安全な来客専用の無線LAN環境を構築する(バッファロー ゲストポート編):Tech TIPS
オフィスにやってきた訪問者から「持ち込んだノートPC/タブレットからインターネットに接続したい」と依頼されても、管理外の機器を社内ネットワークにつなぐのは避けたいところ。そんなとき、分離・独立した来客専用の無線LAN環境があれば便利だ。手軽に構築する方法は?
解説
商談や打ち合わせのためオフィスにやってきた訪問者から、持ち込んだノートPCやタブレットからインターネットに接続したい、とお願いされて困ったことはないだろうか? (訪問者が必ずモバイルルーターやテザリング用スマートフォンを持ち込んでいるとは限らない)
もちろん技術的には、社内ネットワークの無線LAN(Wi-Fiネットワーク)のSSIDや暗号化キーを訪問者に知らせて、無線LANクライアントに設定してもらえれば接続は可能だ。しかし、それでは訪問者に社内ネットワークが丸見えになる恐れがあるし、訪問者の機器からウイルスやマルウェアが社内に入り込む可能性もある。管理者としては可能な限り避けたいところだ。
この問題の解決策の1つは、社内ネットワークとは分離・独立した来客専用の無線LAN環境を用意することだ。その無線LANからインターネットへの通信は許可しつつ、その他のネットワークとの通信はブロックすれば、社内ネットワークを訪問者に晒さずに済む。
●複数の無線LANを分離・独立させる無線LANルーターの機能を利用する
実は、このような便利な機能を単体で実現できる無線LANルーター(無線ブロードバンドルーター、据え置き型Wi-Fiルーター)が、8000円〜1万6000円程度で購入できる。その機能の名称は無線LANルーターの開発・販売元によって異なり、バッファローでは「ゲストポート」、NECプラットフォームズでは「ネットワーク分離機能」と呼んでいる(両者の機能には差異があり、全く同じではない)。
- 「ゲストポート」の概要(バッファロー)
*「その他の特長」をクリックするとゲストポートの概要が表示される。 - 「ネットワーク分離機能」の解説ページ(AtermWG1800HP向け)(NECプラットフォームズ)
複数の無線LANを分離・独立できる無線LANルーターを利用する
「ゲストポート」「ネットワーク分離機能」と呼ばれる機能を搭載した無線LANルーターを導入すれば、社内ネットワークと分離しつつインターネットだけには接続できる来客専用の無線LANを構築できる。
本稿では、小規模な社内ネットワークの管理者を対象に、ゲストポート機能を搭載したバッファロー製無線LANルーター(以下「ゲストポート搭載機」)を用いて、来客専用の無線LANを構築する手順と注意点を解説する。詳しくは後述するが、既存の無線LANルーターを交換するといった大掛かりなことをしなくても、ゲストポート搭載機を社内ネットワークに「追加」して設定するだけで、来客専用の無線LANを実現できる。
ゲストポート機能を搭載したバッファロー製の「WZR-900DHP2」
本稿ではこの機種で確認した設定手順を説明しているが、ゲストポート機能そのものは他の搭載製品でも変わらないので、同様の手順で来客専用無線LANを構築できるだろう。
操作方法
●ゲストポート搭載機を社内ネットワークに組み込む2種類の方法
ゲストポート搭載機を用いて来客専用の無線LANを構築する場合、その方法は次の2種類に大別できる。
- 既存の無線LANルーターをゲストポート搭載機と交換する
- 「アクセスポイント」としてゲストポート搭載機を社内ネットワークに追加する
1.について説明は不要だろう。この場合は、既存ルーターから交換したゲストポート搭載機でインターネット接続や社内用無線LANを復旧する必要がある。その後に「ゲストポートを有効にして来客専用の無線LANを作る」へ読み進んでいただきたい。
2.では、ゲストポート搭載機のルーターとしての機能を無効化し、「アクセスポイント」として利用する方法だ。社内ネットワークの設定や構成を変更する必要はなく、単にゲストポート搭載機を社内ネットワークに「追加」すればよいので、1.より手間は少なく済む。その代わり、社内用の無線LANアクセスポイントはアップグレードされず、旧式のまま残ることになる。こちらを選択する場合は、次の「ゲストポート搭載機のルーター機能を無効化する」へ読み進んでいただきたい。
●ゲストポート搭載機のルーター機能を無効化する
無線LANルーターの「ルーター」機能を無効化する方法は、Web管理画面から設定するのと、本体に付いているスイッチを操作するという2種類に大別される。本稿で使用したWZR-900DHP2のような最近のゲストポート搭載機は後者の方だ。本体背面の[MODE]ボタンを数秒押し続け、本体前面の[ルーター]インジケーターLEDが消灯することを確認する。
すると本機のIPアドレスが「192.168.11.100/24(固定)」に変わり、LAN側にIPアドレスを配布するDHCPサーバー機能が停止する。そこで設定用PCを用意し、そのNIC(イーサネットインターフェース)のIPアドレスを本機と同じサブネット(例えば「192.168.11.200/24」」とか)に手動で変更し、イーサネットで本機のLAN側ポートに接続する。
次にWebブラウザーで「http://192.168.11.100/」を開き、管理者アカウントと初期パスワードでログインする。Web管理画面のトップページが表示されたら、まずは社内ネットワークに接続する有線LAN側の設定を、社内LANに合わせて変更する。それには[詳細設定]−[LAN]−[LAN]とクリックする。
Webベースの管理画面にログインする
ルーター機能を無効化した直後のIPアドレス、すなわち「http://192.168.11.100/」をWebブラウザーで開く。
(1)管理者アカウント名「admin」とその初期パスワードでログインする(初期パスワードは本機添付のマニュアルに記載されている)。
有線LAN側に関する設定のための画面
社内ネットワークに合わせて、有線LAN側に割り当てるIPアドレスなどを変更する。
(3)これをクリックすると(4)が表示される。
(4)これをクリックすると、右側に有線LAN側の設定項目が現れる。
(5)空いている社内ネットワーク内のIPアドレスを割り当てる。自動でも手動でもよいが、固定IPアドレスの方がよい。来客専用の無線LANに接続された機器は、このIPアドレスを介してインターネットと通信するので、監視しやすい方がよいからだ。
(6)デフォルトゲートウェイは社内ネットワークで用いているのと同じ値を指定してよい。
(7)参照用DNSサーバーのIPアドレスには、社内のDNSサーバーではなく、ISP提供のDNSサーバーを指定した方がよい。これは来客専用の無線LANに接続された機器からの名前解決に利用されるため、社内リソースの名前を解決できない方が安全だからだ。
(8)これをクリックすると、変更した設定が実際に反映される。
上記の設定が済んだら、管理用PCのIPアドレス設定を元に戻してから、本機に割り当てたLAN側IPアドレスで管理画面にアクセスできることを確認する。そしてゲストポート以外の設定を確認し、(管理アカウントの初期パスワードなど)必要なら変更しておく。
●ゲストポートを有効にして来客専用の無線LANを作る
次にゲストポート機能を有効化して、来客専用の無線LANを構築する。それには「http://<本機のLAN側IPアドレス>/」をWebブラウザーで開いてログインし、管理画面のトップページから[詳細設定]−[無線設定]−[ゲストポート]とクリックし、ゲストポートに関する設定をする。
ゲストポートの設定画面
Web管理画面にログイン後、[詳細設定]−[無線設定]−[ゲストポート]とクリックしていくと、この画面が表示される。
(1)チェックを入れてオンにする。
(2)これはWebフォームによる本機独自のユーザー認証機能をオン/オフする設定項目。オンにすると、あらかじめ登録したゲスト用ユーザー/パスワードで認証するまでインターネットに接続できなくなる。不要ならオフのままでよい。
(3)本機に割り当てる来客専用無線LAN側のIPアドレスを設定する。社内ネットワークやインターネット接続回線のサブネットに含まれるIPアドレスは指定できない(エラーになる)。それらと重複しないプライベートIPアドレスを指定すること。[推奨値を設定する]ボタンを押すと、文字通り推奨のIPアドレスが自動的に記入される。
(4)チェックを入れてオンにする。これで来客専用無線LANに接続された機器には、自動的にIPアドレスが割り当てられる。
(5)一定時間でゲストポート機能(すなわち来客専用無線LAN)を無効化するための設定項目。(7)がクリックされてから、無効になるまでの時間を選ぶ。常設するなら[無制限]を選択する。
(6)来客専用無線LANに関する設定項目。SSIDや暗号化キー(事前共有キー)は社内ネットワークと異なる値を設定すること。認証や暗号化の方式については、社内セキュリティポリシーや訪問者が持ち込む機器に合わせて決める。
(7)これをクリックすると、変更した設定が実際に反映される。
以上の設定を完了したら、試しにノートPCあるいはスマートフォン/タブレットなどの無線LANクライアントを来客専用無線LANに接続してみよう。接続手順は通常の無線LANと変わりなく、上記の(6)で指定したSSIDと暗号化キーを指定すれば接続できるはずだ。
このとき、IPアドレスには上記の(3)で指定したサブネットに含まれる値、デフォルトゲートウェイと参照用DNSサーバーには(3)のIPアドレスそのものが割り当てられるはずだ。
【やって分かった】訪問者同士の通信も禁止される
WZR-900DHP2で構築した来客専用無線LANに数台の無線LANクライアントを接続し、お互いにpingを送信したが応答はなかった。さらにサブネット全体にポートスキャンを実施したところ、デフォルトゲートウェイとスキャンを実行した機器の他には、全く発見できなかった。つまり、訪問者の機器間の通信も禁止されているということだ。
また当然というべきだが、来客専用無線LANからWeb管理画面にはアクセスできなかった。
●以前の訪問者が勝手に来客専用無線LANを利用するのを防ぐには?
ここまでの設定だけでは、SSIDと暗号化キーを入手した訪問者が、訪問後もオフィスの近所などから勝手に来客専用無線LANに接続することは止められない。(完全ではなくとも)これを手軽に防止するには、次の手段が考えられる。
- 訪問者が去るたびに暗号化キーを変更する
- ゲストポート独自のユーザー認証機能(上記画面の(2))を有効にし、訪問者が去ったらパスワードを変更するかアカウントを削除する
- 訪問者がいる間だけ来客専用無線LANを有効にする(上記画面の(5)を活用してもよいだろう)
ゲストポート独自のユーザー認証機能の詳細は、マニュアルを参照していただきたい。
■この記事と関連性の高い別の記事
- Windows Server 2008で無線LANを利用する(TIPS)
- WindowsのVirtual Routerで仮想無線LANルーターを構築する(TIPS)
- 高速なネットワーク・インターフェイスを自動的に選択可能にする(TIPS)
- Connectifyツールで仮想無線LANルータを構築する(TIPS)
- Windows 7の「ネットワークの場所」を結合・削除する(TIPS)
Copyright© Digital Advantage Corp. All Rights Reserved.