不正なサービスの起動元の特定について

よろしくお願いします。

50人程度の会社の管理をしています。

以下のセキュリティ関連のインシデントが発生しており、対策を考えています。

１．社内で資源登録外のネットワーク機器（特に無線機器）が持ち込まれる
２．DHCPサービスが社内で不正に起動され、社内PCがそちらからIPを取得してしまう

両者の関連性は不明ですが、１の結果、２が発生したことも考えられます。

Q1.
「１」について、「不正に持ち込んだ機器を社内LANに接続させない」、または接続した際に
「アラートを発生させる」ソリューションはありますでしょうか？。

Q2.
「２」について、不正なサービスが起動された時点で、その起動したPCの特定などをする
方法はありますでしょうか？。

ご意見を頂けると助かります。

No.1 ベストアンサー 回答者： Wr5 回答日時： 2013/05/13 08:44

>Q1.

>「１」について、「不正に持ち込んだ機器を社内LANに接続させない」、または接続した際に
>「アラートを発生させる」ソリューションはありますでしょうか？。

検疫ネットワークとかネットワーク接続制限とかで検索すると、なんらか見つかるかと。
未登録のMACアドレスの機器の接続を拒否する。とかですね。
# 勝手に固定IP降られている場合にどう対応するのかは不明ですが……。
# そこら辺は提供元に問い合わせて下さい。

>Q2.
>「２」について、不正なサービスが起動された時点で、その起動したPCの特定などをする
>方法はありますでしょうか？。

通信内容まで確認する必要がありますから、どうなんでしょうかねぇ……。
DHCPに限って言えばWireSharkでパケットキャプチャしながら確認することで対象のMACアドレスを取得できるかも知れません。
# 既存のDHCPサーバを止めた状態でリクエストを発行すれば、対象機器が応答するかと。
# 取得できたMACアドレスのベンダーコードでメーカーがある程度特定できる……かも知れません。
あとは……スイッチングHUBなどでネットワーク別けているでしょうから、それぞれのスイッチングHUBの上流側のケーブルを抜いた状態で同様の方法で取得していけば、どのHUB配下に繋がっているのかは探せるのではないでしょうか？

対象のMACアドレスが判明したら、上流のルータで禁止させる。というのもアリでしょうかね。
# 外と通信できなければ勝手に設置した人も諦めるかと…。

今後、同様の問題を発生させない為には、罰則などを規定する必要もあるかも知れませんね。
その場合、上長やセキュリティ担当・社長などに掛け合う必要があるでしょう。

この回答へのお礼

詳細なご説明を有難うございました。
今後の運用の見直しにて、ご意見を参考にさせて頂きます。

お礼日時：2013/05/20 21:43