【自宅LAN】セキュリティレベルに応じた自宅ネットワークの分離 – UniFi Dream Router –

2022-12-092024-03-07

先日導入したUniFi Dream Router（UDR）でできることと、設定方法をまとめています。

UniFi Dream Routerでできる事

• UniFi Dream Router（UDR）を自宅に導入した感想
• セキュリティレベルに応じた自宅ネットワークの分離：UniFi Dream Routerでできること。（本記事）
• トラフィックルールでアクセス制限・許可の追加：UniFi Dream Routerでできること。
• ネットワークトラフィックの監視とIDS/IPS：UniFi Dream Routerでできること。

UniFi Dream Router（UDR）を自宅に導入した感想

自宅のWiFi環境の更新を兼ねてUniFi Dream Router（UDR）を導入しました。まだ短期間の使用ですが、現 ...

 https://uura.site/network-udr/

タグVLANでWiFiネットワーク（SSID）の分離

減ってきたとはいえ、まだまだ在宅勤務（リモートワーク・テレワーク）が必要な事も多いと思いますが、当然家庭では私物端末が接続されるネットワークを使うことが多いです。

以下の参考リンクでもリモートワークに伴う情報セキュリティの注意点が記載されていますが、中でも「4）自宅のインターネット回線からの情報漏えい」は適切なネットワーク分離で防ぐことができます。

リモートワークの際に心がけたい10のセキュリティ対策 | サイバーセキュリティ情報局

新型コロナウイルスによってリモートワークが急速に普及した結果、便乗したサイバー攻撃も増加している ...

 https://eset-info.canon-its.jp/malware_info/special/detail/2...

他にも、UniFi Dream Routerの機能で「2）私物端末利用によるマルウェア感染」や「5）フィッシング、標的型メール」もある程度対処する事はできます。

うちの具体例（感想記事にも書いています）

• 子供が使う端末はDNSでインターネット制限を追加したネットワークを使用
• 大人用のネットワークは制限なし
• ゲスト用SSIDの設定で家で使う機器と分離

インターネット制限

インターネット制限は、色々と興味が広がる年齢に近づいた子供達が、無防備にアダルトサイト等にアクセスできないように設定ができます。

フィッシング、スパム、マルウェア、悪意のあるドメインへのアクセスがブロックされます。アダルトサイト、ポルノサイト、露出の多いサイトへのアクセスがブロックされます。

GoogleやBing、YouTubeによる検索にはセーフモードが適用されます。フィルターをバイパスするために使用されるプロキシドメインとVPNドメインへのアクセスがブロックされます。

https://docs.amalance.jp/unifi/unifinw-config/#lan

12歳まではGoogleファミリーアカウントでも対策できますが、13歳以上になると自分で制限を解除することもできます。

もちろん、保護者と子供で話合いの上でですが、個人的には中学校卒業まではある程度のフィルタリングは必要とは思っています。

設定（UniFi Portal – Networkから）

UIアカウントの登録と、UniFi PortalからDream Routerを管理できる前提です。

カメラを使う予定が無かったのでProtectは停止中です。

分離したいネットワークの作成と設定

Setting – Networkからネットワークを作成します。

ネットワークの作成と設定内容

Network Nameはわかりやすい名前を付けて下さい。

設定を変更する場合は、Advancedの内容をManualで変更します。VLAN IDは変更しなくてもいいですが、お好みで割り振ってください。

制限（フィルター）だけの場合は、Network TypeはStandard、Content Filteringを選択します。Familyが一番厳しい設定になります。

WiFi（SSID）の作成とネットワークの割り当て

作成したネットワークを割り当てるSSIDを作成します。

Setting – WiFiからCreate New WiFiを選択します。

WiFiの基本設定と、使用するネットワークを選択します。

Networkには、割り当てたいネットワークをドロップダウンリストから選択してください。

WiFi TypeをGuest Hotspotにするとゲスト用WiFiの設定が適応されるようですが、ネットワークが同じでいいかどうかは検証していません。

ネットワークも別に分けておく方が確実かな？とは思います。

Trafficルールの作成

通常で作成したネットワークは、そのままではお互いに通信が可能になっているのでルールを作ってネットワーク間の通信を拒否します。

別記事でまとめる予定です（現在作成中）。

接続状況の確認

Topologyを開くと、接続されている端末が表示されます。

Display OptionでSSIDも表示できるので、目的のSSIDに接続されているかの確認も簡単です。

今後確認したい事

端末側でDNSを指定した場合

IPアドレスを手動で設定して、端末側でDNSサーバーを指定した場合の動作を確認したいと思います。

特に、GoogleなどのメジャーなDNSサーバーは弾いてくれそうですが、外部に自分で作ったDNSサーバーだとどんな動作になるかが気になります。

有線接続の場合

有線接続を使っていないので、ネットワークの割り当て方法を今後確認したいと思います。

まとめ

これだけの設定で、簡単にネットワーク分離とインターネット制限が完成です。

正直、自宅で使うだけならこれで十分だと思っています。