- - PR -
利用端末を限定したいと言われて
1
投稿者 | 投稿内容 | ||||
---|---|---|---|---|---|
|
投稿日時: 2004-11-04 15:59
ASP.NET C# WEBアプリケーション
おしえてください。 本店に1台のサーバーを構築し、支店の店長端末からのみアクセスを受ける WEBシステムを開発しております。 依頼主からの依頼内容(依頼主曰く) 「ユーザーID&パスワード認証」だけでは条件を満たさない。 《端末を限定》して欲しいと言う事なのです。 MACアドレスを取得する方法と言う方法が頭に浮かびますが、 可能でしょうか?(セキュリティホール系な気もします) それ以外の方法でも「端末を限定」する様なノウハウをお持ちの方 おりましたらよろしくおねがいします。 | ||||
|
投稿日時: 2004-11-04 16:11
個人的にはIPアドレスを取得するほうがいいと思いますが、 だめですか? ただ、ユーザIDとパスワードだけで駄目というのは どういうことなのでしょうか? 独自に指紋とかの認証する仕組みをつくれってことでしょうか? | ||||
|
投稿日時: 2004-11-04 16:21
PCを特定するにはいろんな方法があります。
条件をもう少し絞ってみてください。 ActiveDirectoryは使ってる? インターネット接続でしょうか。 インターネット経由で、クライアント側にプログラムをなにも入れたくないという条件なら、ServerVariablesで拾える情報のどれかで満足しなきゃいけないかもしれないです。 他になにかいい手があるのかもしれないけど。 _________________ たつごろー codeseek こみゅぷらす | ||||
|
投稿日時: 2004-11-04 16:27
支店のネット接続環境が「IPアドレス自動取得」の設定で、
IP固定していないから、端末の限定に使えないそうなのです。 インターネット経由でクライアントにはプログラムを入れないという条件です。 | ||||
|
投稿日時: 2004-11-04 16:34
こんにちは〜 芸達者です。
多分、端末を店長だけにと言うのは、店内がDHCPで構築されていて 毎日、IPアドレスが変る可能性がある。というのと、 多分ですが、転勤がありその先でも使わせると言う意図があっての事では? と考えると、端末を使う際にハード的に認証させてそれを引き継ぐ形で 本店のサーバに入る仕組みにするのが簡単かと思います。 認証させるには、USBキーを使用するものとICカードを使用するもの その他に、指紋認証の物が製品化されています。 USBの有名どころとして、アラジンの「Etoken」が有名ですね。 (開発キットもあります) ICカード系では、最近SONYのフィリカを使用してというのが出て 来ています。 認証としては、PKIを使用するか?RSAを使用するか?その他を使用 するか? という感じになっています。 そのため、そのツールが構築する前提で提案は可能ではないでしょうか? ちなみに、先月、セキュリティ ソリューション2004がありましたので ホームページに行けば、リンクが張られたままになっている筈です。 ご参考までに [ メッセージ編集済み 編集者: 芸達者 編集日時 2004-11-04 16:35 ] | ||||
|
投稿日時: 2004-11-04 16:50
ネットワーク系には精通してないですが。
これはプライベートIPアドレスのことじゃないのでしょうか? であれば、グローバルIPアドレスのチェックでよさそうな気もします。 ServerVariables("REMOTE_ADDR") | ||||
|
投稿日時: 2004-11-04 19:20
今日は
一般的に言って、言われているような環境でIPやMACアドレス等で端末の特定はムリです。 MACアドレスは小さなイントラネットでなら可能ですが、ノードを超えるたびにMACアドレスは書き換えられる為インターネットの様な環境では 使えません。 又、IPもプロードバンドルータやプキシ等による代理応答やNATにより、ルータやプロキシサーバーのIPが判明するだけです、その下にある端末は識別できません。 且つ、指紋・ICタグその他の各種物理認証にもソフトを追加しないで行うのは難しいです。 可能性としては、VPNなどで使っている端末認証(認証局による第三者認証)が考えられるのでは無いかと思います。 | ||||
|
投稿日時: 2004-11-05 01:41
こんにちは、銀狼です。
他の方も言われるようにVPNでクライアント証明書をしようするのがいいかなと思います。 具体的にはWindows2000 Server以上についてくる、PPTPサーバーをつかってVPNの接続を行いその接続が確立したら、その上でさらにHTTPSを使って通信するとすればだいぶん強固になるはずです。PPTPのクライアントはWindows2000以上であれば標準でインストールされますし、クライアント証明書も利用できると思います。 これであれば、クライアント証明書がなければ接続できないので、特定のマシン(クライアント証明書があるマシン)という条件を満たせるような気がします。 自分で実際設定したわけではにですが、一つの可能性として参考にしてみてください。 あと、蛇足ですがMACアドレスほど詐称しやすいものはないので一番信用ならないです。 データリンク層を暗号化するのは基本的に聞いたことがありませんし、MACアドレスを使った処理はブロードキャストを多用するのでパケットキャプチャとかで簡単に取得可能です。 |
1