「FON」を“悪者”にしない4つのポイントとは?(プロ用)
http://www.rbbtoday.com/column/netlab/20061228/
公家幸洋「物欲オヤジのネットワーク実験室」
「FON」を“悪者”にしない4つのポイントとは?
互助会方式の無線スポット共同利用モデル「FON」が日本に上陸した。自分のネットワーク環境を利用できるようにする代わりに、ほかのFONスポットも利用できるというコミュニティ型モデルだ。共存共栄の互助会方式であり、“ホットスポット”という概念ができたころからこのモデルは各所で検討されてきたが、ようやく実存モデルとして日本に上陸した。
■無線APはデュアルSSIDでそれぞれにIPアドレスゾーンを割り振る
FON用の無線LANアクセスポイント「LA FONERA」を1,980円で購入し、自宅の無線環境を整える代わりに、あなたのブロードバンド環境をみんなにも提供してねというものがFONの基本的な考え方だ。
無線アクセスポイント「LA FONERA」。【左】カードと比較したところ。非常に小さい【右】裏側
1,980円の無線アクセスポイントは、2つのSSIDをしゃべれる小型の無線アクセスポイント。IEEE 802.11b/gの2つのプロトコルに対応する。SSIDはプライベートなものと、パブリックなものにわかれ、プライベートのものは「MyPlace」(WEPもしくはWPAによる暗号化対応)、パブリックなものは「FON_AP」(暗号化なし。ウェブアクセスによるRADIUS認証あり)にわかれる。
Windows XPでアクセスポイントを検索。「FON_AP」が開放用、「MyPlace」が自分用
それぞれのSSIDゾーンは、2つのプライベートIPアドレス空間が割り当てられ、MyPlaceゾーンは192.168.10.0/24、FON_APゾーンには192.168.182.0/24になっている。無線ゾーンごとに別々のIPアドレスが割り振られ、互いのゾーン間のアクセスが禁止されているため、セキュリティは守られる。また、パブリックエリアはそのままインターネット空間に出て行くため、自宅内ネットワークに影響を与えることなくセキュリティが保たれるというのが、FONの無線アクセスポイント「LA FONERA」の考え方だ。
パブリックゾーンにアクセスしたときに得られたIPアドレス情報 プライベートゾーンへアクセスしたときに得られるIPアドレス情報
製品はよくできており、実に簡単にセットアップが完了する。とはいえども、性善説=「世の中みんなええ人」前提の製品であるため、盲点を突かれるとデータを漏洩してしまったりISPの利用停止といったことにもつながりかねない。その結果、FONは使えないであったり、FONは悪であるという情勢にもなりかねない。
そのためのセットアップを4つまとめた。
■【セットアップキーワード1】設置はたしかに簡単。多くの環境下ではつなげれば動く
「LA FONERA」は、既存ネットワークに影響を与えないように、新設する無線LANゾーン2つ(パブリックとプライベート)に関しては新たなプライベートIPアドレスゾーンを割り振り、無線LANルータのように動作する。このため、たいていの環境ではLA FONERAをつなげれば問題なく動作するはずだ。ただ、デフォルトではプライベートIPアドレス空間として、192.168.10.0/24と192.168.182.0/24を使うため、すでに宅内環境がこのアドレス空間であった場合、手動で各ゾーンに割りつけるIPアドレスを変更しなければ、ルーティングが正常に動作しない。
ただ、LA FONERAはよくできていて、ルーティングが正常に動作しない場合は、画面にその旨が表示される。あとは、手動でIPアドレス空間をぶつからないように設定しなおせばいい。
必要に応じてLA FONERAのインターネット接続設定を修正する
■【セットアップキーワード2】DNSはISPのものを利用する
「LA FONERA」は、すでに説明したようにDHCPで本体のネットワークIPアドレスを取得する。その結果何がおきるかというと、名前解決を自らのDNSで実行することになる。
この結果何がおきるかというと、Bフレッツのようなフレッツ環境でマルチセッション設定をしている場合は第三者が「フレッツ・スクウェア」を目にすることができる。また、宅内や社内にDNSサーバをおいている場合は、自分のネットワーク環境下の機器を見つけ出すヒントを与えてしまう。
そこで、ローカルのDNSサーバを使っている場合は、そのDNSサーバを利用しないようにLA FONERAのIPアドレスはマニュアル設定で変えておく。「LA FONERA」の設定は、無線LANでMyPlaceゾーンにログイン(デフォルトでは、WPA設定がされており、シリアル番号がパスワードになる)し、http://192.168.10.1/にアクセスし、「高度な設定」ボタンをクリック(BASIC認証がかかる。ユーザ名はadmin、パスワードはadmin)し、インターネット接続のモードを静的IPに変更し、IPアドレスやゲートウェイ、DNSサーバを手作業で設定する。このとき、DNSサーバは必ず利用しているIPアドレスのものを設定する。
この設定で、少なくともDNSからローカルネットワークの機器類を類推することができなくなる。完全に安心かといえばそんなことはないが、ローカルのDNSを使っているときよりかは数段安全になった。
■【セットアップキーワード3】ルータのパケットフィルタを設定する
セットアップキーワードの3つめは非常に重要だ。この設定をしないと、SPAMやウイルスの配布元となり、あらぬ疑いをかけられることもあるかもしれない。たとえば、あなたのFONアクセスポイントを使ったFONコミュニティの利用者は、あなたがISPから割り振られたIPアドレスを使って通信することになる。つまり、悪気はないものの、知らぬうちにウイルス感染をしていた人があなたのFONアクセスポイントを使うと、そこからウイルスをばらまくことになる。
それをISPが検知すれば、なにかしらのコンタクトをとってきたり、特定ポートを閉じてくれるかもしれない。しかし、ISPが割り振ったIPアドレスのそのときの利用者はあなたであり、あらぬ疑いをISPからかけられることになるわけだ。
FONコミュニティは、コミュニティメンバーを特定するためにユーザ認証をするため、あなたはそのとき誰が利用していたかを追うことはできるが、無関係の第三者による悪意のない行動をどれだけあなたはとがめることができるだろうか。おそらく、あなたはISPにしかられ損であり、コミュニティの該当利用者を見つけたところでこれといった賠償を求めることもできず、時間の無駄な浪費になることだろう。
そういう意味では、自分を守るためにも、不要なポートは公開しないことがベストだ。また、悪意がないウイルスのばらまきがあったとしても、ISPに迷惑をかけないためにも、素のままのIPアドレスでコミュニティメンバーに接続を許してしまうことはできるだけ避けたい。
そこで、おすすめの設定は、以下のポートだけを開け、そのほかのポートはすべて閉じる。
53番(DNS)
80番(HTTP)
443番(HTTPS)
500番(IPSec)
1723番(PPTP)
1812番(RADIUS)
4500番(NAT-T)
DNSはISPのものを利用するため、53番ポートを開けておかないと名前解決ができなくなるため必須だ。また、Web画面によるコミュニティメンバーの認証のために、HTTP/HTTPS/RADIUSの3つが必要となる。
ルータの設定の例。NP-BBRMでのポート制限例。5つまでのエントリしか登録できないので、おおまかなブロックだけをアクセス抑制した NP-BBRMの場合は、URLフィルタでIPアドレスを指定することで、指定IPアドレスへのアクセスを拒否できる.
ここまで開けておけば、コミュニティメンバーであれば、Webブラウザを使ったアクセスが可能になる。ところが、ウェブよりはメールの送受信をしたいというケースのほうがほとんどだろう。ところが、メールの受信ではパスワードが平文のことが多いため、素が流れてしまう。また、メールの送信ではSPAMのように大量にメールを送りつけることもできる。
POP3プロトコルを使ったメールの受信でも危険性が隣り合わせで、パスワードも平文で送信している。ネットワーク環境が不調でパケットキャプチャを入れていたときにメール受信を実行すると、みたくもないのにメールの認証ユーザ名とパスワードに遭遇することもあるほどだ。
とはいえども、メールを使いたいコミュニティメンバーのために、VPNによるポートは開けておく。このためのポートが、500番、1723番、4500番の3つだ。メールを使いたいコミュニティメンバーは、会社なり自宅なりのVPNサーバにアクセスする。VPN接続をした段階で、そのユーザが使うIPアドレスは、LA FONERの設置者と無関係のユーザが属する組織のものに切り替わるため、そこからどんなにメールを送受信しようとウイルスをばらまこうと、あなたに影響が及ぶことはない。
最後に、http://www.fon.com/へアクセスし、登録したアカウント情報でログイン後、「FONアクセスポータルのカスタマイズ」をクリックし、ウェルカムメッセージ内でIPSec/PPTPの接続しかできない旨を記載しておく。
fon.comにログインしてアクセスポータルのカスタマイズを選ぶと、ゲストログインページのカスタマイズができる。ここで、ポートを閉じていることを記載 fonの初期登録時の画面。APの存在地を登録する
自由にインターネットの全ポートが使えないという面ではコミュニティの精神に反する設定であるが、セキュリティレベルをあげることは、アクセスポイントを設置する側を守るとともに、メールを送受信するFONユーザのパスワードを守ってくれる。さらには、世間的にFONは悪の温床だという認識をさせないための作法だと考えたい。
ただ、この方法を設定すると、VPN環境のない個人はどうするんだということになる。多少月額コストはかかるが、http://rbbtoday.com/hotspot/wg.htmlから公衆VPNサービスに申し込めるので、こうしたサービスを利用することも1つの方法だ。なお、モバイルユーザにとって、送受信するデータのセキュリティを守るという観点からも、無線スポットを利用するようなときは、ユーザ認証後にVPN接続をしてしまえば、商用の無線スポットもより安心して利用できるようになる。
■【セットアップキーワード4】別ゾーンを作り既存ネットワークから切り離す
念には念を入れてという設定だ。宅内ネットワークにゲストも自由に出入りができるファイルサーバがあるという場合は、ここまで設定したほうがいい。
宅内のほかのネットワークとは完全に分離して利用するために、La FONERAは別のゾーンを割り振るというものが最後の設定だ。このために、ルータを1台ぶらさげる。
どんな構成になるかというと、図2のようなものだ。既存のネットワークゾーンである192.168.100の下に、もうひとつルータを設置(ルータ2)して、ルータ2にさきほどのポート抑制のフィルタ設定と、192.168.100のネットワークへのアクセスを拒否する設定をかける。ルータ2の配下にはLa FONERAのネットワークゾーンとして、192.168.0を設置して運営する。192.168.0の下ではさらにプライベートエリアの192.168.10のネットワークとパプリックエリアの192.168.192のネットワークがつながる。
図2
この仕組みをとることで、既存ネットワークからは192.168.0のネットワークからのアクセスを排除する、もしくはルータ2のIPアドレスで192.168.100.252のIPアドレスからのアクセスを無視する設定を付け加えることで、宅内ネットワークのセキュリティは保てる。何か障害が発生したとしても、ルータ2の電源を切るだけですむ。
この設定のいいところは、どんなにルータ2の設定を変更したところで、既存の192.168.100のネットワークに影響を与えることなく設定ができるところだ。LA FONERAの設定は特定ポート以外通さないという著しく厳しい設定になっているので、設定中にほかのネットワーク機器に影響を与えないためにもゾーンを分離して設定したほうが障害発生時の切り分けも楽になる。
■設定は完全ではないが、安全度は十分高まる
安価なブロードバンドルータでの設定では、このレベルでのセキュリティアップが限界だ。本来であれば、80/443のポートもfon.comへのアクセスしか許さない程度の設定にして、認証後はVPN接続をしないとどこにもつながらない設定がより安心だが、低価格ブロードバンドルータでそこまでの設定ができるものはないはずだ。
そして、メールの送受信が危険だという話をすると、自分が送受信するメールはそれほど秘密のものでもないので、盗み見られてもかまわないという人もいるが、この場合守りたいのはあなたのメールではなく、あなたを信じてプライベートなメールを送ってきた方々のプライバシーだ。掲示板にメッセージを書き込んで情報交換をしているわけではないので、あなたを信じてメールを送信してきた方に対して、しっかりと情報が漏洩しないように守ってあげることが必要だ。
とかく、FONコミュニティに入る場合、契約条項に「FONコミュニティユーザにネットワークを使わせることをISPが許可している」といった類のチェックをさせる部分かある。この文面にチェックをしない限り、FONコミュニティには参加できない仕組みだが、おそらくストレートにISPに「見ず知らずの第三者に自分が契約しているインターネットを使わせたいがいいだろうか」と訪ねたところで、OKの返事がもらえるとは到底思えない。つまり、FONで公開APを作る場合は、自分ならびにISPにできる限り迷惑がかからないような仕組みを設計しないと、利用停止などの結果となって帰ってくるかもしれない。そのリスクを考えながら、FONアクセスポイントの設定をしてほしい。
ユーザ登録時にはISPからの許可が必要
(公家幸洋@RBB TODAY編集部)
