来客用の無線LAN環境を準備しよう
「WNDR4500」のゲストネットワークを活用する
2012.05.24
この製品の販売は終了しております。 最新製品のレビューはこちらへ
訪問者に無線LANを解放
事務所や自宅を訪れた第三者にインターネット接続用の無線LAN環境を提供したい。そう考えている人も少なくないのではないだろうか?
WiMAXやLTEなどのモバイルネットワーク環境が整いつつあるとはいえ、屋内で通信できるかどうかは環境次第となるうえ、そもそも訪問者が自前の通信環境を整えなければいけない。
ビジネスシーンでは、会議の資料をその場でメールしたり、Webサイトやクラウドサービスなどの生の資料を見ながら打ち合わせを進めるということが当たり前になりつつあるうえ、パーソナルなシーンでもスマートフォンやゲーム機などインターネット接続が可能な端末を持ち歩く機会が増え、より高速な無線LANをどこでも使いたいというニーズも増えてきているだけに、自前の無線LAN環境を訪問者のインターネット接続用に解放することは大いに意味のあることになりつつあるわけだ。
しかしながら、ここで問題になるのがセキュリティだ。自社、もしくは自宅で普段から利用している無線LANのSSIDや暗号キーをそのまま相手に伝えることは、いかに信頼している相手といえども問題がある。
第三者に接続情報が伝われば、そこから社内や自宅のあらゆるリソースにアクセスすることが可能になるうえ、盗聴や踏み台、マルウェアの侵入などといった被害に遭う可能性も格段に高くなってしまう。訪問者へのサービスとして無線を解放したくても、セキュリティを考えると二の足を踏んでしまうというのが実情だろう。
そこで活用したいのが、無線LANルーターに搭載されることが多くなってきたゲストネットワーク機能の活用だ。普段利用しているSSIDとは別に、ゲストに開放するSSIDを設定することで、訪問者が利用可能なインターネット接続環境を安全に提供することができる。
IEEE802.11n/a/b/g準拠で、2.4GHz/5GHzともに450Mbpsに対応した高速無線LANルーター「WNDR4500」を例に、ゲストネットワークの設定方法と、その際にどのように内部ネットワークを保護できるのかを見てみよう。
ゲストネットワークを有効化
それでは、実際の設定方法を見ていこう。WNDR4500では、標準で2.4GHz用の「NETGEARxx(xxは数字)」と5GHz用の「NETGEARxx-5G」の2つのSSIDが設定済みとなっており、ゲスト用のSSIDは有効になっていない。このため、まずは設定画面の「NETGEAR Genie」からゲストネットワークを有効にする。
設定は簡単で、設定画面で2.4GHzか5GHzのいずれかを選択し、「ゲストネットワークを有効にする」にチェックを付けるだけでOKだ。
ただし、このままでは暗号化も設定されていないため、セキュリティに問題がある。暗号化なしの方が接続は楽だが、そのまま接続すると訪問者が無線LAN経由で通信した内容が第3者に傍受されるおそれが高く、仕事などで利用するのに適していない。
WNDR4500では、ゲストネットワーク用のセキュリティ設定としてWPA-PSK[TKIP]、WPA2-PSK[AES]、WPA-PSK[TKIP]+WPA2-PSK[AES]の3種類の設定が選択できる。このうちTKIPを利用した方式では最大速度が54Mbpsに制限されるので、IEEE802.11nで通信したい場合はWPA2-PSK[AES]を選択し、暗号キーを設定しておこう。
このほか、セキュリティ設定のオプションとしては、無線LAN機器同士の通信禁止、SSIDブロードキャスト、ローカルネットワークへのアクセス許可の3つの設定が存在する。このうち注意したいのが無線機器同士の通信禁止だ。
ローカルネットワークへのアクセスは標準で禁止されているので、ゲストネットワークに接続した端末から、WNDR4500の設定画面や有線LANで接続している機器、通常のSSIDに接続している機器に対して通信することはできないが、無線機器同士の通信は標準では禁止されていないのでゲストネットワークに接続した端末同士の通信が可能になっている。
家庭で使う場合であれば、ゲーム機などのローカル通信を許可する意味でも無線機器同士の通信を有効にしておいてもかまわないが、企業などの複数の会議室などに対してゲストネットワークを解放する場合であれば、異なる企業の訪問者が混在することを考慮して無線機器同士の通信は禁止にしておくといいだろう。
定期的な暗号キーの変更や接続端末の確認を忘れずに
このように、ゲストネットワーク自体を手軽に有効にできるWNDR4500だが、実際に訪問者に対してゲストネットワークを提供する場合は、運用上、いくつか注意したい点がある。
まずは端末の監視だ。WNDR4500では、有線、通常のSSID、ゲストネットワークのそれぞれに接続中の端末を「NETGEAR Genie」から確認できる。機器名などを確認できるので、訪問者が誰も接続していないときなどに接続状況をチェックして、不正に接続している端末がないかを確認するといいだろう。
また、ゲストネットワークの暗号キーを定期的に変更することも重要だ。理想は毎日変更することだが、さすがに管理の手間がかかるので、1ヶ月に1度くらいの頻度で暗号キーを変更しておこう。
暗号キーの変更は訪問者が接続する際の負担増になってしまうが、第三者に暗号キーが流出してしまった際などでも、不正アクセスを防止できるメリットがある。手間を惜しまずに定期的に変更するといいだろう。くれぐれも一度設定したまま放置することがないように注意したいところだ。
ReadyShare利用時はセキュリティ設定に注意
このほか、ReadyShareを利用する場合も注意が必要だ。ReadyShareは、WNDR4500に搭載されているUSBストレージの共有機能だ。本体背面にUSBメモリやUSB HDDを接続することで、ネットワーク上の端末からデータを参照することができる。
基本的には、社内や家庭内での簡易的なファイル共有の用途に使う機能だが、たとえば、有効化したゲストネットワークに接続した訪問者とデータを共有するといった用途にも活用できるといわけだ。
しかしながら、前述したように、ゲストネットワークでは標準でローカルネットワークとの通信が禁止されているうえ、ゲストネットワークに接続した端末同士での無線通信も禁止されているため、セキュリティ設定が施されたゲストネットワークとの間でReadyShareを利用することができない。
もちろん、ReadyShareのためにゲストネットワークのセキュリティ設定を変更することは可能だが、その場合、ReadyShareだけでなく、WNDR4500の設定画面やLAN上の端末にもゲストネットワークからアクセスできてしまう。
ReadyShareを利用したい相手にはゲストネットワークではなく、通常のSSIDに接続してもらうというのも1つの方法だが、一般的には、多少手間がかかったとしても一時的にゲストネットワークのローカルネットワークアクセスを許可し、共有が終わったら設定を元に戻すのが現実的だろう。
用途や公開する相手を考慮して設定しよう
以上、WNDR4500のゲストネットワークの設定と運用方法について紹介したが、実際にどのようなセキュリティ設定で利用するかは、自社や自宅のポリシー次第だ。企業で使うのであれば、なるべく厳しいセキュリティ設定にしておくべきだが、家庭で利用するのであれば、手軽さを考慮して、甘めのセキュリティ設定で運用するのも1つの方法といえる。
いずれにしても、ゲストネットワークを有効にすることで、端末からどこまで接続できるのか、アクセスを禁止するにはどのような設定をすればいいのかをよく確認してから使うことが非常に重要になる。利便性だけでなく、リスクも考慮したうえでゲストネットワークを活用するといいだろう。
(Reported by 清水理史)
関連リンク
- WNDR4500 製品情報
- http://www.netgear.jp/products/details/WNDR4500.html
