自宅のネットワークについて

自宅でネットワークを組んでいます。

このネットワークについていい方法がありましたら、お助けください。

下記、接続状況。
-----------------------------

【インターネット】-【CTU】-※【HUB】


※【HUB】には、下記のものを接続しています。
　・ファイルサーバサーバ（24H稼動）
　・無線LAN（アクセスポイント・24H稼動・WEP128bit）(型番・AtermWR7600H）
　・PC1（メイン・使用時のみON）
　・PC2（サブ・使用時のみON）
　・モノクロレーザープリンタ
　・（予定　「AirStation HighPower WHR-HP-G」）（
ノートPC用・WPA当で使用予定）
　

----------------------------

このような状況です。

ここで気になるのが、【HUB】に無線LAN（アクセスポイント・24H稼動・WEP128bit）を接続していることです。

WEPが最近、１分足らずで解読できるようになりました。
それに伴い、セキュリティーの向上を図りたいと思っております。
特に、２４時間稼動のファイルサーバがあるので、とても心配です。

これは、ゲーム機DSLiteがWEPにしか対応していないため、このような形になっています。（つい最近までは、このWEPでノートPCも接続したりしていました。）

これが非常に気になり、これを改善したくアドバスを頂戴できないかと思いお尋ねしました。



お尋ねする内容を簡単に挙げると、

　1：アクセスポイント（WEP128bit）から、他のPCへアクセスできないようにする方法（共有フォルダはもちろん、ワークグループへもアクセスできないようにしたいです）

　2：ネットワークは、ワークグループで組んでおり、そのワークグループ名もばれないようにする方法（PCにユーザー名が振ってあり、それがばれないようにしたいです）

　3：アクセスポイントだけ、自宅のネットワークにアクセスできないようにする方法（直接インターネットのみに接続。後は不可）


上記、1・2・3のうちどれか可能なものがありますでしょうか？
もし可能でしたら、アドバイスをいただけないでしょうか？
また、上記以外にもっといい方法がありましたら、合わせてアドバイスのほどよろしくお願いいたします。


※OSは、「Windows Xp pro」と「Windows Xp Home」です。よって、ドメインでの管理は不可とお考えください。
　とりあえず、ノートPCは別のルータ（AirStation HighPower WHR-HP-G）を別途用意し、WPA等で使用するつもりです。

No.8 回答者： tatsu-hts 回答日時： 2009/07/10 10:09

はじめまして。

なんか、話の方向性がずれていってるような気がします。
セキュリティの事を語りだすと切りがなくなりますので、
無線セキュリティ云々は言わないでおきます。

で、本題のご質問の件ですが、　

1：アクセスポイント（WEP128bit）から、他のPCへアクセスできないようにする方法
（共有フォルダはもちろん、ワークグループへもアクセスできないようにしたいです）

→どなたかがおっしゃってますが、現在の無線ルータを別ネットワークにすれば良いです。
　　　さらに言うならば、CTUでPPPoEブリッジ機能を有効に出来るなら、
　　　現在の無線ルータを直接PPPoE接続でネットに繋げば良いと思います。
　　　（私は、西日本ユーザでは無いのでCTUがどんな機能を持っているのか知りません）

　2：ネットワークは、ワークグループで組んでおり、そのワークグループ名もばれないようにする方法
（PCにユーザー名が振ってあり、それがばれないようにしたいです）
　　→質問者様はWPA2ならば安全と思っているのですよね？
　　　であれば、上記方法ですべて解決です。

　3：アクセスポイントだけ、自宅のネットワークにアクセスできないようにする方法
（直接インターネットのみに接続。後は不可）
　　→上記同様解決


（余談です）
　もうちょっと質問者様は、回答者様へ敬意を払った方が良いと思います。
　まずは、セキュリティを行う事のメリット・デメリットは何ぞや？から勉強したほうが
　良いと思います。
　要は、セキュリティ強化=不便・金かかる　という事を理解したほうが・・・・
　究極のセキュリティ強化は無線を使わない事です。（これも企業では当たり前のセキュリティ対策です）
　でも、自身でWEP解析するくらいのスキルがあるんだから・・・こんな質問普通しないけど・・・
　余談でした。。無視してくださいな。
　

この回答への補足

とりあえず、今頂戴しましたアドバイスを元に、自分なりに解決を図ってみます。
ここで、いったん締切といたします。

回答をいただいた皆さん、本当に有難うございました。

補足日時：2009/07/10 11:10

この回答へのお礼

回答有難うございます。

＞どなたかがおっしゃってますが、現在の無線ルータを別ネットワークにすれば良いです。

この情報は大変ありがたいものです。
koi1234さんからも同じアドバイスを頂戴しました。今それに関して手順等をあさってるしだいです。
ただ、昨夜調べた限りでは、pppoeの場合、プロバイダが対応していなければ、メインセッションが切断される可能性があるとの事でした。
まだ、スキルが無く試せてはおりませんが、この方法で無事解決できればいいなと思っております。


＞質問者様はWPA2ならば安全と思っているのですよね？であれば、上記方法ですべて解決です。

それが解決ではないのです。
そのあたりも最初に説明を載せておりましたが、DSLiteはWEPにしか対応しておりません。



＞もうちょっと質問者様は、回答者様へ敬意を払った方が良いと思います。

どのあたりのことでしょうか？
十分に敬意を払いながら、精一杯の返答をしているつもりです。


＞まずは、セキュリティを行う事のメリット・デメリットは何ぞや？から勉強したほうが良いと思います。
　要は、セキュリティ強化=不便・金かかる　という事を理解したほうが・・・・

十分に理解しているつもりです。
その中でも、お金をかけずに解決できればそれを試みるのが一般的と思っております。
それがダメでしたら、おっしゃられるように、お金を出して解決を図るか、あきらめるかの選択になると思うので、それは最後に判断を下そうかと思っているしだいです。
とりあえず、私の考えのことができるかできないかをお伺いしているのです。
それで、できるのであれば、それを試みたと思っており、できないのであれば、あきらめて、最後の判断を下そうかと思っております。


＞究極のセキュリティ強化は無線を使わない事です。（これも企業では当たり前のセキュリティ対策です）

おっしゃるとおりです。
しかし、その前の段階の質問をしているのです。
それで解決法があれば、「無線を使わない」という選択は必要ありませんので。


＞でも、自身でWEP解析するくらいのスキルがあるんだから・・・こんな質問普通しないけど・・・
　
私自身は何もスキルはありません。
自分でWEP解析したことはありません。
しかし、自身のスキルアップのために、近いうちには試みたいと思っております。

お礼日時：2009/07/10 10:52

No.7 回答者： bunjii 回答日時： 2009/07/09 22:22

>最初に申しましたが、、今はそれが1分前後で可能となっており、とても容易なこととなりました。

あなた自身がそこまで検証しているのであれば無線LANを使わないことです。
但し、実際にあなたの無線LANが攻撃を受ける確率は微小であると思います。
単なる話だけで無線LANのパケット解析が容易であることを知ったのであれば確認の必要があるでしょう。（話の出どこを補足して下さい）

この回答への補足

ソースをいくつか挙げます。

足りないようでしたら追加いたします。

http://d.hatena.ne.jp/plots/20070509/1178719248
http://detail.chiebukuro.yahoo.co.jp/qa/question …
http://riever-ret.blog.so-net.ne.jp/2008-10-15
http://gigazine.net/index.php?/news/comments/200 …
http://ja.wikipedia.org/wiki/WEP
http://tamuchi.net/archives/2008/10/lanwep.html
http://www.ez0.net/2008/10/wep/
http://d.hatena.ne.jp/minamijoyo/20081014/p1
http://www5e.biglobe.ne.jp/~komichan/network/n1_ …
http://mediajam.info/topic/655833
http://mediajam.info/topic/282854
http://slashdot.jp/~NightWalker/journal/455718
http://itpro.nikkeibp.co.jp/article/OPINION/2008 …
http://space.geocities.jp/wireless_defence/html/ …
http://gigazine.net/index.php?/news/comments/200 …
http://internet.watch.impress.co.jp/cda/event/20 …
http://www.ez0.net/tag/wep/
http://orange.zero.jp/cn927.oak/21_018.htm
http://itpro.nikkeibp.co.jp/article/COLUMN/20060 …
http://funyara.s193.xrea.com/funyara/pc4/aircrac …
http://japan.cnet.com/news/com/story/0,200005602 …
http://oshiete.goo.ne.jp/search_goo/?from=&PT=&s …
http://www.soi.wide.ad.jp/class/20050022/slides/ …
http://www.lac.co.jp/info/spiffy_reviews/pdf/3.p …キー 解読'

補足日時：2009/07/09 23:02

この回答へのお礼

回答ありがとうございます。

＞あなた自身がそこまで検証しているのであれば無線LANを使わないことです。

今回はWEPに限った話をしているので、無線LANを使うなとはちょっと乱暴にも思えます。
先ほども申しましたが、無線LANを使わないという選択肢は、最後の手段と思っております。
今お伺いしているのは、そのようなことではなく、最初の質問の件です。
私が求めていることが可能なのか不可能なのかということをお伺いしたいんです。
絶対に不可能でしたら、他の手段がないということで、、そのようにいたします。


＞但し、実際にあなたの無線LANが攻撃を受ける確率は微小であると思います。

攻撃を受ける受けないや、確率の話ではなく、セキュリティーを高める話をしているのですが。
私にできることであるならば、やっておきたいと言ってるんです。

＞単なる話だけで無線LANのパケット解析が容易であることを知ったのであれば確認の必要があるでしょう。（話の出どこを補足して下さい）

このことはごく最近では周知のことと思っておりました。
まさか話の出所（説明）を求められるとは思わず、準備はしておりませんでした。
とりあえず、ソースを挙げておきます。

文字数がオーバーしますので、別に挙げます。
足りないようでしたら追加いたします。


逆におたずねさせていただきたいのですが、

　１：ステルスモードになっていて、MACアドレスの接続制限をしていれば暗号解読は出来ない
　２：ステルスモードではSSIDを公表しませんから電波を傍受しても暗号解読まで進めない
　３：MACアドレスで接続を制限すれば暗号キーの変更のための接続が不可能
　４：無線LANのパケットを傍受するのは容易なことでは無い
　５：暗号キーの解読は通信中のパケットからではなくアクセスポイントの設定内容を有線接続で解析しているもの
　６：しかし、MACアドレスで制限されていれば無線LANには接続出来ませんので、ファイルサーバに不正アクセスが出来ないと思います。

この１～６までの根拠をソース等を用いて、個別に教えてはいただけないでしょうか？
どうも私が理解しているものとズレがあるようです。
多分、私の知識不足が原因だと思います。
後学のため、どうか教えていただけないでしょうか？
よろしくお願いいたします。

お礼日時：2009/07/09 23:02

No.6 回答者： bunjii 回答日時： 2009/07/09 19:25

>通信がなされていない状況でしたら、わからないかもしれませんが、通信がなされていれば、パケットを拾われたらわかると思います。

無線LANのパケットを傍受するのは容易なことでは無いように思います。
また、暗号キーの解読は通信中のパケットからではなくアクセスポイントの設定内容を有線接続で解析しているものと解釈しています。
もし、無線LANの子機で圏内の電波から全てのパケットを傍受して、その中からESSID、暗号キーを解読出来るのであれば情報収集が可能になるでしょう。しかし、MACアドレスで制限されていれば無線LANには接続出来ませんので、ファイルサーバに不正アクセスが出来ないと思います。

どうしても心配ならば無線LANを使わないようにして下さい。

参考URL：http://www4.plala.or.jp/ysgclub/musenLAN.html

この回答へのお礼

回答ありがとうございます。

＞無線LANのパケットを傍受するのは容易なことでは無いように思います。

最初に申しましたが、、今はそれが1分前後で可能となっており、とても容易なこととなりました。


＞また、暗号キーの解読は通信中のパケットからではなくアクセスポイントの設定内容を有線接続で解析しているものと解釈しています。

無線通信でキーを認証しているので、暗号キーは通信中のパケットの中に含まれていると思います。
有線で解析はおそらく無理と思われます。
無事に有線で接続することができれば、可能ですが、その過程がほぼ不可能と思われます。（無線ルーターへ有線でアクセスするということは、基本的に、その家の中へ入るということです）


＞もし、無線LANの子機で圏内の電波から全てのパケットを傍受して、その中からESSID、暗号キーを解読出来るのであれば情報収集が可能になるでしょう。

先ほども申しましたように、今現在それが可能となったんです。
しかも、1分前後で可能なんです。
よって、今回その対策を講じようとしているのです。


＞しかし、MACアドレスで制限されていれば無線LANには接続出来ませんので、ファイルサーバに不正アクセスが出来ないと思います。

先ほども申しましたが、MACアドレスがわかれば、MACアドレスを偽装し、ネットワークへ入り込むことは容易です。


＞どうしても心配ならば無線LANを使わないようにして下さい。

最終的にどうしようもなければそのように判断をしなければなりませbbが、その前にできることはないかアドバイスを頂戴したくおたずねしている次第です。

お礼日時：2009/07/09 20:31

No.5 回答者： koi1234 回答日時： 2009/07/09 18:25

#3です

そこまで心配でしたら他のPCと同じように使わないときは
電源切っといたほうがいいのではないですか？
書き込み内容では使うのはDSLiteだけのようですし
つかってるときにはいられたらどうすんじゃあって言われると
それまでですがあなたが無線使うのを見計らって
侵入しようとする輩はまずいませんよ？

行き着くところはそれなら無線使うの
はやめましょうって事になります

その意味で心配しすぎでは？と書いたのですが
まあそれは質問者さんが決めれないいことなので
余り周りが口挟むことではないかもしれませんね

この回答へのお礼

回答ありがとうございます。


＞そこまで心配でしたら他のPCと同じように使わないときは
電源切っといたほうがいいのではないですか？

セキュリティーを高めることは、意識の問題で、私はできる限りのことはやりたいと思っている方です。
最終的に、解決法がなければそのようにしなければならないかとは思っております。
ただ、その前に、何かいい方法があるのではないかと思いおたずねしている次第です。

お礼日時：2009/07/09 20:15

No.4 回答者： bunjii 回答日時： 2009/07/09 14:19

>一応、「WEPは128bit」、「ステルス」、「MACアドレス制限」はかけておりますが、解読されれば、全て意味がありません。

ステルスモードになっていて、MACアドレスの接続制限をしていれば暗号解読は出来ないと思います。
ステルスモードではSSIDを公表しませんから電波を傍受しても暗号解読まで進めないと思います。
更にMACアドレスで接続を制限すれば暗号キーの変更のための接続が不可能です。

心配し過ぎではありませんか？

この回答へのお礼

回答有難うございます。

＞ステルスモードになっていて、MACアドレスの接続制限をしていれば暗号解読は出来ないと思います。

ESSIDを解読するソフトは出回っていると認識しております。
通信がなされていない状況でしたら、わからないかもしれませんが、通信がなされていれば、パケットを拾われたらわかると思います。
ESSIDを解読するのに、MACアドレスは関係がないと思いますが・・・
MACアドレスはあくまでもAPとの通信の際に認証するだけだと思います。
MACアドレスがわからなくとも、パケットを拾うことは可能ではないのでしょうか？


＞更にMACアドレスで接続を制限すれば暗号キーの変更のための接続が不可能です。

さきほども述べましたが、MACアドレスは暗号化されておりませんので、直ぐに調べることが可能です。

よって、パケットが拾われると、SSIDがばれ、MACアドレスもばれて、最終的にMACアドレスを偽装すれば接続可能と思いますがいかがでしょうか？

お礼日時：2009/07/09 15:53

No.3 回答者： koi1234 回答日時： 2009/07/09 13:45

>ルーターモードにすると、CTUもあり、２重になってしまいます。

そうすればいいといっているのです
2重ルータが何か問題あるものだと思い込んでませんか？
ここでは良く2重ルータやめたほうが良いとかかかれますが
意味がわかってやるのであれば特に問題になる使い方ではありません

ルータモードで設定することでAtermWR7600HのWAN側と
LAN側のIPセグメントは分離されます
それだけで　ワークグループ名もばれないようにする　ということは実現できます
（実際自分でそこにPCつなげてテストしてみればわかります）

但し直接IP指定されると共有できる可能性があるので
共有関係のポート137-138と445をAtermWR7600H側で遮断設定すれば
それで事足りるんではないですか？といっているわけです

>「MACアドレス制限」はかけておりますが
MACアドレスで制限かけてればWEP解読されても接続できません
ちょっと心配しすぎの感があります

この回答へのお礼

回答有難うございます。
先ほどもお礼を言い忘れておりました。
申し訳ございません。


＞そうすればいいといっているのです
2重ルータが何か問題あるものだと思い込んでませんか？
ここでは良く2重ルータやめたほうが良いとかかかれますが
意味がわかってやるのであれば特に問題になる使い方ではありません

おっしゃるとおりです。
２重ルータはまずいと頭から決め込んでおりました。
早速試してみたいと思います。
ただ、そのスキルが私にあるかどうか・・・



＞MACアドレスで制限かけてればWEP解読されても接続できません
ちょっと心配しすぎの感があります

この件に関しては、WEPが解読されれば、一緒にMACアドレスもオープンになります。
今、MACアドレスの偽装ができます。
それをやられると、ネットワークへ入り込まれてしまいます。
MACアドレスさえかけていれば安全という神話は過去の話となってしまいました。

お礼日時：2009/07/09 14:09

No.2 回答者： koi1234 回答日時： 2009/07/09 13:04

現状どうなってるのかよく分からないところもありますが

AtermWR7600Hを普通にルータモードで動かして
必要最低限のポートあけるだけにしとけばそれで事足りませんか？

この回答へのお礼

すみません。
意味が理解できません・・・

ルーターモードにすると、CTUもあり、２重になってしまいます。
仮にできたとしても、ポートの作業が必要なのでしょうか？（ポートの作業で、下記の状況が改善されるのでしょうか？）


私が危惧していることは、WEPキーを　解読された後、そのWEPキーを使い、私のネットワークに入ってこられることを防ぎたいということなんです。

一応、「WEPは128bit」、「ステルス」、「MACアドレス制限」はかけておりますが、解読されれば、全て意味がありません。

その場合、私のサーバ等(共有フォルダ）へ入ることが可能になってしまいます。
そうなると、情報を持ち出されてしまいます。

それを防ぎたくお尋ねしているしだいです。

もちろん、ネットのタダ乗り(踏み台等）も気にはなりますが、それ以上にサーバ等へのアクセスが気になります。
それだけは防ぎたいと思っております。

お礼日時：2009/07/09 13:17

No.1 回答者： SilverThaw 回答日時： 2009/07/09 11:58

スイッチ(スイッチHUBではなくレイヤー2スイッチ)でルーティング制御すれば可能です。

参考URL：http://buffalo.jp/products/catalog/network/bs-g2 …

この回答へのお礼

回答有難うございます。

1：やはり、上記のような製品を導入しないと、私が理想としている環境を手に入れることは不可能なのでしょうか？

2：今の現状でできる方法はないでしょうか？

3：紹介いただいた製品を導入した場合、全て解決するのでしょうか？（疑問としては、プロバイダ契約は１社になります。
　　CTUのほうで二つのIPアドレスを作成するということでしょうか？
　　出口は一つで、その出口までの道を２つ作成できると理解してよろしいでしょうか？）

お礼日時：2009/07/09 12:44