セキュリティというと、Wi-Fiには物理的なフェンスがないため、ワイヤレス・ネットワークに焦点が当てられることがあります。結局のところ、攻撃者は外部にいて、SSIDを検出し、攻撃を開始することができます。
しかし、内部脅威、標的型攻撃、ソーシャル・ネットワークを利用した企業ネットワークへの物理的アクセスに直面した場合、有線ネットワークのセキュリティも優先されるべきです。
中小企業でも大企業でも、有線ネットワークのセキュリティを向上させるための 8 つの方法をご紹介します。
1.監査とマッピングの実施
まだそうしていないのであれば、今すぐネットワークの監査とマッピングを開始すべきです。ファイアウォール、ルーター、スイッチ、イーサネット・ケーブル、エンドポイント、ワイヤレス・アクセス・ポイントなどの基本的な構成だけでなく、ベンダー/モデル、場所など、ネットワーク・インフラ全体を常に明確に把握しておく必要があります。また、どのサーバー、コンピューター、プリンター、その他のデバイスがネットワークに接続されているか、いつ接続されているか、ネットワーク全体の接続経路も把握しておく必要があります。
監査とマッピングの過程で、特定のセキュリティの脆弱性や、セキュリティ、パフォーマンス、信頼性を改善する方法を発見するかもしれません。また、ファイアウォールや物理的なセキュリティ脅威が適切に設定されていないことを発見するかもしれません。
ネットワークにネットワーク・コンポーネントが数個しかなく、ワークグループが10数個しかない場合は、手動で監査を実行し、紙に視覚的なマップを描くだけで済むかもしれません。一方、大規模なネットワークでは、監査とマッピングのプロセスが非常に便利です。ネットワークをスキャンして、ネットワーク・ビューまたは回路図を生成できます。
2.最新ネットワークの維持
基本的なネットワーク監査とマッピングが完了したら、すべてのネットワーク・インフラストラクチャ・コンポーネントのファームウェアまたはソフトウェアのアップデートを確認します。また、これらのコンポーネントでデフォルト・パスワードが使用されていないことを確認し、安全でない設定がないかをチェックし、使用していないその他のセキュリティ機能や特徴を調査します。
次に、ネットワークに接続されているすべてのコンピュータとデバイスを確認します。OSやドライバーのアップデート、パーソナル・ファイアウォールの有効化、アンチウイルスの実行、パスワードの設定など、基本的なセキュリティが確保されていることを確認します。
3.物理的保護ネットワーク
物理的なネットワーク・セキュリティは見過ごされがちですが、インターネットに面したファイアウォールと同じくらい重要です。ハッカー、ボットネット、ウイルスに対する防御が必要なのと同様に、ローカルな脅威に対する防御も必要です。
ネットワークと、そのネットワークがある建物の物理的なセキュリティが確保されていなければ、近くにいるハッカーや従業員でさえ、ネットワークを悪用することができます。例えば、開いているイーサネットポートに無線ルーターを接続すれば、無線でネットワークにアクセスできます。しかし、イーサネットポートが見えなかったり、切断されていたりすると、このようなことは起こりません。
外部からのアクセスを阻止し、防止するためのビル・セキュリティ計画を策定してください。その上で、ネットワーク・インフラ・コンポーネントが設置されているすべての配線クローゼットやその他の場所を、ドアやキャビネットのロックで確実に保護してください。無線アクセスポイントも同様です。特に建物の公共エリアでは、使用していないイーサネットポートを切断してください。
4.MACアドレスフィルタリングの検討
有線ネットワークの主なセキュリティ問題の1つは、素早く簡単な認証や暗号化方法がないことです。ワイヤレスネットワークに関しては、少なくともWPA2-Personalが必要です。
MACアドレス・フィルタリングは攻撃者に迂回される可能性はありますが、少なくともセキュリティ防御の第一線として機能します。攻撃者を完全に阻止することはできませんが、訪問者をプライベート・ネットワークに接続させるなど、従業員による深刻なセキュリティ侵害を防ぐことができます。また、ネットワークに接続できるデバイスをより適切に制御することもできます。しかし、セキュリティの錯覚に陥らないよう、MACアドレスは常に最新の状態にしておきましょう。
5.トラフィックを分離するためのVLANの導入
まだ複数の仮想LANにセグメント化されていない小規模なネットワークを使用している場合は、変更を検討してください。VLANを使用すると、複数の仮想ネットワーク間でイーサネットポート、ワイヤレスアクセスポイント、およびユーザーをグループ化できます。
VLAN を使用して、トラフィックの種類、パフォーマンスまたは設計上の理由、および/またはユーザーの種類、セキュリティ上の理由によってネットワークを分離できます。VLAN は、動的割り当て用に設定すると特に便利です。たとえば、ネットワーク上の任意の場所またはWi-Fi経由でラップトップを接続し、自動的にVLANを割り当てることができます。これは、MACアドレスのタグ付け、または802.1X認証でより安全に行うことができます。
VLANを使用するには、ルーターやスイッチがVLANをサポートしている必要があります。ワイヤレスアクセスポイントの場合、VLANタグと複数のSSIDの両方をサポートするアクセスポイントが必要です。複数のSSIDを使用すると、複数の仮想WLANを提供することができます。
6.802.1Xによる認証
ネットワークの有線側の認証と暗号化は、複雑なため見落とされがちです。ローカルの攻撃者がネットワークに接続しても、情報の送受信を妨げるものは何もありません。
802.1X 認証はイーサネットトラフィックを暗号化しませんが、少なくともログイン認証情報を使用する前にリソースを送信したりアクセスしたりすることを防ぎます。また、ワイヤレスネットワークでこの認証を活用して、AES暗号化経由でエンタープライズグレードのWPA2セキュリティを展開することもできます。
802.1X認証のもう一つの大きな利点は、ユーザーを動的にVLANに割り当てることができることです。
802.1X 認証を導入するには、まずリモート認証ダイヤルインユーザーサービスサーバーが必要で す。Windows Server を使用している場合、RADIUS サーバーは既にあります:Network Policy Server の役割、または Windows Server の古いバージョンでは、Internet Authentication Service の役割。サーバーがまだない場合は、スタンドアロンRADIUSサーバーを検討するとよいでしょう。
7.VPNを使用して、選択したコンピュータまたはサーバを暗号化します。
ネットワークトラフィックを本当に保護したいのであれば、暗号化の使用を検討してください。VLANや802.1X認証を使用していても、誰かがネットワークを盗聴して暗号化されていないトラフィックをキャプチャすることは可能です。
すべてのトラフィックを暗号化することができますが、まずネットワークを分析します。まだ暗号化されていないと思われる最も重要なトラフィックを暗号化する必要があります。例えば、SSL/HTTPSを使用する場合、クライアント上の標準的なPNで機密トラフィックを送信することができます。
8.ネットワーク全体の暗号化
ネットワーク全体を暗号化することもできます。WindowsサーバーはIPsecサーバーとして動作し、Windowsはクライアント側の機能もサポートしています。しかし、暗号化処理はネットワークに大きな負担をかけることになり、実効転送速度が劇的に低下する可能性があります。ネットワーク・ベンダーも独自のネットワーク暗号化ソリューションを提供しており、その多くはレイテンシーとオーバーヘッドを削減するために、レイヤー3ネットワークではなくレイヤー2ネットワークのアプローチを使用しています。
