【GW特別進行】RTX1210+SWX2200+FWX120+WLX202で無線LAN環境設定(2)
こんばんは。「今日から新年度だぁ~!」と気分新たにした4/1からあっという間に約1ヶ月。早いものですねぇ。あっという間にゴールデンウィークですねぇ。暦通りの方、9連休(またはそれ以上の方)の方、暦関係なくお仕事の方といろいろおられるかと思います。
余談ですが、「GW」と書いてしまうと、どうしても「ゲートウェイ」の方が最初に頭を掠めるのは職業病ですかね?(^^;
そんなことはさておき、YAMAHA製ネットワーク機器で固めたネットワーク構築の続きです。全体像については後日書くことにして、今回は無線LANにフォーカスします。
なので、WLX202中心の話題展開になるかと思います。
最初の設定で少々面食らう
工場出荷時のWLX202のIPアドレスは192.168.100.240/24に設定されているんですね。構築するネットワークが192.168.100.0/24でなかった場合は、閉じたネットワークを設定用に一時的に作る必要があります。「スイッチングハブを用意しないといけないかな?」と思っていたのですが、PCをWLX202に直結出来るんですね。(ちょっと安心)
ここではとりあえず本来設定すべきIPアドレスに設定しておきます。設定変更後通信が出来なくなりますが、当該サブネットに属するポートに接続し直します。
万一、動作しない場合は工場出荷時の設定にリセットします。電源を入れると同時にリセットボタンをしばらく押しておきます。すると、IPアドレスが192.168.100.0/24に戻ります。
WLX202自体はマルチSSID対応です。SSIDとVLANIDを紐づけて、複数の無線LAN接続が可能になります。ですので、RTX1210やSWX2200側に無線LAN用タグVLANを複数設定しておきます。ここで忘れてはいけないのは、WLX202管理用VLANを別に設定しておくことです。無線LAN用に割り当てたIPアドレスを振ってしまうと、無線接続出来る端末が1台減るということもあります。が、それよりも、一般ユーザがWLX202管理画面に接続出来てしまうという問題の方が大きいです。ですので、管理画面を一般ユーザに見せないためにも、別に管理用VLANを設定しておくことが望ましいです。
その際、タグVLAN設定時にあらかじめ管理用VLANを作っておくことをおすすめします。無線APを接続するためのポートには無線LAN用の複数タグVLANに加えて、管理用VLANのタグも出しておきます。
ここで注意しないといけないのは、Web管理画面(ダッシュボード)で「無線APを設定」のリンクボタンが表示されないという問題です。
実は、この前にSWX2200でアクセスポート(単一のタグしか出していない状態)にして、別のVLANに属するようにしてWLX202を接続してみました。このときは「無線APを設定する」というリンクボタンは表示されました。
トランクポートにしていると、WLX202を接続している状態で無線AP管理用VLANにつながる「無線APを設定する」というリンクボタンは表示されませんでした。
(もちろん、「VLAN間通信を全拒否」に設定すれば、Web管理画面自体が表示されませんw)
YAMAHAの設定例ページに書かれていない設定をすると、ウロウロすることがありますので、注意が必要ですね。(^^;
「RTX1210+SWX2200+FWX120+WLX202で無線LAN環境設定(3)」では、RADIUSサーバ機能について書いてみたいと思います。<(_ _)>
<つづく>
【GW特別進行】有馬温泉に行ってきました
こんばんは。今回はITネタを離れています。今日(既に日付は変わってしまいましたが(^^;;)は有馬温泉に行ってきました。三宮駅から地下鉄-->北神急行-->神戸電鉄と乗り継いで有馬温泉駅に到着しました。
こちらが有馬温泉駅です。こぢんまりとした駅舎です。中にうどん屋と小さい売店がありました。
で、ここから徒歩数分の「金の湯」方面に向かいました。金の湯の前には足湯があって、隙間なくお客さんが浸かっていました。入りたかったんですが、なかなか空く風はなく、結局断念しました。(^^;;
ちなみに以下の画像は、金の湯に向かうまでの間にある川でした。
多くの方々が川縁に降りてました。
こちらはそば処で見掛けたポスターです。 KOBE Free Wi-Fiの外国人向けポスターですね。こちらを見て分かりますように、FacebookかTwitterかGoogleのアカウントを浸かった認証か、メールアドレスを使った認証を行っているようです。ただ、ここでは無線区間が暗号化されているのか、されてないのか、暗号化されているとした場合、WEPなのか、WPAなのか、WPA2なのかは不明です。(実際に試す時間がありませんでした)
KOBE Free Wi-Fiのマークは有馬温泉界隈で時々見掛けました。どれぐらいの人が使っているのかは不明です。(^^;;
金の湯と銀の湯に行ってきたのですが、スーパー銭湯に行くと飲みたくなるのは珈琲牛乳ですよね。紙パック入り牛乳じゃなくて、瓶入り牛乳なのが重要ですよね。気分的なものもあるんですが、湯上がりに飲むと、2割増しで上手く感じるんですよね。不思議とw
左手を腰に当てて飲むのはお約束ですね。(^^;;
ということで、今回は日帰り有馬温泉レポートでした。<(_ _)>
CATVの中の人にワイドFMが通じなかった話
こんばんは。情報処理安全確保支援士ネタや、YAMAHA製NW機器のネタや、春期情報処理技術者試験ネタなど、いろいろ書きたいネタはあるんですが、「じっくり考えてから書きたい」と思うと、なかなか書けませんね。(^^;
これらのネタに埋もれていたネタでもあるのですが、タイトルにある通りのお話です。
先日、住んでいるマンションにCATVの電波調査ということで、中の人が調査に来られました。これは詐欺ではなくて、マンション全体として毎年行っている調査です。
なので、調査員は本物ですw 決して「CATV会社の方から来ました」みたいな詐欺まがいの台詞は吐きませんw
意外にもワイドFMのことを知らなかったようです
それはさておき、地デジ再送信の電波状態に問題ないことを確認いただき、ついでにワイドFM再送信の予定について聞いてみました。
すると、中の人曰く「知らないです。何ですか、それ?」と。そんなもんなんですかねぇ。世間一般の認識は。一応関係する業界なので、知識としてはあるのかなと思っていましたが…。(たまたまその人が知らなかっただけなのかもしれませんが)
で、「アナログTV1~3チャンネルの周波数帯のうち、90MHz~95MHzの範囲でAM局が都市部難聴解消などを目的として(AMとは別に)同じ内容を送信しているんですよ。」と説明しておきました。FM放送の再送信は既に提供されているので、ワイドFMの再送信サービスの予定について聞いてみました。中の人氏は「専門的なことで僕にはよく分かりませんから、担当の者に電話しますから、お客さんが直接話をしてもらえませんか?」と。
それなりにコストがかかるので、すぐにとは行かないのでしょう…
それで話をしましたところ、「ちょっと調べてみます」と言われ、いったん電話を切り、しばらくしてコールバックがありました。「今のところサービス予定はありません」とのことでした。うーん、残念。高層ビルやマンションが増えたことや、PC・スマホなどの電子機器の放つノイズの影響でAM局の受信が厳しくなってきてます。せっかくFM再送信をしているのであれば、ワイドFMも再送信してほしいのですが、これも設備投資の問題があるので、すぐにはと行かないのでしょうね。
まぁ、一応FMラジオでも問題なく受信は出来ますが、CATV再送信であれば、よりクリアに聴こえるかと思いました。まぁ、radikoもあるのですが、放送波で聴くのはまた別の味わいがありますしね。(^^;
GW特別進行を予定してます
おはようございます。今日からゴールデンウィークに突入しましたが、期間中はIT関係から離れたネタを書いてみようかなと画策中です。(そう言いながらもITネタが出てくるかもしれませんが。(^^;)
ネタ発生の具合によっては、1日複数回更新するかもしれません。まぁ、この期に及んでゴールデンウィークの予定を何も立ててないというあたりがアレなんですけどね。(^^;
日帰りで行ける範囲のお出かけ中心になりそうな気がします。普段出来ない家事をすることになりそうですし、他にはラズパイいじり倒したり、YAMAHAルータやスイッチやFWのconfigをごそごそ眺めていたりするかもしれません。
個人的にはプチ旅行ネタを書きたいなとは思っているところです。
ゴールデンウィークは少々変則的になりますが、お付き合い下さいませ。<(_ _)>
無線LANタダ乗り事件に関する判決が出ましたね
こんばんは。無線LANタダ乗り事件に関する判決が出ましたね。読売新聞とNHKの記事からです。「電波法的には無罪・不正アクセス禁止法的には有罪」という判決内容でした。
事前共有鍵の解読では罪に問われず
前者に関して、読売新聞・NHKの記事両方共「事前共有鍵を解読することはセーフ」であると読めます。もう少し読み進めると、読売新聞の記事では「他人の暗号鍵を使っただけでは罪にならない」とありました。この文章から「解読した事前共有鍵を用いて自分が通信する分にはOK」と取れます。「事前共有鍵を解析して接続したけど、本来の契約者の通信を傍受して悪用したわけではないからセーフ!」ということなのでしょうか。電波法も現在のインターネット普及状況を想定して作られたものではないということもありそうです。「電波を受信して内容を漏らすのはアウト!」というのは分かりますが、電波法が作られた当時は「通信内容を傍受せず、その電波を利用して自分が通信する」ということは考えも及ばなかったのでしょうね。(当然でしょうが)
どうも腑に落ちないところがありますが、法律が社会状況に追従出来てない証拠ですね。こうしてみると、検察側の「事前共有鍵データはそれ自体が通信内容になる」との主張は無理筋だということになってしまいます。理屈としては分かります。
さすがにタダ乗りでネットバンキング用ID・パスワードの詐取やウイルスメール撒き散らしは有罪になりましたね。
情報セキュリティの専門家である大学教授のコメント
最後に識者のコメントが掲載されていますね。読売新聞は立命館大学の上原哲太郎教授、NHKは慶応大学の武田圭史教授ですね。上原先生の「暗号鍵自体は封筒の外側だけを見ているだけのようなもの」という表現は納得です。カッターナイフを持っているということと、カッターナイフを使って中身を開けて読むという行為は全く別物ですよね。なので、カッターナイフを持っているだけであれば罪に問われないのは当然ですね。
武田先生の「自分のものでない無線LAN利用を全て取り締まるのは無理がある」という意見は分かりますが、公衆無線LANを出してくるのはここでは違うんじゃないかと思います。公衆無線LANは不特定多数のユーザに利用してもらうことを目的としていますが、家庭内無線LANはあくまで家族が使うことが前提です。他人に使わせることを想定してませんしね。(^^;
「無線LAN設置者が適切に管理するしかない」という点ですが、適切に管理出来ない人が使っているケースも少なくないわけですが、この問題をどうするかは読み取れませんでした。「適切に管理出来ないなら、無線LANを使わずに大人しく有線LANを使え」ということなんでしょうかねぇ。(^^;
無線LANに関しては、もう少し考察してみたいと思います。<(_ _)>
RTX1210+SWX2200+FWX120+WLX202で無線LAN環境設定(1)
こんばんは。以前からの懸案だったRTX1210+SWX2200+FWX120+WLX202のYAMAHAネットワーク機器で揃えたネットワーク構築もほぼ完成を迎えそうです。
有線に関しては、フィルタリングの一部を除いて完了しました。有線だけで暫定的に運用し始めて、無線LANをボチボチ整えて行くという手もあったのですが、LANケーブルの配線や、ネットワーク機器をラックに収めるなどという作業も残っています。
そう考えると、一部フィルタリング設定を最後にやってNW切替という流れかなと。
無線LAN環境の構築なのですが、以下のようなことを想定していました。
- 事前共有鍵の利用はしたくない
- ユーザ個々にID・パスワードを発行したい
- 社内リソースに一切アクセス出来ないゲスト用SSIDを用意したい
- マルチSSID対応にしたい(用途毎のSSID)
- 無線AP管理用VLANを設定して一般ユーザに管理画面を見せたくない
上記のようなことを考えていました。なので、設定がちょっと面倒だったことがありました。「こういう風に設定したい」というイメージは固まっているのですが、なかなか思うように行ってくれないんですよね。(^^;
YAMAHAの事例紹介サイトでは、無線LANが192.168.100.0/24で構成されている例が多いですね。まぁ、デフォルトが192.168.100.240に設定されていますから当然ですが。(^^;;
と、LAN1をタグVLANにしていて、タグなしネイティブVLANが192.168.100.0/24になっていたりするので、余計なことをせずにそのままWLX202群を接続する管理用VLANが設定しやすいというのはありますね。
今回は192.168.100.0/24ではない別のネットワークを管理用VLANに設定しました。SWX2200の2つのポートをSSID(1)とSSID(2)と管理用VLANの3つのタグを出すように設定しました。そうすると、ダッシュボード(WebGUIですね)から無線AP設定が上手く連携してくれないという問題がありました。(VLAN間通信を全開放してもNGでした)
話が長くなりそうですので、詳しいことは次回送りにさせていただきます。<(_ _)>
鹿児島の私立高校で情報漏洩事件が発生していたようです
こんばんは。鹿児島情報高校での情報漏洩が発覚しました。ここ最近のニュースでは小学校・中学校・高校での情報漏洩事件というと、公立学校が多いという印象を受けていました。今回は私立高校です。読売新聞からの記事です。
情報漏洩が起きたのが鹿児島情報高校です。「情報高校」と聞くと、一般的なイメージではセキュリティ対策がしっかり出来ているという印象を抱きそうですが、今回はその逆のようです。
安易なBYOD導入は結果的に高くつくという事実
記者会見の様子をから推測するに、私物PCを認めているという点に問題の一部がひそんでいるのではないでしょうか。厳格に管理するのであれば、職員全員に公用PCをあてがうのが筋です。OS自体、そしてバージョンを統一することで一元管理がたいへんやりやすくなります。管理者の目が届きやすくなります。
校長は「私用PCを認めている。私用PCでも校内LANに接続すれば閲覧可能。」と説明しています。個人の私物PCのセキュリティ管理をどこまで信用出来るのかという点についてはどのように考えていたのでしょうか?「学校購入のウイルス対策ソフトのインストールを指示している」と弁明していましたが、実際どの程度徹底されていたのでしょうか。そもそも私物にどこまで強制出来るのかという問題はあります。
私物PC持ち込みはセキュリティ管理のハードルを大きく上げるという事実
私物PCを認めているというのは、単なるコスト削減だったのではないかと見ています。「1人1台PC支給は高く付くから持ち込んで貰おう!」という安直な発想だったのだろうという気がしてなりません。個人の持ち物ですから、OSもバラバラでしょう。WindowsもあればMacもあると。同じWindowsでも7や8.1や10が混在していたり。仮にVistaを使っている教員がいたら、「アップデートを指示する」のでしょうか。「指示する」だけであって、金を出さないのであったら、たぶん対応しないでしょうね。当人は。なので、素人が安直にBYODを許可すると、結果的に管理コストが高くついてしまいます。そのへんの発想は校長にはなかったのでしょうか。
「ファイヤーウォールさえあれば大丈夫」と本気で信じていないか!?
管理の甘さの指摘に対しては、「学校としてはファイヤーウォールをしっかり管理し、外部からの侵入がないよう対策は立てている。」と釈明してました。さて、この釈明を聞いて100%信用出来ますか?
FW万能論者なところが「なんだかなぁ…」と思いました。「とりあえずファイヤーウォール入れとけば大丈夫だろう」と信じ込んでる感がプンプンしますね。(^^;;
脅威は外部からの侵入だけではないんですが…。内部PCのウイルス感染によるbot化で情報漏洩を引き起こしているかもしれません。メールやWebからの感染だった場合、単純にFWだけで防ぎきれるものではないということを理解してなさそうに思えました。他には持ち込みPCによる問題も考えられます。校外でどのような使われ方をしているのか分かりませんが、持ち込みPCに個人情報を保存していて、インターネット接続した際に漏洩した…ということもありそうです。他にUSBメモリからの情報漏洩も考えられそうです。FWを入れたことで「大丈夫」と思って慢心していたのかもしれません。
情報漏洩の原因は外部からの攻撃だけじゃない!
この校長は「情報漏洩は外部からの攻撃でのみ起こる」と信じている(と思われる)
ところが問題ですね。よく言われている「外部から攻撃されることは仕方ない。仮に侵入されても外に情報を漏らさないような仕組みにする」という発想が欠落していたのはどうやら間違いなさそうです。
で、最後に「外部からの攻撃にどう対処するのか、しっかり研修しなければならない」という台詞で結んでいましたが、その前に「情報漏洩の原因は外部からの攻撃だけではない。内部からの漏洩やUSBメモリなどの可搬媒体からの漏洩も起き得る。」といったような様々な可能性においても検討し、適切な対策を練るべきであることを校長に理解してほしいものです。
このままでは、「情報漏洩高校」などと揶揄されかねないという危機感を持ってほしいです。(^^;;