その他、裸の無線LANを使うにあたって
ブロードバンドルータのログを見ていると(自宅で使っているプロバイダはマイナーなのでそれ程ではないが)会社で使っているプロバイダはしょっちゅうポートスキャンされている。零細企業なので会社をターゲットにアクセスしてきているわけではなく、無作為にポートスキャンをかけているだけだろう。世の中には悪意を持った人間がいかに多いことか。インターネットを使う側も注意して使う必要があると痛感する一瞬だ。こういったログを見ていると、フリーの無線LANアクセスポイントは便利だが、ポイゾン・ポッドの可能性もあるし、パケットキャプチャされている可能性もある、と疑わざる負えない。
会社と個人を特定してハッキングしてくる場合はバトルになるが、無作為なポートスキャンの場合はちょっとした注意でリスクは大変低くなるだろう。向こうも、セキュリティ設定をしているアドレスの穴を探すよりは、セキュリティの甘いアドレスを探す方が効率が良いわけだから。
ということで、裸の無線LANアクセスポイントを使う際の留意点を幾つか挙げてみる。
ノートPCのファイヤーウォール設定
裸の無線LANに接続する際には、ノートPCのファイヤーウォール設定を最も厳しいものにしておいた方がいい。私の場合は「裸の無線LAN]という名前(名前は何でも構わないが)でプロファイルを作り、特定のアプリケーションから、ブロードバンドルータのグローバルアドレスへ向けたSSHのポート(上の例では8889)の通信だけを許可して、あとは全て送信も受信も「不可」にしている。パケットフィルタとしてノートPCではウィルスバスターを使っているが、裸の無線LANの設定はこんな感じである:
一旦、SSHの通信経路が確立すれば全ての通信はSSHポートフォワーディングを使うので、アプリケーションから見れば「localhost」と通信していることになり、ファイヤーウォールは抜けられるのでWebやVNCは勿論使える。逆に、SSHポードフォワードを使わない通信は裸のインターネットに晒されるので全て不可にしておいた方がいいだろう。
ブロードバンドルータのグローバルアドレスを変える
SSH通信自身は99.99%は安全だと言えるが、通信先のIPアドレスとポート番号はパケットキャプチャすれば分かる。それを元にハッキングされる恐れもある。私の使っているプロバイダはグローバルアドレスを割当ててくれるが、幸いにもDHCPによる動的なアドレス割り当てなので、たまにルータの電源を切って数分待ってから入れ直すと、別のアドレスが割り当てられる。定期的に、もしくはブロードバンドバンドルータへのハッキングの兆候(頻繁にSSHの待受けポードに覚えの無いアクセスがあるなど)があった場合にはIPアドレスを変えておく方が良いだろう。(ハッキングの兆候があった場合は、SSHの待受けポート番号も変えた方が良いかもしれない。)
アドレスの切り替えだけであれば、ブロードバンドルータ、仮想マシンホスト、仮想アクセスサーバの設定は一切変える必要はない。ノートPC側でSSHをかける先にアドレスを変更するだけである。(ポート番号の変更は、ブロードバンドルータや仮想ホストの設定も変える必要は出てくるが、大した手間ではないだろう。)
