自宅でネットワークを構築する(無線ルータの設定)

 ルータの設定って、ちょっと、初心者の方にとって少々敷居の高い作業です。一昔前だと、設定コマンドを入力したり、パソコンとルータに、同じネットワークアドレスのIPアドレスを設定して、ブラウザ経由で設定しなければなりませんでした。

 四苦八苦して、WAN(インターネット)の接続ができたとしても、さらに、無線の設定に関しては、SSIDや電波干渉を避けるためのチャンネルの設定や暗号化の設定、さらに、もっと難解なファイアフォールの設定と設定しなければならないことが山積みでした。

 ところが、最近の無線ルータの設定は、一昔前に比べると、びっくりするぐらい設定が簡単になっています。便利な設定ソフトウェアが付属していたり、ボタン一つで設定しなくても自動で判別してくれたりします。

WANの設定(インターネット接続)

 インターネットプロバイダの会員になるとプロバイダに接続するための設定情報が送られてきます。その情報を、無線ルータに設定します。

設定する項目は、

  • 接続ユーザ名
  • 接続パスワード
  • DNSサーバのIPアドレス、あるいは自動取得
  • 認証時の暗号化

などを設定していきます。

 設定するためには、パソコンと無線ルータに、同じネットワークアドレスを設定して、パソコン・無線ルータ間をクロスケーブルで接続して、ブラウザのURLのところに無線ルータのIPアドレスを指定して接続します。最近の無線ルータは、LANのポートがAuto-MDIXに対応している製品もあり、ストレートケーブルで接続することもできるようになっています。購入すると付属で付いてくる短いLANケーブルを使用すると良いでしょう。

http://無線ルータのIP

と入力して、接続すると、ログイン画面が出てきます。

無線ルータのIPアドレスは、付属してくるマニュアルや製品にシールが貼ってあるので調べてみましょう。

 接続すると、その無線ルータに設定されている管理者アカウントとパスワードを入力してやっと設定できるようになるのですが、この管理者アカウントとパスワードは、セキュリティの観点から後で変更しておくことを強く推奨します。

SSIDの設定

 SSIDとは、無線規格、IEEE 802.11シリーズのアクセスポイントの識別子のことで、混信を避けるために付ける名前です。最大で32文字までの英数字を任意に設定します。製品によっては、購入した時点でデフォルトのSSIDが既に設定されています。

 また、ESSIDという言葉もよく聞くと思います。ESSIDとは、複数のアクセスポイントを設置したネットワークを考慮してネットワーク識別子に拡張したものを言います。

 少々、紛らわしいのですが、ネットワーク識別子のことをSSIDとかESSIDと呼んできます。メーカーによって、このネットワーク識別子の説明が異なる場合がありますが、同じようなものだと思って下さい。厳密には意味は異なります。アクセスポイントと接続するためには、この識別子を合わせておく必要があります。

 無線ルータは、アクセスポイントとしても機能するため、このネットワーク識別子の設定が必要になってきます。アクセスポイントに設定したSSIDを端末側でも同じ値に設定する必要があります。

 アクセスポイントとそれに接続する端末は、同じSSIDを設定しなければ、接続できないようになっているので、一見、セキュリティを確保できるように思えますが、盲点があります。SSIDを何らかの方法で知られてしまうと接続されてしまう恐れがあるのです。

次の機能を確認しておきましょう!

●Any接続拒否機能

SSIDを「Any」に設定されると誰でも接続できてしまう「Any接続」を禁止する機能。

●無線SSIDステルス機能

 IEEE 802.11では、アクセスポイントはビーコン信号により、設定されたSSIDを定期的にブロードキャストを行います。これは、公衆無線LANアクセスでは、便利ですが、ホームネットワークを構築する上では、あまり便利だと言えないかもしれません。隣人にSSIDを知られてしまうからです。

 メーカーによって呼び名は異なりますが、「無線SSIDステルス機能」とは、周辺に通知のために発信するビーコン信号を停止する機能で、Windowsなど、ビーコン信号を検地する端末からSSIDを隠蔽することができます。※しかし、この機能も有効だと言えなくなってきています。「無線SSIDステルス機能」を有効にしても検知するOSもあります。

暗号化の設定

 無線接続は、物理的にケーブルを接続しない通信です。有線LANとは違って、電波の電波の届く範囲内であれば、たとえ、屋外からでも接続できてしまいます。最近の無線機器は、電波がかなり遠くまで届きます。電波の出力を調整すると良いでしょう。

 そのため、家庭の外から勝手に無線LANに接続し、不正侵入される恐れがありますし、無線LANに接続して通信内容をモニターされ、無線LANでやりとりしている内容が第三者に漏洩してしまう恐れがあります。

そこで、漏洩の危険を回避するために、無線通信に暗号化をかけてやるわけです。

暗号化の方式には、いくつかあり、暗号強度は、以下のようになっています。

AES > TKIP > WEP(128bit) > WEP(64bit)

 「AES」が、現時点で、最高レベルの暗号化で、今のところ解読手法が存在しない強固な暗号化方式になります。しかし、単純なパスワードだとパスワードを解析するツールも出回っており、危険です。パスワードはある程度の長さと複雑さが求められます。

 無線の暗号化に、「AES」を使いたいところなのですが、構成される無線ネットワーク内のアクセスポイントと無線端末で同じ暗号化にしておかなければならないので、古い無線機器がある場合は、この最新の「AES」を導入できないかもしれません。もはや、WEPは安全だとは言えませんので、古い機器は使わないということも選択肢に入れましょう。

ファイヤウォールの設定

 ファイアウォールは、主にネットワークの境界線に設置する専用の機械やルータのことを指します。家庭内(社内)のような「信頼できるネットワーク」とインターネットのような「信頼できないネットワーク」の2つのネットワークの間に配置します。

ファイアウォールには、いくつかのタイプがあります。

  • パケットフィルタ型
  • サーキットレベルゲートウェイ型
  • アプリケーションゲートウェイ型

 家庭用のブロードバンドルータ(以下、無線ルータ)には「パケットフィルタ型」のファイアウォール機能が搭載されている場合が多く、パケットフィルタを行うことでファイアウォールを構築します。

 パケットフィルタとは、具体的には、ファイアウォールを出入りするパケットを監視し、通過させる、通過させないなどのルールをもとに、通したり破棄したりすることをいいます。

 このファイアウォールの設定で、ルール作りをたくさん行えば、セキュリティは、高くなりますが、これの代償として、あるアプリケーションが通信できないなどの弊害が出てきます。

 例えば、セキュリティを高めた結果、ネットワークゲームができなくなるケースも発生してしまいます。とは言え、このパケットフィルターのルールを甘くするとセキュリティに弱くなるわけで、設定の按配がとても難しいのです。

 無線ルータのファイアウォールの設定を緩めにして、各端末にファイアウォールソフトをインストールしてセキュリティを補う方法もあります。このメリットは、各端末で個別に、通信するアプリケーションを指定できるところです。しかし、端末ごとにセキュリティの設定を行う必要があり、家庭内ネットワークを管理するのことが難しくなってきます。

無線ルータ側で、ファイアウォールの設定を行うと、家庭内の全ての機器が、そのファイアウォールに設定されたポリシーに影響します。

 しかし、このファイアウォールのルール(ポリシー)作りには、ネットワークの知識がかなり必要で、ネットワークについてある程度、勉強された方でないと設定は、難しい作業になります。そこで、全くファイアウォールの設定をしないで、全ての通信を許可してしまう方が多くなってしますのですが、それだと危険です。

 ところが、最近の家庭用の無線ルータでは、この難しいファイアウォールの設定が簡単に設定できる製品があります。専用のソフトウェアで設定できたり。ブラウザで、簡単に設定できるようになっています。

単なるパケットフィルだけでなく、

  • アタックブロック機能
  • SPI(ステートフル・パケット・インスペクション)機能
  • ダイナミックパケットフィルタリング機能

などのインターネットからの不正アクセスを防ぐ、各種ファイアウォール機能を実装している製品があります。

●アタックブロック機能

 パソコンをダウンさせるDoS攻撃やPortScanなどを検出、通知してくれます。受けた攻撃は、パケットを破棄するしてくれるので安全です。メールでも知らせてくれます。

●SPI(ステートフル・パケット・インスペクション)機能

 セキュリティホールを生じさせない高レベルのパケットフィルタリングで、通信セッションごとにパケットの整合性をチェックしてくれます。セッション終了時に、全ポートを閉じてくれるため、不正なアクセス(なりすまし等)の防止に役立ちます。

●ダイナミックパケットフィルタリング機能

 アクセスに適応した出口を作り、その反応が返る際に、新たな返送用入口を用意してくれます。通信終了時に、全ての入口を閉じ、一定時間以内に応答がない場合も入口を閉じてくれるので、外部から不正に進入される危険性が極めて低くなります。

 ファイアウォールの設定は、無線LANルータの設定でもっとも難しい設定になるので、わかる範囲内で、設定しておくことをオススメします。結構、簡単に設定できるようになってきているので、面倒がらずに設定しておきましょう!

DHCPサーバ・PCネットワークの設定

 パソコンも一家に1台ではなく、スマートフォンなどネットワークに接続する機器を各個人が所有する時代です。テレビなどの家電もインターネットに接続します。家庭用ゲーム機や携帯ゲーム機だって、インターネットに接続することが前提になっています。

 とは言え、インターネットに接続する端末が増える度に追加する端末用にIPアドレスを割り当てなければなりません。数台なら、この割り当て作業もさほど大変な作業ではないのですが、台数が多いと管理が大変です。各個人が複数のネットワーク端末を持つ時代です。しかし、IPアドレスは、重複してはならないルールになっており、管理が大変です。

 ネットワークのルールでは、同じIPアドレスを複数の端末に割り当ると通信が不安定となります。IPアドレスを割り当てる際は、重複しないように注意する必要があります。

 例えば、新たに、双方向のインターネットサービスに対応した家電を購入したり、子供にスマートフォンやタブレットを買い与えたとします。その都度、IPアドレスを割り当てるのは、少々面倒です。

 そんな時に、役に立つのがDHCPサーバです。DHCPサーバとは、自動的にIPアドレスなどのネットワークの設定を払い出しをするサーバのことなんですが、ブロードバンドルータには、DHCP機能が大抵は備わっています。その機能を利用すれば、IPアドレスの管理をしなくて済むので、運用管理が楽になります。

●DHCPの設定

製品によって設定の仕方は、若干違いますが、設定する内容は、ほとんど同じです。

まずは、払い出しをするDHCPのエントリを作成します。

次に、DHCPサーバの機能を使用するように設定します。

●PCネットワークの設定

 端末側では、「自動的にIPアドレスを取得する」設定にするだけで、端末は自動的にIPアドレスを取得できるようになります。例えば、Windows端末では、TCP/IPのプロパティーを自動取得にします。※下図はWindows XPの場合ですが、Windows11しろ、基本的には同じです。

PCネットワークの設定

 ただし、自動でIPアドレスを取得する端末は、手動でIPアドレスを割り当てた場合と比べて、若干時間がかかるので、直ぐにインターネットに接続したい場合などは、手動で設定した方が良いでしょう!