YAMAHAルータの実機・検証 第3回 不正な通信の遮断設定

2014/12/02 YAMAHA, 技術系 投稿者:長澤

第3回はLANポートやMACアドレスなどの組み合わせで不正な通信を遮断する設定を行います。

どの企業にも社外に流出してはいけないデータがあります。
ウイルス感染や操作ミスでデータが外部へ流出した場合、損害はとても大きなものになります。
社内にあるパソコンでもルータの設定でポート分割・フィルタリングをすることでセキュリティの高いネットワークを構築することができるので紹介します。
今回はYAMAHA RTX1200を仕様します。
このルータはLAN1ポート(8ポートスイッチングハブ)間の通信を遮断することができます。

ネットワーク構成

今回検証するネットワーク構成になります。

filter-network-2

以下のようにLAN1のポートを分離させます。

filter-port

LAN1ポートのポート1~ポート7に接続されたパソコンは、LAN1ポート間(ポート1~ポート7に接続されたパソコン)とLAN2に接続されたNAS(192.168.10.10)へのアクセスができます。
しかし、インターネットおよびLAN1ポートのポート8に接続されたパソコンへのアクセスはできません。

LAN1ポートのポート8に接続されるパソコン(192.168.1.150)はインターネットへのアクセスはできますが、LAN1ポート間(ポート1~ポート7)とLAN2に接続されたのアクセスはできません。

この設定は大切なデータを保管するNASに対してインターネットへ接続できないパソコンA、B、Cのみアクセスできるようにします。
また、メールなどは業務において必須になるのでインターネットへアクセスできるパソコンDはデータの流出を防ぐためNASおよびパソコンA、B、Cにアクセスできないようにします。

大切なデータを保存するNASにアクセスするパソコンとインターネットへアクセスするパソコンをポートで分離・フィルタリングすることで、ウイルス感染などからデータの流出を防ぎ高いセキュリティを維持します。

ルータの設定

■設定内容

設定後の検証で以下のことが確認できました。

アクセス先
パソコンA、B、C パソコンD NAS インターネット
アクセス元 パソコンA、B、C × ×
パソコンD × ×
NAS × ×

※パソコンへのアクセス確認方法として
・Pingでの通信確認
・共有フォルダへのアクセス確認
を行いました。

その他に下記のことを試してみました。

検証1) LAN1ポート8に接続されていたパソコンDをIPアドレスはそのままでLAN1ポート7に接続しました。
検証結果

アクセス先
パソコンA、B、C NAS インターネット
アクセス元 パソコンD
(LAN1ポート7)
×

ポート分離しているポート8からポート分離していないポート7に接続したのでパソコンA、B、Cへのアクセスが可能になりました。

検証2) LAN1ポート2へHUBを接続しパソコンを接続しました。
検証結果

アクセス先
パソコンA、B、C パソコンD NAS インターネット
アクセス元

パソコン

× ×

パソコンA、B、Cと同じアクセス権限になりました。

検証3) LAN1ポート8へHUBを接続しパソコンを接続しました。
検証結果

アクセス先
パソコンA、B、C パソコンD NAS インターネット
アクセス元

パソコン

× × ×

インターネット・NAS・パソコンA、B、Cにアクセスすることができませんでした。
パソコンDのみアクセスすることができました。
※インターネットのアクセスはフィルタリングでIPアドレス192.168.1.150のみアクセスが可能なのでそれ以外のIPアドレスはインターネットへ接続できません。

検証2、3からそれぞれのポートにHUBを設置してもポート分離されているパソコン間の通信は遮断されます。

NASおよびインターネットへの接続はフィルタリング設定によるものなのでパソコンA、B、CのどれかをLAN1ポート8に接続してもインターネットへアクセスできません。
ポート分離機能はLAN1のポート間の通信を遮断することがわかりました。

ポート分離のパターン

ポート分離する数は2つだけではなく複数に分離することもできます。
例1) 8つのポートを持つスイッチングハブの1、2、3と4、5、6とその他を分離する場合

例2) 全ポートを分離

MACアドレスフィルタリング

これまでポート分離とフィルタリング設定でセキュリティの高いネットワークが構築できましたが、外部パソコンを使って社内LANに接続されデータ流出を心配する人もいると思います。
その時の設定としてMACフィルタリングを利用します。

MACアドレスフィルタリングとは?
端末ごとにある固有のMACアドレスをルータなどに登録することで登録されていない端末を接続できないようにする機能です。

MACアドレスフィルタリングを使って登録されていないパソコンは接続できないようにします。これによりよりセキュリティの高いネットワークを構築することができます。

■追加設定内容

この設定でMACアドレスが登録されていない端末を社内LANに接続しても社内LANにあるパソコンはもちろんNAS・インターネットへの接続はできません。

NAS・パソコンA、B、C、DのそれぞれのMACアドレスを登録していなければたとえLAN1、LAN2に接続されていても通信が遮断されたのが確認できました。

これらの設定はセキュリティを高くして社内LAN環境をより厳重に運用していく方法ですが、セキュリティが高すぎて逆に不便になってしまう場合があります。
よりよい運用をしていくために社内などでルールをしっかり決めていくことも重要です。

次回は
【部署毎に社内ネットワークを分離(VLAN)】について紹介します。

カレンダー

      1
2345678
9101112131415
16171819202122
23242526272829
3031     
    123
45678910
11121314151617
18192021222324
252627282930 
       
 123456
78910111213
14151617181920
21222324252627
28293031   
       
     12
3456789
10111213141516
17181920212223
24252627282930
31      
   1234
567891011
12131415161718
19202122232425
2627282930  
       
1234567
891011121314
15161718192021
22232425262728
293031    
       
     12
3456789
10111213141516
17181920212223
24252627282930
       
  12345
6789101112
13141516171819
20212223242526
2728     
       
      1
2345678
9101112131415
16171819202122
23242526272829
3031     
   1234
567891011
12131415161718
19202122232425
262728293031 
       
 123456
78910111213
14151617181920
21222324252627
282930    
       
1234567
891011121314
15161718192021
22232425262728
293031    
       
    123
45678910
11121314151617
18192021222324
25262728293031
       
  12345
6789101112
13141516171819
20212223242526
27282930   
       
      1
2345678
9101112131415
16171819202122
23242526272829
3031     
    123
45678910
11121314151617
18192021222324
252627282930 
       
 123456
78910111213
14151617181920
21222324252627
28293031   
       
1234567
891011121314
15161718192021
22232425262728
29      
       
    123
45678910
11121314151617
18192021222324
25262728293031
       
 123456
78910111213
14151617181920
21222324252627
28293031   
       
      1
2345678
9101112131415
16171819202122
23242526272829
30      
   1234
567891011
12131415161718
19202122232425
262728293031 
       
 123456
78910111213
14151617181920
21222324252627
282930    
       
    123
45678910
11121314151617
18192021222324
25262728293031
       
  12345
6789101112
13141516171819
20212223242526
27282930   
       
      1
2345678
9101112131415
16171819202122
23242526272829
3031     
      1
2345678
9101112131415
16171819202122
232425262728 
       
   1234
567891011
12131415161718
19202122232425
262728293031 
       
1234567
891011121314
15161718192021
22232425262728
293031    
       
     12
3456789
10111213141516
17181920212223
24252627282930
       
  12345
6789101112
13141516171819
20212223242526
2728293031  
       
1234567
891011121314
15161718192021
22232425262728
2930     
       
    123
45678910
11121314151617
18192021222324
25262728293031
       
 123456
78910111213
14151617181920
21222324252627
28293031   
       
      1
2345678
9101112131415
16171819202122
23242526272829
30      
   1234
567891011
12131415161718
19202122232425
262728293031 
       
 123456
78910111213
14151617181920
21222324252627
282930    
       
     12
3456789
10111213141516
17181920212223
2425262728  
       
  12345
6789101112
13141516171819
20212223242526
2728293031  
       
      1
2345678
9101112131415
16171819202122
23242526272829
3031     
    123
45678910
11121314151617
18192021222324
252627282930 
       
 123456
78910111213
14151617181920
21222324252627
28293031   
       
      1
2345678
9101112131415
16171819202122
23242526272829
30      
   1234
567891011
12131415161718
19202122232425
262728293031 
       
1234567
891011121314
15161718192021
22232425262728
293031    
       

カテゴリー

PRODUCE ネディアプロデュース
群馬データセンター
群馬の法人ITサポートサービス Wide Net[ワイドネット]
ワイドオフィス
イヤホンのブランドでハイクラスを誇る | n+um(エニューム)