Wi-Fiアクセスポイント設置とネットワークのトラブル 事例

kaizen_VPN_after_an mmblog

最近、増えているDHCPの範囲とIPアドレスのリリース時間についてのトラブル。その原因に、Wi-Fiアクセスポイント設置による、利用者の増加が、背景に。

コロナも落ち着き、ほっとしてきた感じの向こうで、コロナ後の世界では、インターネットに接続して行う仕事が格段に増えています。

最近のトラブル 事例から、その原因と心理、解決方法を考えてみました。

繋がらくなった原因の切り分けからわかったこと

以下、図は、『フレッツVPNワイド』を利用して、センター拠点からインターネットに接続するという、よくある構成図です。(事例として紹介するためで、IPなどは実際のものとは書き換えています)

fletsvpnwide

これまで問題なく稼働していましたが、先日も、VPN,インターネットの接続ともに不安定ということで相談をいただきました。

センター拠点からインターネットに出ていくので、ログもとれるので、こういう構成で、何社か、私も設定させていただきました。

拝見させていただくと、Wi-Fi機器が増えています。利用方法をお聞きすると、最近、社員から個人のスマートフォンをWi-Fiに繋ぎたいという要望があり、担当者にて機器を購入され、支店にも配り、接続され、利用されていたとのこと。

vpnwide_wifi_DHCP_incident

現場調査すると、接続できていない端末は、IPアドレスが169.254.XXX.XXX。

お話では、ZOOMが切れる、本社サーバーにつながらないことが時々ある。

インターネットの接続が不安定になると、仕事にならない・・・、などの声が聞かれました。

 

現場調査で気が付いた問題点

1.DHCPのIPアドレスの割り当てが足りていない(169.254.XXX.XXXの結果より)

2.無線APのSSIDをデフォルトで利用→社員の個人のスマートフォンが会社のネットワークに存在する。ファイルサーバはパスワード保護されているものの、サーバのパスワードを知っていればアクセス可能なことから、情報漏洩やスマホのウイルス感染による情報流出の危険が考えられる。

3.その他 6年前とは大きく環境が変化。インターネットに接続して行う仕事量の増加。zoomの利用や、クラウド系サービスなど、利用方法が一変。

ご提案したこと

kaizen_VPN_after_an

直ぐ行ったこと

RTX1200のDHCPのリース時間、開放時間の変更 デフォルト72時間からの変更

ルータへ以下

dhcp scope 10.11.12.2-10.11.12.191/24 expire 3:00 maxexpire 3:00

インターネットの接続の不安定、VPNの不安定の目前の課題は、一旦解決しました。

提案したこと

1.インターネットの接続を支店から直接出れるようにする。ログは支店のルータで見る。

2.wi-fi機器の社内用、ゲスト用とし、ゲスト用にはSTAセパレータ(NW分離機能を持たせる)

社内用SSIDは、パーソナルモードとエンタープライズモードがあることの説明。エンタープライズモードは別に認証サーバが必要。パーソナルモード利用の場合、退社社員がある場合、注意必要ということを説明。

4.機器リプレースは、現在半導体不足の影響で通信機器の価格が高騰していることを説明。

5.その他 RTX1220はVPNとインターネット接続を一台で行えます。が、機器が一台で利用の場合、故障してしまうと代替え機器の用意が必要です。図の構成では、機器故障が発生した場合、代替え方法を持つことができるメリットがあります。

インターネットやVPNが繋がらなくても業務に大きく影響しない場合は、一台で十分かもしれません。RTX830でも、NVR510でも、同じことが行えるので、機器の選択の変更も出来ます。

 

最後に

DHCPの範囲やリース時間のトラブルが増えている気がすると思い、原因がどこかと考えたところ、カンタンに接続できてしまうwifi機器がキーワードになっていると気が付きました。そして、その扱いが、大きなリスクになっていました!!

警視庁さんのホームページ 『スマートフォンを利用している方へ』によると、スマートフォンの接続トラブルは、子どもだけでなく、大人のにも増えていることがわかります。

URL:https://www.keishicho.metro.tokyo.lg.jp/kurashi/cyber/security/cyber414.html

担当者さんの心理としては、wifiは、市販のものを買ってきて、アクセスポイントモードにすれば、とりあえずは繋がる。家でもそうしているのでと、安易に導入してしまいがち、ということも感じました。

会社のネットワークに個人のスマートフォンをつなげるリスクは、個人宅と会社は環境が違うということをまず念頭に置いていただくことが必要。ファイルサーバや社内ネットワーク内にある、様々な情報を外に出してしまう危険もあります。

NWを組むときに、利用方法のヒアリングを行っていますが、この2年と少しで、インターネットに接続る量が絶対的に増えているということ、実感しました。

社員さんにwifi開放するにはそれなりきの設定が必要です。ゲームに限らず、様々なアプリが勝手に自分の個人情報や位置情報を勝手にどこかへ送信してしまっている、そんな例が後を絶たないということも知っておいていただけたらなぁと思いました。

インターネットの接続において、絶対大丈夫ということはありませんが、安易にリスクを抱え込んでしまう設定にしてしまわないように、定期点検、ヒアリング、今一度していきたいと思いました。