来客用LAN、セキュリティのため複数ルータでネットワーク分け
- (2011-02-04 11:45:53)
インターネットにつなぎたがる来客者
来客者が最近増えてきた。例によって「ネットワークつなげられますか?」と聞かれることも多い。
「残念ながら、セキュリティ上の理由で社外の方にネットワーク接続は許可しない方針なもので・・・」
というセキュリティポリシーの会社さんが多いと思うが、当社も気軽に社内LANを解放するにはリスクを感じる。当社では基本的に無線LANでさえ使用しない原則にしてるが、それもセキュリティ上の理由。
多重ルータでネットワーク分割
しかし、今の時代、ネットがなければ何も始まらない。訪問者のネット接続への需要は高く、考えた末、ルーターを数台追加購入した。
全部違うプレイべートアドレスにしてがっちりネットワークIPアドレスレンジで分けてしまった。ルータの管理ユーザアカウントも全部違うパスワードにした。
よけいなパケットが所属ルーターよりLAN外の外部ネットワークに放出しないよう、きつめのパケットフィルタリングも設定した。
セキュリティは確保されたかどうか、本当のところはわからない
インターネットから社内PCまでの間、社内でルータが何台か並んでいるのでDMZ的な構成にも見えるが、これでDMZといえるのか不明。
少なくともルータを乗っ取ろうと侵入・攻撃してくるクラッカーに対して複数のルータはそれぞれ違うパスワードで保護されているので、安全性は高まると期待している。
しかし、あまり意味がないようにも感じられる。問題は自分の知識ではこれでセキュリティ上安全かどうか、技術的に正確な判断ができないことか。
かといって大方のプロ(ネットワークセキュリティのコンサルや会社さん)も当てにならない。
安価に対策可能なら「とりあえずやっておけ!」
ここは悩み所、安価(時間&コスト&労力)に対策できるものは「とりあえずやっておく」くらいの気持ちでいいか。
※セットアップメモ
・内部側LANのルータ->PPPoEクライアントを設定せず