FONはPrivateエリアをセキュアなままに回線を貸し与える?
と、いままで思っていましたが、どうにもちがうようで。FONの公式HPを見るといかにもそんな風で、
「回線共有ジッサイスゴイ」「Win-WinでBe HAPPY!!」
みたいな売り文句が書いてありますが、重大な欠陥がありました。
それは既存のネットワークに公開AP(FON_FREE_INTERNET)から侵入されてしまうというセキュリティリスク。
自宅ネットワークにNASやら、テレビの録画データ、音楽データを置くのが珍しくない昨今、
「FONの方針に胸打たれた!」「FONルータ実際ヤスイ」などと安易にFONを導入すると簡単にぶっこ抜かれるというわけです。
FONのPrivateAPとPublicAP
FONからは2つのシグナルが出ています。ひとつはPrivateAP(デフォルト:MyPlace)、もうひとつはPublicAP(FON_FREE_INTERNET)です。
FONがいうには、PrivateとPublicで別々なセグメント(IPアドレス範囲)割り振ってるからセキュリティ的に問題ないよ、とのことです。*1
実際、それぞれのAPにアクセスしてipconfig叩けばわかるのですが、別のIPが割り振られています。
/**************************/
Private
Default Gateway:192.168.10.1
IP address:192.168.10.2
/**************************/
Public
Default Gateway:192.168.182.1
IP address:192.168.182.10
/**************************/
こんな感じ。まぁ、確かに問題ないでしょうね。FONを接続しようとするネットワークが1つであれば。
複数のセグメントが存在する場合
これ、我が家での回線状況なんですが、こんな感じに複数のセグメントが存在するともうだめ。
FON下流のIPは確かにネットワークセグメントが異なるのですが、FON上流(FONから経由する)パケットはFONに与えられたIPaddressで送出します。(図中だと、192.168.1.4)
コレの何が問題かって、FON以外のネットワークはそのFONにつながっているPCアクセス元がPrivateAPからなのかPublicAPからなのか判断できないという点。
これによって、本来権限がないはずのPublicAPからのアクセスでも自宅ネットワークにアクセスできちゃう。あぁ、最悪。
また、PublicAPからもDNSを引くことができちゃうので自宅ネットワーク構成が筒抜けになるおまけ付き。
申し訳程度にPublicAPからのアクセスは同じセグメントレベル(図中だと192.168.1.*)であればFONが勝手にブロックしてくれるようですが、異なるセグメント192.168.11.*だったりするものについてはスルーしちゃうみたいです。
ではどうするか
FONを導入するのはやめたほうが無難です。IPパケット規制の設定が面倒です。
FONをすでに導入している人は、ノーガード戦法を貫くか、FONからのローカルネットワークアクセスを規制しましょう。
ついでに、破砕ゴミの日に捨てておけば完璧。
ぶっちゃけ、FONがこのレベルのセキュリティホール放置しとくのヤバイと思う。
ゴミだよ、ゴミ。ハハハハハハ
*1 異なるセグメント間はルータによるルーティング設定を行わないとアクセスできない