MACアドレスフィルタリングについて

 「LAN上に接続する端末を制限したい」という要望を耳にすることがあります。業務用として購入した端末以外接続させたくない、BYODを許可しているけども、無制限に認めたくはないといったケースが想定されます。
 接続端末を制限する方法はいくつか考えられますが、1つの方法としてMACアドレスフィルタリングが挙げられます。

~「macアドレス」ではなく「MACアドレス」~

 MACアドレスとは、Media Access Control Addressの略です。PCやスマホ・タブレットなどのネットワークインターフェースが持つ一意に割り振られた「固有番号」です。
 「mac」としてしまうと、AppleのMacintoshを連想してしまいます。大文字で「MAC」と記述するのが正しいです。(余談)

 Windowsでは、コマンドプロンプトやWindows PowerShell上で “ipconfig /all”と入力すると、「物理アドレス」の欄に**-**-**-**-**-**というように表示されている項目があるはずです。ここで表示されている「物理アドレス」のことをMACアドレスと呼びます。
 余談になりますが、MACアドレスのことを物理アドレスと呼ぶのに対し、IPアドレスのことを論理アドレスと呼ぶことがあります。

~「フィルタリング≠認証」である点に注意~

 MACアドレスが一意であることを利用して、あらかじめ登録したMACアドレスを持つ機器(正確にはネットワークインターフェース)のみネットワークに接続出来るようにした仕組みです。
 ここで注意しておきたいのは、「MACアドレスフィルタリング」であって、「MACアドレス認証」ではないという点です。リストに登録されているMACアドレス以外の値を持つネットワークインターフェースからは接続を拒否するようになっています。判断基準は「リストに載っているかいないか」です。
 あくまで「フィルタリング」であって、「認証」をしているわけではありませんので、御注意下さい。

~無線LANでは接続しなくてもMACアドレスは見えてしまう~

 MACアドレスフィルタリングは、ルータ等のネットワーク機器で行います。機種によってGUIかCUIか登録方法が異なりますが、機器内のリストに登録して行くという点では共通です。
 スイッチングハブの空きポートに登録されていない機器(ネットワークインターフェース)を接続しても通信出来ません。有線LANの場合はポートに接続することで(ネットワーク上で)MACアドレスが見えます。
 ただ、無線LANに関しては有効性は低いと言われています。MACアドレスは暗号化されていませんので、無線LANに接続せずとも電波をモニターしていれば見えてしまいます。モニターしたことによって得られたMACアドレスに偽装するというようなことも考えられます。

~無線LANの場合は事前共有鍵やIEEE802.1X認証をしっかりと~
 
 有線LANの場合は空きポート(既存の差し替えを含む)に物理的に接続しに来る者を防げば良いので一定の効果はあります。無線LANの場合は無線APの近くで電波をモニターしていれば登録されている機器のMACアドレスを知ることが出来ます。
 無線LANでは、事前共有鍵やIEEE802.1Xを用いた認証で接続出来る端末を限定すれば十分です。(接続情報の管理は適切に行う必要はありますが)MACアドレスフィルタリングの必要はありません。むしろ、MACアドレスフィルタリングだけでセキュリティ対応した気になっている方が危険です。(そういう事例がありましたね…)

~有線LANの中小規模環境で利用するなら~

 余談になりますが、一部のYAMAHAルータでMACアドレスフィルタリング設定に関する記事があります。
https://network.yamaha.com/setting/router_firewall/security/lan_side/mac
この例を見ても分かりますように、有線LANでの事例として記されています。MACアドレスフィルタリングは有線と無線の場合では全く意味合いが異なってきます。有線LAN環境で目が届く規模での利用には一定の有効性はあると考えられます。(本格的にやろうとするなら、有線でもIEEE802.1X認証というような話になってくるのでしょうが…)
MACアドレスフィルタリングについて

  • このエントリーをはてなブックマークに追加

コメントをどうぞ