【作業メモ】raspberry pi3 B+ を用いたパケット型ファイヤウォールと不正侵入検知システムの構築(1)概要
パソコン工房のポイントを raspberrypi3 B+ 2 台とスイッチングハブ(TL-SG508)、L2SW 機能付スイッチングハブ(TL-SG105E ※ 本記事では L2SW と呼ぶことにします)に昇華しました。
購入した機器を使用して勉強を兼ねておうちのネットワークセキュリティを DIY します。
まず、装置構成を説明します。
インターネットに接続するモバイルルータ直下にファイヤウォール(FW)機能をもった自作ルータ(raspberrypi3 B+)を設置。
この自作ルータでパケットフィルタリング(実はモバイルルータにも最初から備わっている)等を用いたセキュリティ対策をします。
ルータの下に L2SW(TL-SG105E)を接続。
この L2SW にはミラーポートと V-LAN を設定する L2 機能がついています。
ミラーポートとは他のポート(たとえば、ポート番号 1⃣ とポート番号 2⃣ )が行う通信をまるで鏡のようにコピーする機能です。ミラーポートに不正侵入検知システム(IDS)を接続することによって、不正なパケット通信が行われていないか監視することができます。
V-LAN(仮想 LAN) とはスイッチの中で本来つながっているはずの LAN を仮想的に切り離して別の LAN として扱う機能です。別の LAN として扱われている V-LAN 同士は直接通信できない(同じブロードキャストドメインに属さない)ため、流出させたくない情報に簡単にアクセスさせないという面でセキュリティ上のメリットがあります。詳しくはリンク先のネットワークスペシャリストドットコムの過去問解説ページを見ると勉強になります。
L2SW のミラーポートに自作 IDS 装置を接続し、 V-LAN1 上の趣味で使っている PC 等の通信を監視します。
V-LAN2 は来客に提供する無線ルータを接続することにします。来客の端末と V-LAN 上にある趣味の端末との通信をさせないようにセグメントを分けます。
V-LAN2 上にある端末は IDS の監視対象からも外れてます。
装置構成は次図.おうちネットワークのとおりです。
次回は OpenWRT の初期設定についてまとめます。