| ■ルーター |
| |
| パソコン一台でインターネットにつなげていたところ、ブロードバンドルーターを導入することにしました。 |
| 無線LANを利用すれば、複数のパソコンとやりとりできます。またLANケーブルを引く手間も省けます。 |
| さらに何台かのパソコンを追加で購入し、すべてのパソコンから外部(ネット)へ接続できるようにしました。 |
| 環境は次のように変わったことになります。 |
| |
| 無線LANを導入すると、設定しておかねばならないことがいくつかあります。 |
| 何も設定しないままだと、データを丸裸のまま飛ばすことになりますから。 |
| 他人に拾われたら解読され、しかも自分の用意したアクセスポイントには、つなぎ放題ということになります。 |
| 下の画面写真をみてください。無線LANの環境を構築したことがあれば、見覚えがあるはずです。 |
| |
 |
| |
| 無線LANの接続環境を作っていると、アクセスポイントを探す場面に出くわしたはずです。 |
| このとき自動的にアクセスポイントを検出しませんでしたか? もし誰かがノート型パソコンを持ってきて、 |
| 庭で同じことしたとしましょう。あなたのアクセスポイントは検出されてしまうことになります。 |
| そんなことにならないように、次のセキュリティ対策をほどこしておきましょう。 |
| |
| |
| 無線LANのセキュリティ |
| |
| 無線LANには、主に3つのセキュリティ機能がついています。 |
| |
| ESS-ID |
同じネットワークに属していることを識別する認証名です。店舗や会場など、同じ場所でいくつもの無線LAN機器があると、混信が生じてしまいます。ESS-IDを設定しておけば、送受信の対象が分かっているために、混信しなくてすみます。 |
| WEP |
通信を暗号化するための暗号化キーです。親機と子機の両方に設定します。暗号化してしまえば、たとえデータを拾われても解析するのは難しくなります(解析するのが難しくなるわけであって、拾われなくなるわけではありません。
電波の届く範囲なら簡単に接続されてしまいます。また接続して通信を行うことと、電波を拾うことは違います)。 |
| MACアドレス |
パソコン、LANカード、プリンタなど無線LAN環境を構築できる機器に振られた識別番号です。同じ番号は存在しないので、電波の受信先を登録しておけば第三者のパソコンによる接続を遮断できます。 |
|
| |
| これだけやっておけば安心かというと、そうではありません。 |
| これらはやらないより、やっておいたほうがセキュリティが高まるくらいの類(たぐい)です。 |
| 同じ環境を有線LANで構築したときと比べると、パフォーマスが落ちています。 |
| |
| 無線であるために暗号化しなければならないので、解読に手間がかかります。 |
| 有線LANなら、そんな作業をせずにすみます。また無線でデータを飛ばしているため、障害物があると迂回しなければなりません。 |
| そうすると通信速度を落として、通信の品質を保とうとします。結果、通信速度が遅くなるのです。 |
| |
| 毎秒11Mbpsと書かれていたからといって、実際にそれだけの速度を保っているかといえば、まずそんなことはありません。 |
| 同じ部屋で使うのなら、無線LANにするメリットはないです。繰り返しますが、同じ環境を作るなら有線LANのほうが何かと速いのです。 |
| |
| さて、上記のセキュリティ対策を行ったとしても、インターネットからやってくる不正攻撃にはまったく対処されていません。 |
| たくさんある窓は閉めたけど、玄関が開けっ放しという状態です。ESS-IDやWEPというのは無線LANのためのセキュリティであって、 |
| ルーターのセキュリティではありません。無線LANなるものが世にでる前、LANケーブルにからまりながら、ルーターを使っていた |
| 経験のあるひとなら、この違いは明確に分かると思います。 |
| |
| 最近はルーターと無線LANの機能をひとつの機器に入れているため、どこまでがルーターの機能なのか分かりにくくなっています。 |
| ルーターの設定など、ややこしいので製造者側も黙して語らないところがあるような気がします。 |
| (LANボードを買っても、まともな説明書がついておらず、付属のCDマニュアルを見ても、全然分からんという経験はないでしょうか?) |
| |
| 無線LANについては以上で終わります。次に、ルーターのセキュリティについて解説をします。 |
| |
| |
| ルーターのセキュリティ |
| |
|
あなたの使っている機器が無線LANとルーターの機能をあわせたものだとしましょう。 |
| 無線LANの設定もルーターの設定画面で行うことになります。たいていはユーザーIDとパスワードを要求するログイン画面が表示されて、 |
| ブラウザ上で設定することになります。 |
| |
| LAN環境が下図の右のようであったとき、ルーターの設定はどのパソコンから行えばよいのでしょうか。 |
| |
 |
| |
| 無線LANを使いはじめる前は、パソコンを直接ネット上につないでいました(上図の左)。 |
| 無線LANに環境を変えた今も、捨てるにはしのびずに使っています。このパソコンはルーターに直接つないでいます。 |
| |
| ひとむかし前は、家庭内でコードレス電話を使っていると、親機のほうでさまざまな設定をしていました。 |
| 現在では子機でも十分に設定できるようになっています。できない設定というと、FAXとかコピーの機能くらいでしょう。 |
| この親機と子機という言葉が無線LANにも登場します。 |
| しかし、同じような感覚で無線LANをとらえると誤った解釈になりやすいものです。 |
| |
| |
| はじめて無線LANの設定をするとき、だいたい次のような手順で行うものです。 |
|
| 1.古いパソコンでルーターの設定画面へログインする |
| 2.ESS-ID、WEP、MACアドレスを設定する |
| 3.新しいパソコンを起動してアクセスポイントを探す |
| |
| ここで親機をルーター(無線LAN)に直接つないでいるパソコンだと解釈してしまいがちです。 |
| 実際に設定を行ったので体験から親機だと思ってしまうのです。当然、子機は上図でいうとノート型パソコンになります。 |
| コードレス電話そのままの解釈になっています。どちらも誤ったとらえ方をしています。 |
| |
| ルーター(無線LAN)の設定は、上図(右)にでている全てのパソコンでできます。 |
| もちろんユーザーIDとパスワードを知っている必要があります。無線LANの環境では、ルーターそのものが親機になります。 |
| |
  |
| 間違っている解釈 こっちが正解 |
| |
| 繰り返しますが、ルーター(無線LAN)の設定は、すべてのパソコンでできます。 |
| もちろん、ここで述べている「すべて」とは、接続の許可されたパソコンならば、という意味です。 |
| さきほど触れたように、MACアドレスやESS-IDの設定などで、通信できるパソコンを識別しています。 |
| |
| パケットフィルタリング |
ルータを通過させるIPアドレスやポート番号を決めておきます。そうすることで、正しいパケットのみを通し、不正なパケットを遮断できます。パケットを検査するため、通信速度がやや下がります。 |
| NAT/IPマスカレード |
何もしない状態で十分です。NAT/IPマスカレードは、外部からの接続を許可するリストを作るものです。何も設定していない状態(リストのない状態)では、外から接続できるものがないということです。
なんのためにこんなものがあるのかというと、自宅サーバーを作るときに必要とするからです。好き勝手に使われると困りますから、メールの送受信は許可するけど、ファイルのアップロードは認めない、といったことを設定します。 |
|
| |
| パソコンを自宅サーバーとして使わない限り、NAT/IPマスカレードの設定はしなくていいので省略します。 |
| では、パケットフィルタリングについて解説します。 |
| |
| |
| パケットフィルタリング |
| |
| 膨大なデータがネット上を流れるとき、いくつかのかたまりに分割されて流れています。このかたまりのことをパケットと呼びます。 |
| パケットにはデータ本体と、宛先(送信先)の書かれたヘッダと呼ばれる部分があります。 |
| |
| パケットフィルタリングとは、このヘッダ部分に記された情報をチェックして、不正なものとそうでないものを振り分ける処理のことです。 |
| データ本体のチェックではないため、ウィルスの混入には対応できません。 |
| またパケットフィルタリングの目的は、ウィルスを検知することではありません(そのため、ウィルス対策ソフトを導入せねばなりません)。 |
| |
| パソコンを一軒の家にたとえれば、来客用に専用の出入り口が設けられた家になります。 |
| SMTP(メール)、FTP、WWWなど自宅に迎える来客には、専用の出入り口を通ってもらいます。 |
| |
| 決められた出入り口を使わず、別の出入り口から入ろうとするものをパケットフィルタリングによって、監視します。 |
| また、家の中から外へと出ようとするものも監視しています。 |
| 内側から外側へ出ようとする……。これは情報の漏洩・流出を警戒しているわけです。 |
| (パケットフィルタリングでは、内部から外部へ出て行こうとする情報の検知のほうが重要かもしれません) |
| |
| この出入り口をポートと呼びます。波止場という意味なので、ルーターとは入国管理局みたいな役割をもっているといえるでしょう。 |
| ファイルやデータが、SMTPやFTPという船でやってきます。 |
| SMTPは25番ポート、FTPは21番ポートへの入港を許可されています(割り当てられます)。 |
| FTP以外が21番ポートから入国しようとすると密航者扱いになり、ルーターによって入国を拒まれるというわけです。 |
| |
| フィルタリングとは、言わば、どの船(SMTP、FTP、WWWなど)をどこのポートから出入りさせるか、の割り当てをすることです。 |
| 標準的な設定をあげてみます。 |
| |
| フィルタリングの例(外部→内部) |
| |
| プロトコル |
IPアドレス |
ポート |
方向 |
IPアドレス |
ポート |
可否 |
| すべて |
|
|
→ |
|
137-139 |
拒否 |
| すべて |
すべて |
すべて |
← |
すべて |
137-139 |
拒否 |
| すべて |
すべて |
137-139 |
← |
すべて |
すべて |
拒否 |
| 上記以外のものすべて |
許可 |
|
| |
| 2、3行目はLANからWindows共有ファイルが出て行くことを拒否しています。 |
| 4行目はそれ以外のLAN側から出て行くすべてのバケットを許可しています。 |
| |
| 偽造IPアドレスを防ぐ設定やルーターのログイン画面にアクセスできないようにする設定 |
| |
| プロトコル |
IPアドレス |
ポート |
方向 |
IPアドレス |
ポート |
可否 |
| すべて |
プライベートアドレス |
すべて |
→ |
すへて |
すべて |
拒否 |
| すべて |
プライベートアドレス |
すべて |
← |
すべて |
すべて |
拒否 |
|
| |
| 当然ですがルーターの設定画面へ侵入されると、上記のセキュリティをかけても、変更されてしまいます。 |
| 必ずパスワードをかけて、ルーターの設定を変更されないようにしてください。 |
| |
| ※LANケーブルには外見がそっくりなストレートケーブルとクロスケーブルがあります。誤って買い間違えないようにしてください。 |
| |
| |
| |
| |
| |
| |
| |
|
|
| |
| |
| TOPへ戻る |
