第1部 構築編

本番運用に向けて

家庭内 LAN とセキュリティ (前編)

八月に入ってから、某所で火を噴いた仕事に駆り出されて息つく暇もない
コミックマーケットもあって修羅場加減を加速し、仕事は油田火災にバケツリレーで立ち向かう心境をもれなく且つ余すことなく体験出来る驚天動地の異次元ツアー状態
とてもとてもサーバの設定をしている暇はない
というわけで久しぶりの更新になってしまった。

ちなみに翌年、この修羅場を余裕でぶっちぎる修羅場に突入していたりする………

さて、家人が

インターネットをやってみたい

と言い出したので、そちらを対応しないといけなくなった。
どぉ~せ定額制の光回線だし、サーバ公開したとしても登りのトラフィックは大きくとも下りのトラフィックは瑞輝が居ない昼間には小さいはず。

もっとも、登りの帯域が充分に確保出来ることが光導入を後押ししたのだが………

しかし家人のパソコンはノートとは言え、LAN ケーブルを引っ張れる場所にはない
そこで最近流行の無線 LAN に挑戦してみることにした。
屋内配線要らないし、いつもは仕事場に持って行っているノートを持ち帰った時も、幾分設定が楽になろう。
というわけで白羽の矢を立てたのが、PLANEX の以下の製品である。

GW-AP54G
http://www.planex.co.jp/product/bwave/gwap54g.shtml
GW-NS54G
http://www.planex.co.jp/product/bwave/gwns54g.shtml

しかし無線ですら 54Mbps の通信速度である、実に体に悪そうだ。
しかし無線 LAN 導入を決定した当時、GW-AP54G はまだ発売日前、別に急がないので LAOX で予約する………これが伸びまくり、発注したのは 8/1 だったのだが届いたのは 8/23、PLANEX の方で根本的に発売が延期になったらしい………
まあ、火事場仕事で帰って寝るだけの生活の最中に届かなくて良かったとしよう

さて、無線 LAN の導入を決意した後のある日、唐突に重大なことに思い至る
セキュリティである。
今まで実は、我が家はロクなセキュリティ対策をしていなかった
ブラウザは Netscape で Internet Explorer は使っていないし、メーラだって Outlook Express は使ったことすらない
妖しい添付ファイルは全て水際でシャットアウトしている。

現実に、瑞輝の環境はウイルススキャンをかけてウイルスが見付かったことがない。
心掛けだけでセキュリティはそれなりの高さを保てるのだ。
もっとも、トロイの木馬型や IE のバグを突いてくる手合いではなく、最近の MS BLAST の様な直接感染型には無力だったのだけどね。

しかし今後は家人がインターネットを使うようになるわけで、そうなるとメール添付のトロイの木馬型ウイルスですら危険な対象となるだろう。
なにせ防火壁を立てていたって身内が敵になってしまう可能性があるのだ!!

派遣先が MS BLAST に汚染され、駆除と対策に丸一日費やした痛い経験もあった。
その直後に IE の累積パッチは出るし、MDAC にセキュリティホール出るし、いい加減にして欲しいわ、実際。

と言うわけで、いくつかの対応策を練ることにした。

第一案、ブラウザとメーラをこちらのネットワークポリシーに則って限定させる。
Microsoft 製品を排斥して Netscape を使わせれば随分と安全になるが、トロイの木馬型のウイルスを実行してしまう可能性を否定しきれない、しかし推奨出来る判断だ。

第二案、サーバに InterScan VirusWall 等のウイルススキャンソフトウェアをインストールする。
実に積極的ではあるが、企業じゃあるまいし、何より金が掛かる、CPU パワーが持って行かれる、却下だ。

InterScan VirusWall
http://www.trendmicro.com/jp/products/gateway/isvw/evaluate/overview.htm

第三案、ウイルスバスター等のウイルス対策ソフトウェアをインストールする。
金は掛かるが、積極的な手段として捨て置けない。

ウイルスバスター
http://www.trendmicro.com/jp/products/desktop/vb/evaluate/overview.htm

そして今回採用するのが第四案、ネットワークを物理的に隔離する。

サーバに 3 枚目の NIC をインストールし、家人用のネットワークをこちらのネットワークから隔絶してしまう乱暴な方法だ。
しかも家人用のネットワークはゴチゴチにポートを閉じてしまう。
たとえウイルスが発生したとしても、全て隔離したネットワーク内の問題としてしまうのだ。

と言うわけで、NIC をもう一枚仕入れたい。
今度のは使用頻度から考えても、Intel とか 3Com 等の化け物 NIC でなくとも良いだろう。
いっそ PLANEX の FNW-9803-T 辺りの安い奴でも良い。

と言うわけで FNW-9803-T を仕入れるため、仕事帰りに久方ぶりの秋葉原へ繰り出すことを決意するのだが、どういうワケか GN-1100TC という別の NIC が気になって仕方がない。
GN-1100TC はギガビットの NIC だがこれをメインデスクトップに奢り、現在メインデスクトップにささっている FNW-9803-T をサーバに転用する、という選択肢もある。

………すっげぇ~悩む………

元々メインのネットワークのギガビットへの底上げも考えていたし、メインデスクトップを入れ替えた時にはサブ機にそのまま回せばよいし、無駄にはなるまい。

翌日、やはり馬鹿が総武線でやってきてしまった
最近使うことが多くなった Faith で、結局ギガビット NIC である GN-1100TC を仕入れ、ついでにギガビット HUB である FXG-08TX も仕入れ、ほくほくとして帰る。

FNW-9803-T
http://www.planex.co.jp/product/adapter/fnw9803t.shtml
GN-1100TC
http://www.planex.co.jp/product/giga/gn1100tc.shtml
FXG-08TX
http://www.planex.co.jp/product/giga/fxg08tx.shtml

んで、早速ネットワーク機器のベースアップに勤しむ。
今まで使っていた 100Base HUB、FX-05SC に退役願い、新型 FXG-08TX を導入。
メインデスクトップから FNW-9803-T を抜き出し GN-1100TC に換装。
ここまで何事もなく進み、試しに Linux カーネルの rpm ファイル各種をデスクトップからサーバへ FTP で転送してみる。

ぅおわっ!?
メチャメチャ速いやんっ!?

最近流行のギガビット、まさに速さは力だ。

続いて、サーバに FNW-9803-T を導入して、LAN ケーブルをメインネットワークから退役した FX-05SC に繋いで起動。
何の問題もなく Linux は FNW-9803-T を認識、IP アドレスを振る。
これでサーバからは 3 本の LAN ケーブルが伸びることになった。
実に壮観な眺めだ。

続いて無線 LAN アクセスポイント GW-AP54G の設定を始める。
GW-AP54G は工場出荷時に 192.168.1.100 の IP アドレスが与えられているので、一度メインネットワークに繋いで IP アドレスを 192.168.10.100 に書き換える

この辺りはブラウザから出来るので非常に便利。

んで、GW-AP54G をサブネットワーク側に物理的に移動し、サーバのルーティング設定でメインネットワークから見えるようにする。
もちろんサブネットワークからメインネットワークは見えない。
で、メイン機からブラウザで 192.168.10.100 を見てみる。
ネットワークはゲートウェイ 192.168.1.1 を通り、192.168.10.1 から 192.168.10.100 へ正常にルーティングを果たし、別ネットワークの無線 LAN アクセスポイントの設定画面を開くことに成功した。
ついでなので管理者名とパスワード、無線 LAN アクセスポイントが受け入れる NIC の MAC アドレスを設定してセキュリティを高める。

最近流行りだした無線 LAN のアクセスポイントを、やはり無線 LAN の NIC を装備したノートパソコン片手に探して、脆弱なセキュリティのネットワークを見付けるや否や侵入する類のクラッカーが出てきていることも事実だ。
無線 LAN は正しい認識でもって安全に使おう。

しかし、今回のネットワーク再構築で、部屋の中が一気に青くなってしまった
PLANEX 製品は蒼い箱が特徴のパッケージなのだが、HUB も NIC も無線 LAN アクセスポイントも青で統一されている。
で、瑞輝は今回の日記を読んでもお分かりのように割と PLANEX 贔屓なので、部屋のネットワーク機器は青一色に近い状態だ。
黄色の corega が入り込む余地はない(笑)

さて、ホントはこのまま家人のノートパソコンの設定に突入したいところなのだが、火事場帰りで体力が保たず、仕事に支障を来すところまで来ているので早く寝ることにする。
ノートパソコンは明日だ………

Valid HTML 4.01 Strict Valid CSS!