リモートワークで業務PCをスマートデバイスと隔離する

見えてしまう……

こんにちは。日々是発見を楽しんでいる西山です。

コロナ禍をきっかけに私もリモートワークメインの勤務に移行し、自宅の宅内LANに業務PCを接続してアクセスしていますが、業務PCから自宅のスマートデバイスが見えてしまうのが気になっていました。

MicrosoftTeams-image (7)

また、自宅PCのデータをバックアップするNASもあるのですが、それもアドレスを指定しユーザー名・パスワードを入力すればファイルの読み取り、書き込みともできてしまいます(もちろん意図して接続したりはしないですが)。
セキュリティが私個人のモラル頼み、というのはすっきりしないですし、スマートデバイスが何らかの脆弱性で乗っ取られてしまったら……という心配もあります。

かと言って業務PCのWindowsを共有オフにしてしまうと、今度はVPNで接続している会社のファイルサーバーやActiveDirectoryサーバーに接続できなくなってしまいます。
そこで、業務PCだけを宅内LANから独立させることにしました。

VLANを作ろう

今回使うのは、ネットワーク用語で言うと「L3スイッチ」。
私は、Netgearの「GS105Ev2」を購入しました(Netgearでは「アンマネージプラススイッチ」というカテゴリーになっています)。

GS105Ev2 — 5 Port Gigabit Ethernet Smart Managed Plus Switch

 

やる事は、

  • GS105Ev2で「ポートベースVLAN」を設定する
  • 業務PCとその他の宅内LANの機器を別のVLANに所属させる
  • VLANどうしの通信ができないよう設定する(インターネットには接続できる)


こちらが接続図です。
ルーターの下にGS105Ev2を接続し、ここでVLANを切って業務PCの通信を独立させます。
※製品写真はNetgear社の製品ページより引用
IT サービス (1)


では、GS105Ev2でポートベースVLANを設定します。
マニュアルに従って、GS105Ev2のWeb設定画面に接続します(初期設定ではDHCPでアドレス設定されます)
初期パスワードは必ず変更しておきましょう。

MicrosoftTeams-image (11)

「VLAN」メニューを開き、「拡張ポートベースVLAN」を「有効」に変更してから、どのポートがどのVLANに所属するかを設定します。
「チェックをオンにしたポートがそのVLANに所属する」のを覚えておいてください。

今回は、
・VLAN1(業務PC):ポート4・5
・VLAN2(宅内LAN):ポート1・2・3・5
と設定しました。

そして、業務PCをVLAN1に所属する「ポート4」に接続します。
VLAN1とVLAN2はネットワーク的に隔離されるので、ポート1・2・3に接続された宅内LANのデバイスとポート4の業務PCは通信できません。
一方、VLAN1もVLAN2もポート5でルーターにつながっているので、インターネットには接続できます。


実際に自宅PCと業務PCから、宅内LANの「Google Echo Show」にpingを投げて確認してみましょう(分かりやすいように、ルーター(192.168.0.1)にもpingを投げています)。
自宅PCからpingを送ると「Google Echo Show」から応答があります。

MicrosoftTeams-image (9)-1

業務PCから「Google Echo Show」にpingを送っても、パケットが転送されず「到達不能」エラーとなります。
しかしルーターとは疎通できているので、インターネットとは自由に通信可能です。

スクリーンショット 2022-12-15 133747-2
これで業務PCにスマートデバイスがつながらないようにできました。

無線LANではどうするの?

今回は、業務PCを有線LANで接続しています。
無線LAN接続だと、このような独立設定はできないのでしょうか?
実は、無線LANルーターのモデルによっては同等の設定が可能です。

MicrosoftTeams-image (1)-1

これはbuffaloの「WXR-5700AX7S」の設定画面ですが、SSIDの設定に「隔離機能」という項目があります。
これをオンにすると、このSSIDに接続した無線LAN機器は「インターネットに接続できるが、他のSSIDやルーターのLANポートに接続したデバイスとは通信できない」状態になります。
ですので、「SSIDを新しく設定し、隔離機能をオンにして、業務PCだけをそのSSIDに接続する」ことで、L3スイッチでVLANを作ったのと同じことができます。こちらの方が手間としては簡単ですね。
Wi-Fiパスワードは他のSSIDと違う物にして、ご家族が間違ってつながないようにしましょう。

「隔離機能」についてはルーターのメーカーごとに違う用語を使っている場合がありますので、詳しくはお持ちの機器のマニュアルを調べたり、メーカーサポートにご確認ください。