sidetech

(元)インフラエンジニアの寄り道メモ。

Meraki MRのSSIDでFirewall

国内の廉価無線ルーターやAPでは、セキュリティ関係ではファイアウォールという言葉は少なく、たとえば他の端末を見えないようにする機能で「プライバシーセパレーター」なんて言葉の機能がある。初心者にわかりやすい的を得た言葉ですね。テクノロジを知らなくても利用出来るのはいいことですが、でもネットワーク屋からすると、ワンタッチ設定ほど扱いにくいものはありません。かゆい所に手が届かないのが大半で融通が利かないんですね…。

で、Merakiはコンシューマー製品でもなく、廉価製品でもないのですが、基本的にはイージーセットアップで、ちゃんと必要な機能を備えています。
Merakifirewall
SSID毎にファイアウォールのルールが作れるので、目的に合わせてアレンジがしやすいです。プライバシーセパレーターという言葉はないですが、同じ事は出来ます。そして、L3フィルタ(IPアドレス)とL7フィルタ(アプリケーション)を搭載しているので、特定の通信やアプリケーションをブロックするといったような事が可能です。ただL7のアプリフィルタについては、海外の主要なアプリの一覧しかないのと、アプリ誤検知もあるのでオマケぐらいに思っておいたほうがいいです。ただ、ちゃんとパケットを解析しているとう考えなので今後において好感が持てます。企業向けのAPであればこの程度の機能は当たり前かもしれませんが。。。まぁSSIDでFirewallを組めると、LANレベルでL2/L3で制御しにくい事がいとも簡単にセキュリティ制御出来るのでイイですよね。
と、ここまでは他製品でも何とかできるかもしれませんね。

Merakipolicy
でも、端末を指定して、どのSSIDホワイトリストするのかとかブラックリスト(ブロック)するのかといったようなPolicyをやろうとすると・・・どうでしょうかね。

「あの端末をブロックしたい」というようなシチュエーションがあるかはわかりませんが、異常だとおもった端末だけ全SSIDか特定のSSIDに接続させないといったような制御が可能です。ここら辺の機能は廉価版だとMACアドレスによる制御だとおもいます。企業版でもそういった制御が一般的かもしれませんね。ホストを選べるタイプでも、わざわざセーフリストやブラックリストのボックスに指定したりしないと駄目なんじゃないかな・・・憶測ですが。で、このポリシー制御は全てのAPに反映されるので、何処に行こうがブロックされたらつながりません。逆に特定のAPにだけ接続を許可とかそういったことも出来ます。