カテゴリ:

Winnyなどによるファイル流出が止まず、頭の痛い人が多いでしょうが私物PCの持込みを制限する方法はもちろんいろいろあります。スイッチで登録したMACアドレスだけを利用可能とするとか、これはちょっといいスイッチを買えば普通出来ます。無線LANももちろん登録したMACアドレスだけの制限も可能です。

MACアドレスは各PC(正確にはNIC)に割り当てられた番号のようなもので、世界中で重複しないものが利用されているはずです。ということで社内PCのMACアドレスを調べて登録し、それ以外使えないようにすればとりあえず問題解決。

しかしこの方法は当然ながら結構面倒です。そこで便利なのがarpwatchというプログラム。これを使うと勝手に監視してくれます。Red Hat系であればこんな感じでインストールできるはず。

# yum install arpwatch
# chkconfig arpwatch on
# service arpwatch start

上記手順で起動後はネットワークを監視し、新しいMACアドレスが見つかるたびにrootユーザ宛て(変更可)に下記のようなメールを送ります。最初は当然ながら接続されているすべてのネットワーク機器が通達されるわけです。

Subject: new station

      hostname: <unknown>
      ip address: 192.168.0.33
      ethernet address: 0:e3:c8:ea:27:ec
      ethernet vendor: ABC COMPUTER INC.
      timestamp: Tuesday, Mar 7, 2006 12:04:21 +0900

それとログにも保存されます。

# tail /var/log/messages
May 17 13:02:33 myserver arpwatch: new station 192.168.0.12 0c:a2:18:1d:4e:df

ちなみに発見されたMACアドレスは/var/arpwatch/arp.datに保存されます。これ以降は新しいPCなどが接続されるとすぐ分かりますので、管理者が目で見張る必要は少なくともなくなります。

それとMACアドレスの前6桁は製造メーカごとに割り当てられていて、下記のページで調べられます。000A27はApple Computer, Inc.とか、すぐに分かるわけです。

IEEE OUI and Company_id Assignments