関連するQ&A

専門家に質問してみよう