事務所内ネットワーク再構築しました(VLAN導入編)

 はじめまして。ネットワークソリューション事業部のOです。3月の事務所移転を機に、事務所内ネットワークを刷新しました。
 今春、情報処理安全確保支援士登録を済ませたこともあり、支援士としての仕事第一弾として、セキュアなネットワークの構築・設計に取り組みました。一部未実施の項目もありますが、以下の項目を反映させました。

・セキュリティの高い無線LANにしたい
・客先とIP-VPN接続出来る環境を用意しておきたい
・有線LAN自体もセキュリティを高めたい
・社長が使うNASを社員からネットワーク的に見られないようにしたい
・ネットワークプリンタやNASのアクセス制限をかけたい
・ゲスト用無線LANも用意したい
・迷惑メールを減らしたい(準備中)
・有害なwebサイトにアクセスしたくない(準備中)
(・自宅等外部からも事務所内リソースにセキュアにアクセス出来るようにしたい)

 今まではブロードバンドルータに内蔵されている無線LANと有線LANを併用していました。インターネット側からの直接のアクセスはルータによって拒否されていましたが、事務所内LANは有線・無線合わせて1セグメントでした。「万一の事態に備えて、NASやパソコン上のデータなどを守るためにはVLAN分割は必要だな」と考えていましたので、事務所ネットワーク再構築を機に、用途毎にVLAN分割することにしました。

 後付けっぽくなりましたが、WannaCryが猛威を振るっていたことに対しても、防御策のうちの1つにはなったものと考えています。
 VLANとWannaCry。両者は全く無関係とも言い切れません。「WannaCryはメール経由で感染する」と言われていましたが、各種IT系ニュースサイトなどでも「メール経由の事例は少なく、内部感染が多い」と言われています。感染したパソコンがSMB(ファイル共有)で使われる445/tcpポートを開けているパソコンなどを狙ってくるようです。

 なので、「ファイアウォールで445/tcpをブロックしているから大丈夫」という単純な話ではありません。LAN内部で感染したPCがあるとどうでしょうか?他のパソコンがきちんとOSのアップデートやウイルス定義ファイルを最新にしていればいいのですが、LAN内に管理の甘いパソコンがあったらどうでしょう?最悪の場合、LAN内パソコン全てが感染してしまいます。

 そうです。今回のWannaCryの教訓として、「ファイアウォールなどで外部からの攻撃を防いだとしても、内部がザルではどうしようもない」ということです。(このへんは別の機会に改めて触れたいと思います)
 外部からの攻撃に対しては(割と)真剣に考えるのに、内部(LAN)のセキュリティ対策は手付かずということはありませんか?

 具体的対策ですが、答えは一つであるとは限りません。複数の対策の組み合わせがポイントです。今回実施した内容の概略は以下の通りです。

・業務用有線LANと客先VPN接続等用LANに分割
・有線LANと無線LANを別セグメントに分割
・無線LANも社員用とゲスト用に分割
・これらのVLANは相互通信を不可に
・内部DMZと外部DMZを新たに設ける
・内部DMZはネットワークプリンタやNASなどの社内で使う共用機器を設置
・外部DMZはインターネットVPN越しに通信させるものを設置
・各VLANから内部DMZへの通信は許可・ただし逆方向は禁止
・各VLANから外部DMZへの通信は許可・ただし逆方向は禁止

 外部からのアクセスが必要な場合はアクセス可能なリソースを最小限に抑え、適切な設定を施します。仮に何かあっても内部のPCやNASなどにあるデータをきちんと守る。そして、内部ネットワークのセキュリティもきちんと担保することが、WannaCryのようなランサムウェア対策にもつながります。
 今回は事務所内ネットワークのVLAN分割の話を中心に展開しましたが、次回は無線LANについて書いてみようと思います。

 ネットワーク更新についてはしばらく続きますので、宜しくお願いします。

  • このエントリーをはてなブックマークに追加

コメントをどうぞ