- PR -

利用端末を限定したいと言われて

1
投稿者投稿内容
masatok2
ベテラン
会議室デビュー日: 2003/10/05
投稿数: 81
投稿日時: 2004-11-04 15:59
ASP.NET C# WEBアプリケーション

おしえてください。
本店に1台のサーバーを構築し、支店の店長端末からのみアクセスを受ける
WEBシステムを開発しております。

依頼主からの依頼内容(依頼主曰く)

「ユーザーID&パスワード認証」だけでは条件を満たさない。
《端末を限定》して欲しいと言う事なのです。

MACアドレスを取得する方法と言う方法が頭に浮かびますが、
可能でしょうか?(セキュリティホール系な気もします)

それ以外の方法でも「端末を限定」する様なノウハウをお持ちの方
おりましたらよろしくおねがいします。
mso
ぬし
会議室デビュー日: 2003/12/04
投稿数: 496
お住まい・勤務地: 宮城
投稿日時: 2004-11-04 16:11
引用:

masatok2さんの書き込み (2004-11-04 15:59) より:
ASP.NET C# WEBアプリケーション

おしえてください。
本店に1台のサーバーを構築し、支店の店長端末からのみアクセスを受ける
WEBシステムを開発しております。

依頼主からの依頼内容(依頼主曰く)

「ユーザーID&パスワード認証」だけでは条件を満たさない。
《端末を限定》して欲しいと言う事なのです。

MACアドレスを取得する方法と言う方法が頭に浮かびますが、
可能でしょうか?(セキュリティホール系な気もします)

それ以外の方法でも「端末を限定」する様なノウハウをお持ちの方
おりましたらよろしくおねがいします。


個人的にはIPアドレスを取得するほうがいいと思いますが、
だめですか?
ただ、ユーザIDとパスワードだけで駄目というのは
どういうことなのでしょうか?

独自に指紋とかの認証する仕組みをつくれってことでしょうか?
たつごろー
ぬし
会議室デビュー日: 2004/10/25
投稿数: 496
投稿日時: 2004-11-04 16:21
PCを特定するにはいろんな方法があります。

条件をもう少し絞ってみてください。

ActiveDirectoryは使ってる?
インターネット接続でしょうか。

インターネット経由で、クライアント側にプログラムをなにも入れたくないという条件なら、ServerVariablesで拾える情報のどれかで満足しなきゃいけないかもしれないです。
他になにかいい手があるのかもしれないけど。

_________________
たつごろー
codeseek
こみゅぷらす
masatok2
ベテラン
会議室デビュー日: 2003/10/05
投稿数: 81
投稿日時: 2004-11-04 16:27
支店のネット接続環境が「IPアドレス自動取得」の設定で、
IP固定していないから、端末の限定に使えないそうなのです。

インターネット経由でクライアントにはプログラムを入れないという条件です。
芸達者
ぬし
会議室デビュー日: 2003/09/19
投稿数: 356
お住まい・勤務地: どこかに住んでます/品川区某所
投稿日時: 2004-11-04 16:34
こんにちは〜 芸達者です。

 多分、端末を店長だけにと言うのは、店内がDHCPで構築されていて
 毎日、IPアドレスが変る可能性がある。というのと、
 多分ですが、転勤がありその先でも使わせると言う意図があっての事では?
 と考えると、端末を使う際にハード的に認証させてそれを引き継ぐ形で
 本店のサーバに入る仕組みにするのが簡単かと思います。
 認証させるには、USBキーを使用するものとICカードを使用するもの
 その他に、指紋認証の物が製品化されています。
 USBの有名どころとして、アラジンの「Etoken」が有名ですね。
 (開発キットもあります)
 ICカード系では、最近SONYのフィリカを使用してというのが出て
 来ています。
 認証としては、PKIを使用するか?RSAを使用するか?その他を使用
 するか? という感じになっています。
 そのため、そのツールが構築する前提で提案は可能ではないでしょうか?

 ちなみに、先月、セキュリティ ソリューション2004がありましたので
 ホームページに行けば、リンクが張られたままになっている筈です。

ご参考までに


 

[ メッセージ編集済み 編集者: 芸達者 編集日時 2004-11-04 16:35 ]
えんぞ@?
ぬし
会議室デビュー日: 2004/07/06
投稿数: 271
お住まい・勤務地: はまっこ
投稿日時: 2004-11-04 16:50
ネットワーク系には精通してないですが。
引用:

masatok2さんの書き込み (2004-11-04 16:27) より:
支店のネット接続環境が「IPアドレス自動取得」の設定で、

これはプライベートIPアドレスのことじゃないのでしょうか?
であれば、グローバルIPアドレスのチェックでよさそうな気もします。
ServerVariables("REMOTE_ADDR")
rvmx
大ベテラン
会議室デビュー日: 2002/09/26
投稿数: 184
お住まい・勤務地: 愛媛県
投稿日時: 2004-11-04 19:20
今日は

一般的に言って、言われているような環境でIPやMACアドレス等で端末の特定はムリです。
MACアドレスは小さなイントラネットでなら可能ですが、ノードを超えるたびにMACアドレスは書き換えられる為インターネットの様な環境では
使えません。
又、IPもプロードバンドルータやプキシ等による代理応答やNATにより、ルータやプロキシサーバーのIPが判明するだけです、その下にある端末は識別できません。
且つ、指紋・ICタグその他の各種物理認証にもソフトを追加しないで行うのは難しいです。
可能性としては、VPNなどで使っている端末認証(認証局による第三者認証)が考えられるのでは無いかと思います。
銀狼
会議室デビュー日: 2004/11/04
投稿数: 12
投稿日時: 2004-11-05 01:41
こんにちは、銀狼です。

他の方も言われるようにVPNでクライアント証明書をしようするのがいいかなと思います。

具体的にはWindows2000 Server以上についてくる、PPTPサーバーをつかってVPNの接続を行いその接続が確立したら、その上でさらにHTTPSを使って通信するとすればだいぶん強固になるはずです。PPTPのクライアントはWindows2000以上であれば標準でインストールされますし、クライアント証明書も利用できると思います。

これであれば、クライアント証明書がなければ接続できないので、特定のマシン(クライアント証明書があるマシン)という条件を満たせるような気がします。
自分で実際設定したわけではにですが、一つの可能性として参考にしてみてください。

あと、蛇足ですがMACアドレスほど詐称しやすいものはないので一番信用ならないです。
データリンク層を暗号化するのは基本的に聞いたことがありませんし、MACアドレスを使った処理はブロードキャストを多用するのでパケットキャプチャとかで簡単に取得可能です。
1

スキルアップ/キャリアアップ(JOB@IT)