無線ＬＡＮのセキュリティと下宿でのネットの提供方法について(長文です)

今回、自宅で(大学生向けの下宿をやっているのですが)　入居者の方向けに無線LANでインターネットを提供しようと思っています。(今までは各自契約してもらっていたのですが、ただでさえ下宿のようなところは人が入りずらくなっていて、少しでもサービス向上と思い考えています。)　
方法としては、eoの1Gコースを引いて　1G対応ルーターを導入し、有線で各部屋に1G対応のスッチングハブを設置しようと思っていたのですが、電気屋の知り合いが無線ＬＡＮを使えば速度は遅くなるけど、配線とか面倒なこといらないし、nというのを使えば、普通の光(100Mbps)くらいの速度はでるよという話だったので、そうしようと思っています。

そこでここのサイトで少し調べてみたのですが、ただ乗りや通信内容がのぞき見できることがあるようなことを知りました。

セキュリティを正しく設定すれば、ただ乗りはできなくなることは分かったのですが、私が聞きたいのは以下の点です。

・無線LANのセキュリティを正しく設定すれば各部屋のPCからほかの部屋のPCの中を覗いたりといったことはできなくなるのでしょうか？？

・通信データののぞき見に関して、有線でも無線でもSSLという技術を使えば、とりあえずメールとWEB(メールはプロパイダーまで安全で、ウェブはWEBサイトが対応していれば安全)　のぞき見はできないとの記述があったのですが、サーバー側とPCで暗号化してるのであれば、暗号化のたね？？？？は必ず交換しないと復元することができないと思うのですが、このたねはのぞきみできないのでしょうか？　(交換していないとすると固定になっているか、決まった形式を使うしかないとおもうのですが)この記述は正しいのでしょうか？？　確かにサイト等にSSLは安全と書いてありますが、私は信用せず本当の個人情報は極力送信しないようにしています。ネットショッピングも使っていません。

・そもそも無線ＬＡＮで提供すること自体無理があるのでしょうか？？

・セキュリティを正しく設定してもほかのPCにつなげることができるのであれば、できなくする方法はあるのでしょうか？

以上、何点も申し訳ありませんが、教えてください。なお、大変申し訳ありませんが、プロの技術者の方に回答をお願いしたいと思います。

No.2 ベストアンサー 回答者： Yorisin 回答日時： 2009/06/17 10:36

renrui3844さんでほぼ回答が出ていますが補足。

・無線LANのセキュリティを正しく設定すれば～～
→無線APへの不正アクセス、また電波を傍受しての盗み見は防げますが、
　通常は正規のネットワーク参加者同士はお互いにアクセス出来うる状態となります。
　(これがLANですしね)


・通信データののぞき見に関して、有線でも無線でもSSLという技術を使えば～～
→SSL途中で盗み見を仕様としても複合化は出来ません。


・そもそも無線ＬＡＮで提供すること自体無理があるのでしょうか？？
→じゅうぶんアリです。
　ただし、有線LAN以上に管理者にはセキュリティモラルが求められます。
　といっても、無線LAN暗号化とMACアドレス接続制限などの一般的なセキュリティ対策をすれば、後は有線LANとそれほど変わりません。

・セキュリティを正しく設定してもほかのPCにつなげることができるのであれば、できなくする方法はあるのでしょうか？
→VLANやドメインなどを使い分ければ可能でしょうが、少々難しいですね。
　有線LANであれば安い(2～3万円)VLAN対応ハブで解決できますが、一般的な無線APに複数のPCを接続するような環境では難しいです。
　個人のPCでセキュリティ対策をしてもらうのが一番です。
　普通のファイアウォールソフトなどを使えば、LAN内同士でも明示的に許可しないとお互いに通信は出来ません。

　無線を使う際の条件として、各自で対策すること、また不正アクセスやその他違法行為をしない事を求めるのが良いと思います。
　例えば誓約書を書かせて、それがないと接続を許可しない(MACアドレスを登録しない)など。
　もちろん、学生さんが信用できないなら管理者のネットワークとは切り分けた方が良いです。
　これには前述のVLAN以外に、ブロードバンドルータに付いているDMZ機能などでも代用できます。


以上、参考になれば・・・

この回答へのお礼

　ありがとうございます。

なるほど、個人のPCで対策してもらうというのもありですね。
無線ＬＡＮか有線にするかは少し考えてみたいと思います。

お礼日時：2009/06/20 01:01

No.3 回答者： neon01 回答日時： 2009/06/19 15:25

ほとんど答えはでてそうなので補足だけ。

無線LANを最近の暗号で暗号化していればほぼ大丈夫です。
昔のWEPなどを使っていたらすぐに解読できてしまいますが今の物ならば大丈夫でしょう。

クライアントPC同士は通常通信できてしまいますがアクセスポイントの設定でクライアントPC間は通信させないと言う設定のアクセスポイントもあります。
参考URLにbuffaloの例をあげておきます。

参考URL：http://buffalo.jp/download/manual/html/air1100/

この回答へのお礼

　ありがとうございます。

　なるほど、無線ＬＡＮを使うのであれば、安くすますことができそうですね。

お礼日時：2009/06/20 01:03

No.1 回答者： renrui3844 回答日時： 2009/06/17 09:54

一応、元業務系SEの現新人ネットワーク管理者です。

>無線LANのセキュリティ

　いいえ、無線ＬＡＮのセキュリティを設定しても、同一セグメント(ネットワークの単位と考えてください)に別ＰＣがある限り、ほかのＰＣと通信することは可能です。ですので、設定によっては別PCを除くことができます。

>通信データののぞき見に関して、有線でも無線でもSSLという技術を使えば

　最近これに関する回答をした気がしますが、元ネタ私の回答ですか？ま、それはともかくとして、現時点においてはSSLを使用すれば安全に通信できると考えて頂いてかまいません。ご指摘の通り暗号のたねというものはクライアントとPCで交換されています。しかし、これは別の暗号化方法を用いて、暗号化しており普通にのぞき見することはできません。詳細は後ほど記述します。ただし、将来においてはこの限りではありません。その理由については参考URLの私の回答をご覧ください。

>そもそも無線ＬＡＮで提供すること自体無理があるのでしょうか？？

そうですね。nを使えば確かに条件によっては100Mbpsくらいの通信は可能でしょう。でも、条件がよければです。nでも大体はまぁそんなスピードはでません。どれくらいの部屋数があるのかわかりませんが、有線をお勧めします。

>　セキュリティを正しく設定してもほかのPCにつなげることが～

　いくつか方法は考えられますが、一番確実なのはセグメントを分けてしまうことです。VLANというものを使うことにより実現できます。ただし、VLAN対応のルーターなどが必要になります。

さて、SSLの件ですが、SSLでは公開鍵暗号と秘密鍵暗号という2種類の暗号方式を利用しています。公開鍵暗号とは、情報を暗号化するときと複合化するときでは違うたね(正確には暗号カギといいますが)を利用して暗号化/複合化を行います。
秘密鍵暗号とは暗号化・複合化で同一のたねを利用する方式です。

SSLでは、送受信するデータ(たとえば個人情報など)は秘密鍵暗号で暗号化されますので、ご指摘の通り、たねをそのままやりとりしてしまっては、複合化できてしまいます。

それを防ぐために公開鍵暗号で秘密鍵暗号で使われるたねを暗号化してやりとりを行います。そのため、秘密鍵暗号で使われたたねをのぞき見しても複合化できないデータとなっているのです。

公開鍵暗号で使われるたねは　公開鍵/秘密鍵いうもので、一方で暗号化したデータはもう一方の鍵でないと元に戻せない仕組みになっています。つまり秘密鍵で暗号化したデータは公開鍵でないと元には戻せませんし、公開鍵で暗号化したデータは秘密鍵でないと元にはもどせません。　SSLではクライアント側では公開鍵を利用し、サーバー側では秘密鍵を利用するような仕組みになっています。

参考URL：http://detail.chiebukuro.yahoo.co.jp/qa/question …

この回答へのお礼

ありがとうございます。

VLANについても調べてみましたが、いくつか種類があるようですね。いくつか疑問点がありますが、別途質問させてもらおうと思います。

お礼日時：2009/06/20 00:51