• 締切済み

VLANのセキュリティについて

セキュリティを強化する方式としてVLANが注目されていますが、セキュリティ上の問題は全く無いのでしょうか?どなたか知っておられたら、ご教授下さい。

  • 901
  • お礼率48% (22/45)

みんなの回答

  • igmp
  • ベストアンサー率28% (156/546)
回答No.4

再びお邪魔します。 少なくとも、最近はやりのFTTH関連のキャリア(NTT系、電力系、CATV系)が採用しているHub、 メディアコンバータにはVLANは必須の機能であることは間違いない事実ですね。

901
質問者

お礼

ありがとうございました。

  • onosuke
  • ベストアンサー率67% (310/456)
回答No.3

良い効果の話は機器メーカが謳っているでしょうから,悪い話をいくつか上げてみます。 例えば,LAN-WAN間の通信手段確保。これはVLANのみではうまく扱えない部分ですが,ここの設計がまずいと外部からの進入,内部からの流出を簡単に許す結果に繋がります。 また,VLANの利用法自体の話では,会議室など不特定の利用者も立ち入る施設を不用意に部署内のVLANに組み込んでしまうと,VLANを使っていながらかえってセキュリティの低下を招いてしまいます。 セキュリティ効果の見方,判断の仕方ですが,これはちと難しいですね。 実際に組む場合は,大体ある効果を狙って設計されると思うので,そこに関する問題点の洗い出しを複数人で進めるのが,良いと思いますよ。

901
質問者

お礼

ありがとうございました。参考になりました。

  • igmp
  • ベストアンサー率28% (156/546)
回答No.2

No.1でonosukeさんが言われていることはごもっともですが、VLANはセキュリティ上の一つ の解決方法として最近注目されている技術、機能であることには間違いありません。 また、ご存じかも知れませんが、VLANはレイヤー2(または3)レベルでの機能で、ほとんどの インテリジェントHub等に標準装備されています。 出来れば901さんのより詳細な質問内容を教えていただけないでしょうか?

901
質問者

お礼

ありがとうございました。

  • onosuke
  • ベストアンサー率67% (310/456)
回答No.1

セキュリティ上の問題が全く,100%有り得ない,というのはちょっと無理ですが,使い方次第では結構な効果を期待できます。 この使い方次第というのが重要で,VLANはセキュリティ確保手段のひとつに過ぎず,セキュリティシステム全体を見なければ,その効果は判断できません。

901
質問者

補足

ありがとうございます。よろしければ、「使い方次第」というところを、もう少し聞かせて頂けないでしょうか。またセキュリティの効果を判断する際の「見方」についてご教授頂けないでしょうか。

  1. カテゴリ
  2. インターネット・Webサービス
  3. インターネット接続・通信
  4. その他(インターネット接続・通信)

関連するQ&A

  • マルチプルVLANのセキュリティ

    マルチプルVLANのセキュリティ  今度入居しようとしているアパートは光ファイバーが引いてありイ ンターネットに接続できるのですが、他の入居者との関係でセキュリ ティ上心配です。  問い合わせると、マルチプルVLANという接続をしているので問題な いという答えでした。  一応気になるので質問させてください。  例えば自分が101号室だったとして、203号室の人がWinnyやShareと かのファイル交換ソフトを使用していたり危ないWEBサイトによくい く人だった場合に、自分が同時にインターネットに接続しても安全で しょうか。  自分がインターネット接続する事についての危険はわかりますが、 203号室のような入居者がいた場合にリスクは上がりますか。  マルチプルVLANを検索してみましたが、そのような危険をなくすた めの接続方法のようですが、実際にまったく危険がなくなるものか気 になっています。 教えてください。  なお、質問とは関係ありませんが「心配であれば統合セキュリティ ソフトを使ったほうが」いいという突っ込みが来そうなので、念のた めですがNorton Internet Security2010を使用しています。

  • VLANとセキュリティについて

    現在の社内ネットワークを2つのグループ(A・B)に分けて、A-B間はアクセスできないようにしたいと考えています。但し、今あるインターネット接続回線1本はA・Bで共用したいです。 このような場合、VLAN機能のあるルータなどを使って実現できるでしょうか? VLANについては詳しく知らないのですが、グループ分けした相互間にセキュリティ設定はできるのでしょうか? また、同じことを実現するのに、比較的安価な(5000円程度の)ブロードバンドルータを3台使って、↓のような接続をして、A・Bそれぞれが2段のNATを経由してインターネットに接続するような場合、A-B相互間のアクセスを禁止することができるでしょうか?またインターネットへの接続で問題は発生しないでしょうか? インターネット(フレッツADSL) │ ブロードバンドルータC │ ├ブロードバンドルータA─Aグループネットワーク │ └ブロードバンドルータB-Bグループネットワーク 基本的な質問かもしれませんが、よろしくお願いします。

  • VLANであればセキュリティ的に安全?

    サブネットや第3オクテットの分けだと、 パソコン側で設定変更すれば別セグメントに侵入できてしまいますよね? VLANであれば、仮想的に分断できているので、 別LANのセグメントにはユーザー側からはどうやっても侵入できないのでしょうか? (セキュリティ的に安全?)

  • VLANの考え方についてご教授ください。

    VLANの考え方についてご教授ください。    Untrust     ↑ +---------+ | ISG2000 | +---------+     |Trust     | +---------+ | L3SW   |←複数のVLANあり +---------+     |     |     解りにくい絵で申し訳御座いません。。 上記の構成でL3SWにはVLANが複数あります。 どちらの機器もRIPをしゃべっています。 L3SWのセグメントからUntrustに出る為に ISG2000のTrustにサブインターフェースの設定は 必要になりますでしょうか? サブインターフェースの設定をしなければ L3SWのもつセグメントはUntrustに出れないでしょうか? VLANの考え方がいまいち理解できていないので ご教授を頂ければ幸いです。 よろしくお願いいたします。

  • タグVLANについて

    タグVLANについて、以下の認識であっているか確認して貰えないでしょうか。  ・端末が接続されるアクセスポートにおいて、タグVLANを設定する場合、   端末側のNICと対抗のSWのポートでそれぞれタグVLANを認識できる必要がある   という認識で問題ないでしょうか。  【SW】  ポート1:タグVLAN10------タグVLAN10:端末A  ポート2:タグVLAN20------タグVLAN20:端末B  ポート3:タグVLAN30------タグVLAN30:端末C  ポート4:タグVLAN10------タグVLAN10:端末D  ポート5:タグVLAN10~30(カスケード)----------タグVLAN10~30が認識できるSW  ・上記のような構成の場合は、単純にルーティングをかえさずに通信可能なのは   端末Aと端末Dという認識ですが、タグVLANを端末の部分に使う事は、以下2点の問題から   選択しとしては微妙なきがするのですが、このような設定は一般的なのでしょうか?      1.各端末のNICがタグVLANに対応している必要がある。   2.各端末でタグVLANの設定を追加で行う必要がある。   メリットとして考えられそうなのは間にVLANに対応していないSWが経由し、   配下に複数の端末があるときに、柔軟にVLANで分ける事ができるという事でしょうか?   それとも、VLAN対応していないSWにパケット不良として破棄されるのでしょうか? よろしくお願い致します。

  • native vlanについて

    native vlanの勉強をしているのですが、何の為に設定するのかよくわかりません。ご存知の方がおられたら、ご教授ください。

  • vLANの設定について

    L2スイッチでタグVLANを作成する場合、 VLAM10 VLAN20は別セグメントという扱いになると思いますが VLAN10→VLAN20へ通信する場合、上位スイッチを経由するかと思いますが 上位機器(L3スイッチやルーターなど)で、特別設定をしなくても、問題なく通信できるのでしょうか。 CISCO製品のタグVLAN等で行う場合、上位機器でポートとタグVLANの紐付け設定が必要かと思いますが、上位機器で設定不要な方法もあるという話を聞きました。 いまいちイメージがつかないのですが、もし知っている方いらっしゃいましたら どのような経路で通信が解決されるか教えてもらえると助かります。

  • ciscoルータのVLAN間接続について

    ネットワーク初心者です。 以下環境にて、VLAN2のPCからルータ越えしてのインターネット接続が出来ないで困っております。 どなたかご教授お願いします。 Cisco1812J  ルータ(IP:172.16.1.100)⇒インターネットへ  |        |  |        |  |――――――――― VLAN1  |  |      (172.16.1.1/24)  | WinPC1  | IP:172.16.1.10  | GW:172.16.1.1  |  |――――――――― VLAN2     |      (172.16.2.1/24)    WinPC2    IP:172.16.2.10    GW:172.16.2.1 VLAN1のPCからは問題なくインターネットへ接続できます。 VLAN2のPCからルータに対してpingすら飛びませんでした。VLAN1のPCにはpingが飛びます。 Cisco1812Jには以下のルーティングを設定しております。 Gateway of last resort is 172.16.1.100 to network 0.0.0.0 C 172.16.1.0/24 is directly connected, Vlan1 C 172.16.2.0/24 is directly connected, Vlan2 S* 0.0.0.0/0 [1/0] via 172.16.1.100

  • マルチプルダイナミックVLANについて

    はじめまして。お世話になります。 アライドテレシス製品『CentreCOM 9424T/SP-E』にて MACアドレスベースVLANの構築を検討しており、 下記条件で想定する動作が成り立つか ご教授頂きたく宜しくお願い致します。 1.MACベースVLANを採用 2.Radiusサーバなし 3.エッジスイッチはノンインテリジェントスイッチを使用 4.マルチプルダイナミックVLAN機能を使用 5.DHCPサーバは『CentreCOM 9424T/SP-E』の機能を使用 ※当スイッチでマルチプルダイナミックVLANという機能があり (1つのポートに複数のVLANを割当てることで配下にスイッチがあってもユーザごとにVLANの付与が可能?) この機能を使いたいと思っております。 上記環境で構築を考えておりますが そもそもMACアドレスVLANとマルチプルダイナミックVLANの併用は可能でしょうか? それ以前に根本的な誤解をしているでしょうか? 初歩的な質問で大変申し訳ございませんが、宜しくお願い致します。

  • PLANEX製ルータ VLAN設定

    こんにちは。 PLANEX社のMZK-MF300DのVLAN設定についてお尋ね致します。 この製品はセキュリティ設定からVLANを組めるようになっています。 ルータモードで運用したいのですが、その上でセキュリティの都合から 有線LAN部とWLAN部のVLANを分割するため、以下のように設定を追加しようとしています。 (1)VLAN機能をONに (2)有線 ポート1のVLANを有効に、VIDを100に (3)無線LAN1のVLANを有効に、VIDを2に (4)無線LAN2のVLANを有効に、VIDを2に 上記の設定を適用したのですが、有線ポート1に接続したPCから無線LAN1に接続した端末へpingが通ってしまうようです。 VIDが異なればicmp含む全ての通信が相互に通らないのではというのが私の解釈なのですが、 何か勘違い等ありあましたらご教示頂きたく存じます。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する