日本語フォーラム

Reply
Aruba Employee
Posts: 29
Registered: ‎03-19-2013

無線LANでWindows XP対策

[ Edited ]

みなさんご存知の通り、脆弱性があり、社内・学内ネットワークに接続させると非常に危険なWindows XP。

Arubaの無線LANは、Windows XPを排除する無線LANを簡単に構築できます。:smileywink:

 

Windows XPを識別するのに、DHCPのFingerprintというのを使います。

実は、DHCPのOption 55/60 の中にはOS固有の数値が入っており、

それによってWindows XPなのかWindows 7/8なのか、MacなのかiPhoneなのか、

そういったデバイスのOSを識別することが出来ます。

Arubaの場合は、そのFingerprintの情報を元にRole設定が可能なので、

  • Windows XPはどこにもアクセスさせない
  • Captive Portalを使って、Windows XPがアクセスしてきたら警告画面をブラウザで表示

といったことがめちゃくちゃ簡単にできてしまいます。

以下が、簡単な設定例です。

 

aaa derivation-rules user win-xp
 set role condition dhcp-option equals "37010f03062c2e2f1f21f92b" set-value winxp

↓上記derivation ruleをaaa profileに適用するだけ!
aaa profile deny-win-xp
user-derivation-rules win-xp

Fingerprintについては、以下のドキュメントにも詳細が載っているので、

興味がある方は、こちらもご参照下さい。

http://www.arubanetworks.com/vrd/AOSDHCPFPAppNote/wwhelp/wwhimpl/js/html/wwhelp.htm 

 

Windows XP 以外のFingerprintの情報は上記URLでも一部公開していますが、

Arubaのコントローラのログで確認することもできます。

参考までにそのログを以下に記載しておきます。(ログはWindows 7 のものです)

■以下のログを有効化:
logging level debug network subcat dhcp

■ログは以下のコマンドで確認:
show log network all | include Option
Jul 11 23:23:21 :202536:  <DBUG> |dhcpdwrap| |dhcp| Datapath vlan1: REQUEST 00:24:2c:20:ad:9d Transaction ID:0xd08a4e64 reqIP=10.215.1.31 Options 3d:0100242c20ad9d 0c:61727562612d5043 51:00000061727562612d50432e6b7368696d6f6e6f2e6e6574 3c:4d53465420352e30 37:010f03062c2e2f1f2179f92b