Nedia What's up!

ネディアのエンジニアによるIT技術やサービスの紹介・検証などをお届け!

YAMAHAルータの実機・検証 第3回 不正な通信の遮断設定

第3回はLANポートやMACアドレスなどの組み合わせで不正な通信を遮断する設定を行います。

どの企業にも社外に流出してはいけないデータがあります。
ウイルス感染や操作ミスでデータが外部へ流出した場合、損害はとても大きなものになります。
社内にあるパソコンでもルータの設定でポート分割・フィルタリングをすることでセキュリティの高いネットワークを構築することができるので紹介します。
今回はYAMAHA RTX1200を仕様します。
このルータはLAN1ポート(8ポートスイッチングハブ)間の通信を遮断することができます。

ネットワーク構成

今回検証するネットワーク構成になります。

filter-network-2

以下のようにLAN1のポートを分離させます。

filter-port

LAN1ポートのポート1~ポート7に接続されたパソコンは、LAN1ポート間(ポート1~ポート7に接続されたパソコン)とLAN2に接続されたNAS(192.168.10.10)へのアクセスができます。
しかし、インターネットおよびLAN1ポートのポート8に接続されたパソコンへのアクセスはできません。

LAN1ポートのポート8に接続されるパソコン(192.168.1.150)はインターネットへのアクセスはできますが、LAN1ポート間(ポート1~ポート7)とLAN2に接続されたのアクセスはできません。

この設定は大切なデータを保管するNASに対してインターネットへ接続できないパソコンA、B、Cのみアクセスできるようにします。
また、メールなどは業務において必須になるのでインターネットへアクセスできるパソコンDはデータの流出を防ぐためNASおよびパソコンA、B、Cにアクセスできないようにします。

大切なデータを保存するNASにアクセスするパソコンとインターネットへアクセスするパソコンをポートで分離・フィルタリングすることで、ウイルス感染などからデータの流出を防ぎ高いセキュリティを維持します。

ルータの設定

■設定内容

設定後の検証で以下のことが確認できました。

アクセス先
パソコンA、B、C パソコンD NAS インターネット
アクセス元 パソコンA、B、C × ×
パソコンD × ×
NAS × ×

※パソコンへのアクセス確認方法として
・Pingでの通信確認
・共有フォルダへのアクセス確認
を行いました。

その他に下記のことを試してみました。

検証1) LAN1ポート8に接続されていたパソコンDをIPアドレスはそのままでLAN1ポート7に接続しました。
検証結果

アクセス先
パソコンA、B、C NAS インターネット
アクセス元 パソコンD
(LAN1ポート7)
×

ポート分離しているポート8からポート分離していないポート7に接続したのでパソコンA、B、Cへのアクセスが可能になりました。

検証2) LAN1ポート2へHUBを接続しパソコンを接続しました。
検証結果

アクセス先
パソコンA、B、C パソコンD NAS インターネット
アクセス元

パソコン

× ×

パソコンA、B、Cと同じアクセス権限になりました。

検証3) LAN1ポート8へHUBを接続しパソコンを接続しました。
検証結果

アクセス先
パソコンA、B、C パソコンD NAS インターネット
アクセス元

パソコン

× × ×

インターネット・NAS・パソコンA、B、Cにアクセスすることができませんでした。
パソコンDのみアクセスすることができました。
※インターネットのアクセスはフィルタリングでIPアドレス192.168.1.150のみアクセスが可能なのでそれ以外のIPアドレスはインターネットへ接続できません。

検証2、3からそれぞれのポートにHUBを設置してもポート分離されているパソコン間の通信は遮断されます。

NASおよびインターネットへの接続はフィルタリング設定によるものなのでパソコンA、B、CのどれかをLAN1ポート8に接続してもインターネットへアクセスできません。
ポート分離機能はLAN1のポート間の通信を遮断することがわかりました。

ポート分離のパターン

ポート分離する数は2つだけではなく複数に分離することもできます。
例1) 8つのポートを持つスイッチングハブの1、2、3と4、5、6とその他を分離する場合

例2) 全ポートを分離

MACアドレスフィルタリング

これまでポート分離とフィルタリング設定でセキュリティの高いネットワークが構築できましたが、外部パソコンを使って社内LANに接続されデータ流出を心配する人もいると思います。
その時の設定としてMACフィルタリングを利用します。

MACアドレスフィルタリングとは?
端末ごとにある固有のMACアドレスをルータなどに登録することで登録されていない端末を接続できないようにする機能です。

MACアドレスフィルタリングを使って登録されていないパソコンは接続できないようにします。これによりよりセキュリティの高いネットワークを構築することができます。

■追加設定内容

この設定でMACアドレスが登録されていない端末を社内LANに接続しても社内LANにあるパソコンはもちろんNAS・インターネットへの接続はできません。

NAS・パソコンA、B、C、DのそれぞれのMACアドレスを登録していなければたとえLAN1、LAN2に接続されていても通信が遮断されたのが確認できました。

これらの設定はセキュリティを高くして社内LAN環境をより厳重に運用していく方法ですが、セキュリティが高すぎて逆に不便になってしまう場合があります。
よりよい運用をしていくために社内などでルールをしっかり決めていくことも重要です。

次回は
【部署毎に社内ネットワークを分離(VLAN)】について紹介します。