第3回はLANポートやMACアドレスなどの組み合わせで不正な通信を遮断する設定を行います。
どの企業にも社外に流出してはいけないデータがあります。
ウイルス感染や操作ミスでデータが外部へ流出した場合、損害はとても大きなものになります。
社内にあるパソコンでもルータの設定でポート分割・フィルタリングをすることでセキュリティの高いネットワークを構築することができるので紹介します。
今回はYAMAHA RTX1200を仕様します。
このルータはLAN1ポート(8ポートスイッチングハブ)間の通信を遮断することができます。
ネットワーク構成
今回検証するネットワーク構成になります。
以下のようにLAN1のポートを分離させます。
LAN1ポートのポート1~ポート7に接続されたパソコンは、LAN1ポート間(ポート1~ポート7に接続されたパソコン)とLAN2に接続されたNAS(192.168.10.10)へのアクセスができます。
しかし、インターネットおよびLAN1ポートのポート8に接続されたパソコンへのアクセスはできません。
LAN1ポートのポート8に接続されるパソコン(192.168.1.150)はインターネットへのアクセスはできますが、LAN1ポート間(ポート1~ポート7)とLAN2に接続されたのアクセスはできません。
この設定は大切なデータを保管するNASに対してインターネットへ接続できないパソコンA、B、Cのみアクセスできるようにします。
また、メールなどは業務において必須になるのでインターネットへアクセスできるパソコンDはデータの流出を防ぐためNASおよびパソコンA、B、Cにアクセスできないようにします。
大切なデータを保存するNASにアクセスするパソコンとインターネットへアクセスするパソコンをポートで分離・フィルタリングすることで、ウイルス感染などからデータの流出を防ぎ高いセキュリティを維持します。
ルータの設定
■設定内容
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 |
ip route default gateway pp 1 ip filter source-route on ip filter directed-broadcast on lan type lan1 port-based-option=split-into-1234567:8 ip lan1 address 192.168.0.1/24 ip lan2 address 192.168.10.1/24 ip lan2 secure filter in 9101 ip lan2 secure filter out 9001 pp select 1 pp keepalive use lcp-echo pp always-on on pppoe use lan3 pppoe auto connect on pppoe auto disconnect off pp auth accept pap chap pp auth myname (ISPの接続アカウント) (ISPのパスワード) ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ccp type none ip pp mtu 1454 ip pp secure filter in 1020 1030 2000 ip pp secure filter out 1010 1011 1012 1013 1014 1015 4001 dynamic 100 101 102 103 104 105 106 107 ip pp nat descriptor 1 pp enable 1 ip filter 1010 reject * * udp,tcp 135 * ip filter 1011 reject * * udp,tcp * 135 ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 1014 reject * * udp,tcp 445 * ip filter 1015 reject * * udp,tcp * 445 ip filter 1020 reject 192.168.0.0/24 * * * * ip filter 1030 pass * 192.168.0.150 icmp ip filter 2000 reject * * ip filter 3000 pass * * ip filter 4001 pass 192.168.0.150 * ip filter 9001 pass 192.168.0.1-192.168.0.100 192.168.10.0/24 ip filter 9101 pass 192.168.10.0/24 192.168.0.1-192.168.0.100 ip filter dynamic 100 * * ftp ip filter dynamic 101 * * www ip filter dynamic 102 * * domain ip filter dynamic 103 * * smtp ip filter dynamic 104 * * pop3 ip filter dynamic 105 * * netmeeting ip filter dynamic 106 * * tcp ip filter dynamic 107 * * udp nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor address inner 1 192.168.0.150 dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.0.51-192.168.0.100/24 dns server pp 1 |
設定後の検証で以下のことが確認できました。
| アクセス先 | |||||
| パソコンA、B、C | パソコンD | NAS | インターネット | ||
| アクセス元 | パソコンA、B、C | ○ | × | ○ | × |
| パソコンD | × | ○ | × | ○ | |
| NAS | ○ | × | ○ | × | |
※パソコンへのアクセス確認方法として
・Pingでの通信確認
・共有フォルダへのアクセス確認
を行いました。
その他に下記のことを試してみました。
検証1) LAN1ポート8に接続されていたパソコンDをIPアドレスはそのままでLAN1ポート7に接続しました。
検証結果
| アクセス先 | ||||
| パソコンA、B、C | NAS | インターネット | ||
| アクセス元 | パソコンD (LAN1ポート7) |
○ | × | ○ |
ポート分離しているポート8からポート分離していないポート7に接続したのでパソコンA、B、Cへのアクセスが可能になりました。
検証2) LAN1ポート2へHUBを接続しパソコンを接続しました。
検証結果
| アクセス先 | |||||
| パソコンA、B、C | パソコンD | NAS | インターネット | ||
| アクセス元 |
パソコン |
○ | × | ○ | × |
パソコンA、B、Cと同じアクセス権限になりました。
検証3) LAN1ポート8へHUBを接続しパソコンを接続しました。
検証結果
| アクセス先 | |||||
| パソコンA、B、C | パソコンD | NAS | インターネット | ||
| アクセス元 |
パソコン |
× | ○ | × | × |
インターネット・NAS・パソコンA、B、Cにアクセスすることができませんでした。
パソコンDのみアクセスすることができました。
※インターネットのアクセスはフィルタリングでIPアドレス192.168.1.150のみアクセスが可能なのでそれ以外のIPアドレスはインターネットへ接続できません。
検証2、3からそれぞれのポートにHUBを設置してもポート分離されているパソコン間の通信は遮断されます。
NASおよびインターネットへの接続はフィルタリング設定によるものなのでパソコンA、B、CのどれかをLAN1ポート8に接続してもインターネットへアクセスできません。
ポート分離機能はLAN1のポート間の通信を遮断することがわかりました。
ポート分離のパターン
ポート分離する数は2つだけではなく複数に分離することもできます。
例1) 8つのポートを持つスイッチングハブの1、2、3と4、5、6とその他を分離する場合
|
1 |
lan type lan1 port-based-option=split-into-123:456:78 |
例2) 全ポートを分離
|
1 |
lan type lan1 port-based-option=split-into-1:2:3:4:5:6:7:8 |
MACアドレスフィルタリング
これまでポート分離とフィルタリング設定でセキュリティの高いネットワークが構築できましたが、外部パソコンを使って社内LANに接続されデータ流出を心配する人もいると思います。
その時の設定としてMACフィルタリングを利用します。
MACアドレスフィルタリングとは?
端末ごとにある固有のMACアドレスをルータなどに登録することで登録されていない端末を接続できないようにする機能です。
MACアドレスフィルタリングを使って登録されていないパソコンは接続できないようにします。これによりよりセキュリティの高いネットワークを構築することができます。
■追加設定内容
|
1 2 3 |
ethernet filter 1 pass-nolog 11:22:33:44:55:66 *:*:*:*:*:* ethernet filter 100 reject-log *:*:*:*:*:* *:*:*:*:*:* ethernet lan1 filter in 1 100 |
この設定でMACアドレスが登録されていない端末を社内LANに接続しても社内LANにあるパソコンはもちろんNAS・インターネットへの接続はできません。
NAS・パソコンA、B、C、DのそれぞれのMACアドレスを登録していなければたとえLAN1、LAN2に接続されていても通信が遮断されたのが確認できました。
これらの設定はセキュリティを高くして社内LAN環境をより厳重に運用していく方法ですが、セキュリティが高すぎて逆に不便になってしまう場合があります。
よりよい運用をしていくために社内などでルールをしっかり決めていくことも重要です。
次回は
【部署毎に社内ネットワークを分離(VLAN)】について紹介します。
![群馬の法人ITサポートサービス Wide Net[ワイドネット]](https://www.nedia.ne.jp/wp-content/themes/nedia/images/bnr_bt_widenet02.png "群馬の法人ITサポートサービス Wide Net[ワイドネット]")
![群馬の法人ITサポートサービス Wide Net[ワイドネット]](https://www.nedia.ne.jp/wp-content/themes/nedia/images/bnr_bt_widenet03.png "群馬の法人ITサポートサービス Wide Net[ワイドネット]")
