• 締切済み

インターネットから切り離したネットワークの構築

PCなどのネットワークとは別に、インターネットに繋がなくても良い機器で ホームネットワークを構築しようとしています。 この場合のネットワークの呼び名はイントラネットでいいんですかね? 検索してもあまり該当するようなケースがなく用語探しから戸惑っています。 用途としては、802.11nで動画をストリーミングしたり、移動させたいと考えています。 接続させる機器は、 1.TV 2.BDレコーダー 3.RecBOX 4.NAS 5.PC1 (LAN1, LAN2) 6.PC2 (LAN1, LAN2) です。 5,6のPCはNICを2つ着けて、LAN1を今使っているインターネットに繋がっているネットワークに そしてLAN2を今回作ろうと思っている外部に繋がらなくて良いネットワークに 繋げようと思っています。 NASには外部からアクセスされないようにしようと思った結果、素人ながらの考えで このような案になりました。 TVなどがインターネットにアクセスできない事は自分の場合それほど デメリットを感じませんでしたので、なるべく外部から切り離したつもりですが このような構成を実現する為の知識が不足しておりまして、とても不安なので 質問させていただきました。 ちなみに無線LANブロードバンドルーターのWR8700Nを用意しました。 1.PC2からNASへのファイルの移動は許可し、NASからPC2への移動は禁止する  と言うような事は可能でしょうか?  その場合、WR8700Nに直接繋ぐだけで良いのでしょうか、それともWR8700N  以外にスイッチなどの機器が必要になるのでしょうか? 2.PC1はNASへのアウトバウンド、インバウンド共に可能にしたいのですが、その場合  外部からPC1を踏み台にされてNASへアクセスさせないためにはどのような方法が  ありますか?  NASのアクセス先のプライベートIPアドレスをWR8700Nで指定しておくだけでは  踏み台にされた場合は駄目ですよね・・・? 3.これは上2つの質問にもかかわる事なのですが、WR8700Nの設定をどのように  するのがいいのかです。  PPPoEルータモード、ローカルルータモード、無線LANアクセスポイントモードと  ありますが、パケットフィルタ機能を利用したかったためローカルルータ  モードで設定しようとしました。  しかし、初期設定で「接続先設定」という項目が出てきてWAN側のDHCPなど  の設定をするように求められてしまい、(WAN側には何も繋がないつもり  でしたので)止めてしまいました。  改めて、アクセスポイントモードで設定を続けようとしましたが  この設定だと別途ルーターかスイッチを購入しなくてはならないのかと  思い、そこで断念してしまいました。 長くなりましたが、素人発想の案なので全然的を射ていないかもしれませんが 助言やアドバイスをお願いします。 また、初心者用のネットワークの本などがあれば読んで勉強していくつもりです。 よろしくお願いします。

みんなの回答

  • bunjii
  • ベストアンサー率43% (3589/8249)
回答No.4

>そもそも、今回ネットワークを分離しようと考えたのには理由があります。 その理由のみであればルーターを初期化(工場出荷状態に)してインターネットへの接続設定を自分で行ってください。 初期状態ではインターネットからルーターを超えてLAN側の機器へ接続できないようになっています。 仲たがいされたネットワークエンジニアのネットワーク機器をLAN(無線・有線)へ接続させなければあなたの心配はなくなります。 取り越し苦労であることに早く気付いて欲しいと思います。 ウィルス、スパイウェア等の被害は先方からルーターを超えて注入することではなく、メールに添付されたものをPCへ取り込んで活性化させることや、罠を仕掛けたサイトを閲覧してPC側から不正なプログラムを取り込んでしまうことが問題なのです。 自己の注意で殆どの被害を食い止められることを知っておくべきです。

dealerofle
質問者

お礼

二度もご回答ありがとうございます。 ルーターの設定は既に一度初期化して使っていたので、心配することはあまり無かったようですね。 安心できました。 ウィルス等については私の管理しているPC1とPC2についてはあまり問題ないようですが、 今回とは別の既にインターネットに繋がっているネットワークの方の家族の使って いるPCは心配です。そこと同じグループにNASを置くのは躊躇してしまいます。 また、インターネットに繋がっているネットワークに今回用意したWR8700Nをぶら下げて ダブルルーターにするのが一般的なやり方になるかとは思いますが、いろいろ調べていると WR8700Nのファイアーウォール機能は簡易的なもので静的パケットフィルタリング機能 等は付いているようですが、UDP flood攻撃などへの対策は記載が無かったので 対応していないようです。 そうなると、物理的に切り離すかSOHO用のルーターに置き換えるしかなさそうですね。 物理的に切り離すにはあとNIC2枚分の出費で済みますが、LANの切り離しが必要で SOHO用のルーターだとNVR500などがありますが、設定が難しそうです。 NVR500に挑戦するのも楽しそうなのですが、使いこなせるかどうか悩みます・・・

  • bunjii
  • ベストアンサー率43% (3589/8249)
回答No.3

>この場合のネットワークの呼び名はイントラネットでいいんですかね? 単純に「閉鎖したLAN」です。 >5,6のPCはNICを2つ着けて、LAN1を今使っているインターネットに繋がっているネットワークにそしてLAN2を今回作ろうと思っている外部に繋がらなくて良いネットワークに繋げようと思っています。 矛盾してます。 「閉鎖したLAN」へPC1、PC2を繋ぐときケーブルの差し替えまたは一方を無効化しないと「閉鎖したLAN」になりません。 一般的にはブロードバンドルーターでWAN(インターネット)とLAN(閉鎖したLAN)の境界を作っています。 WAN側からのアクセスはルーターで遮断できますが、LAN内にスパイウェアを引き入れてしまうと情報の流出が起こることもあります。 他にキー操作のログを持ち出すウィルスも有ったような気がします。 それらの不正な動作を防止するためにセキュリティソフトを導入する必要があります。 NASやPCはセキュリティ対策を必要としますが、TVやBDレコーダーはセキュリティ対策の必要がありません。 あなたは何が脅威であるかを誤認していると思います。 冷静に考えてホームネットワークを構築してください。

dealerofle
質問者

お礼

「閉鎖したLAN」ですね、分かりました。 >「閉鎖したLAN」へPC1、PC2を繋ぐときケーブルの差し替えまたは一方を無効化しないと「閉鎖したLAN」になりません。 LANの差し替えも必要であれば考えていました。やはり「閉鎖したLAN」を構築するにはその様な 手間も必要なんですね。 TVなどはほとんど心配は無いと分かっていましたが、以前テレビでも脆弱性を狙うウィルスを作れば 感染させる事ができるとの意見がありましたので、いずれメジャーなメーカーのテレビは危険に曝され るのではないかと考えました。 そもそも、今回ネットワークを分離しようと考えたのには理由があります。 家族の親類に(一応私にとっても親類ですが)ネットワークエンジニアの者がいます。以前は家に よく出入りもしていましたが、とある事で不仲になってかなり家族の事を恨んでいるようです。 以前ネットワークの設定をその人がやってくれていたのですが、その頃とグローバルIPアドレスは (半固定なので、おそらく)変わっていませんのでとても不安でした。 攻撃のような事はまずやってこないとは思いますが、精神衛生上あまりよろしくありませんので ネットワーク対応テレビの追加もあり、今回一新させようと思いました。 (ちなみに、プロバイダーの変更も考えましたが私の地域では色々比較しましたがこのプロバイダーが 一番好条件でしたので今回は変えないつもりです。) OSのアップデートとセキュリティソフトの更新をやっていれば普通なら安心できそうですが、この頃 標的型攻撃では防ぐのが難しいと知り、最悪でもホームビデオなどの個人情報を入れるNASだけはより確実に守りたいと思いこのような考えに至りました。 しかし、私はネットワークに関して初心者同然なのでここでお知恵を拝借しようと思いました。 最後に、御礼が遅くなり申し訳ありませんでした。 ありがとうございました。

  • hrsmmhr
  • ベストアンサー率36% (173/477)
回答No.2

1は詳しくないですが、その前に、もしそうすると、普通にアプリで開くこともできませんが、それでいいのですか? 2は踏み台にされたあとのことは考えても仕方がないと思います アカウントを破られたら何でもできてしまいますよね(そのようにPC1を設定するってことの気がしましたが…) 踏み台にされないことを考えた方がいいと思います 3はローカルルータモードがいいと思います DHCPが動きますから WANの設定は今の外のインターネットへの設定をダミーとして食わせておけば繋がなくても内部ルータ(ハブ)としては動くと思います

dealerofle
質問者

お礼

1 はい、PC2はただ録画だけしてPC1で編集しようと思っていましたので構いません。 2 踏み台にされないようにアップデートやアンチウイルスは常に最新にしていますが、  標的型攻撃に対しては完全に対処できなさそうなので、できればパケットフィルタの  様なものでより強固なものにできるのならその様にしたいと考えていました。  この場合のアカウントとはWindowsのAdministrator権限のようなものの事で  しょうか? 3 ダミーでいけると分かって大変助かりました。ローカルルーターモードで設定してみます。 最後に、お礼が遅くなり申し訳ありませんでした。ここ一週間忙しくてやっと返信できました。 ありがとうございました。

  • te2kun
  • ベストアンサー率37% (4556/12165)
回答No.1

1.それは、NASのアクセス権に対する設定です。 PC単位ではなくユーザ単位でしか設定出来ない場合がありますので 2.PCを乗っ取られるとアクセスされる可能性はありますね。  3.WANに何も接続しないなら、設定をしなくても問題ないでしょう

dealerofle
質問者

お礼

WANに接続しない場合は設定を無視しても大丈夫なんですね。 そのままローカルルータモードでやってみようと思います。 遅くなりましたが、回答ありがとうございました。