ほとんどの熱狂的なユーザーは(プロでなくても)、一般的なホームルーターのセキュリティを突破するためによく知られたテクニックを使うことができるのでしょうか?
いくつかの基本的なセキュリティオプションがあります
- 様々な暗号化方式を用いた強力なネットワークパスワード
- カスタムルータのアクセスパスワードを設定します
- WPS
- エス・エス・アイ・ディー・ブロードキャストなし
- MACアドレスのフィルタリング
その中には、危険なものもあり、ホームネットワークをより安全なものにするためにはどうすればいいのでしょうか?
158 None 2014-03-24
意味論の議論をせずに、はい、ステートメントは真実です
wifiの暗号化には、WEP、WPA、WPA2など複数の規格があります。 WEPは妥協されているので、あなたがそれを使用している場合は、強力なパスワードを使用しても、それは些細なことに壊れることができます。私は、WPAは(しかし、あなたはこれをバイパスするWPSに関連するセキュリティの問題を持っている可能性があります)しかし、クラックするのははるかに困難であると信じて、2017年10月の時点では、WPA2はまた、疑わしいセキュリティを提供しています。また、合理的に難しいパスワードであっても、ブルートフォースされることがあります – Moxie Marlinspike – よく知られたハッカー クラウドコンピューティングを使用してUS$17でこれを行うためのサービスを提供しています – その保証はされていませんが
強いルーターのパスワードは、WIFI側の誰かがルーターを介してデータを送信することを防ぐために何もしませんので、それは無関係です
隠されたネットワークは神話です – ネットワークをサイトのリストに表示されないようにするためのボックスがある間、クライアントはこのようにその存在が些細に検出される WIFI ルーターをビーコンします
MACフィルタリングは、多くの(ほとんど/すべて?)WIFIデバイスは、既存のMACアドレスをクローン化し、MACフィルタリングをバイパスするようにプログラム/プログラムすることができますので、冗談です
ネットワークセキュリティは大きなテーマであり、スーパーユーザの質問には答えられないものですが、基本的には、セキュリティは階層的に構築されているため、いくつかのシステムが侵害されたとしても、すべてが侵害されるわけではないということです。WPA と安全なパスワードで「ジョー・アベレージ」から守る
あなたのWIFIネットワークの保護を強化したい場合は、トランスポート層としてのみ表示することができます, と暗号化し、その層を越えて行くすべてのものをフィルタリング.これは、人々の大半のためのやりすぎですが、あなたがこれを行うことができる1つの方法は、あなたの制御下で与えられたVPNサーバーへのアクセスを許可するようにルータを設定することであろう, とVPNを介してWIFI接続を介して認証するために各クライアントを必要とする – このようにWIFIが侵害されている場合でも、敗北するために他の[より難しい]層があります。 この動作のサブセットは、大企業の環境では珍しいことではありません
より良いホームネットワークのセキュリティを確保するためのより簡単な方法は、WIFIを完全に捨てて、有線のソリューションのみを必要とすることです。 あなたが携帯電話やタブレットのようなものを持っている場合、これはしかし、実用的ではないかもしれません.この場合、あなたのルータの信号強度を減らすことによってリスクを軽減することができます (確かにそれらを排除することはできません)。また、周波数が少ないリークするように、あなたの家をシールドすることができます – 私はそれを行っていない, しかし、強い噂(研究)はそれを持っていることを持っている, 良い接地で、あなたの家の外側にさえアルミメッシュ(フライスクリーンのような), それは脱出する信号の量に大きな違いを作ることができます. しかし、もちろん、バイバイ携帯電話のカバレッジ ]
保護の前面に, 別の選択肢は、ルータを取得することかもしれません (それがそれを行うことができる場合, ほとんどがそうではありません, しかし、私はopenwrtとおそらくトマト/dd-wrtを実行しているルータを想像してみましょう) あなたのネットワークを通過するすべてのパケットをログに記録し、それを監視することができます – 地獄, 様々なインターフェイスの総バイト数との異常を監視するだけでも、あなたに保護の良い程度を与えることができます
一日の終わりに、おそらく尋ねるべき質問は、”私のネットワークに侵入するカジュアルなハッカーの時間の価値がないようにするために何をする必要があります “または “私のネットワークが危険にさらされていることの本当のコストは何ですか “と、そこから行くことです。簡単で迅速な答えはありません
更新日 – 2017年10月
WPA2 を使用しているほとんどのクライアントは、パッチを当てていない限り、“Key Reinstallation Attacks – KRACK” を使用して、トラフィックを平文で公開することができます。注目すべきは、これはネットワークやPSKへのアクセスを与えず、標的となるデバイスのトラフィックのみにアクセスを与えます
148 davidgo 2014-03-24
他の人が言っているように、SSID の隠蔽は破るのは簡単です。実際、ネットワークはSSIDをブロードキャストしていなくても、Windows 8のネットワークリストにデフォルトで表示されます。ネットワークはどちらの方法であっても、ビーコンフレームを介してその存在をブロードキャストします。SSID は既存のネットワークトラフィックから取得するのは簡単です
MACフィルタリングも、ひどく役に立たない。WEPクラックをダウンロードしたスクリプト小僧の動きを一時的に鈍らせるかもしれませんが、正当なMACアドレスになりすますことができるので、何をしているか知っている人を止めることは間違いなくできません
WEPに関しては、完全に壊れています。パスワードの強度は、ここではあまり重要ではありません。あなたがWEPを使用している場合は、強力なパスキーを持っていても、誰でもすぐにネットワークに侵入するソフトウェアをダウンロードすることができます
WPA は WEP よりもかなり安全ですが、まだ破られていると考えられています。ハードウェアが WPA をサポートしていても WPA2 をサポートしていない場合は、何もしないよりはマシですが、断固としたユーザーであれば、おそらく適切なツールを使って解読することができるでしょう
WPS(ワイヤレス保護されたセットアップ)は、ネットワークセキュリティの大敵です。使用しているネットワーク暗号化技術に関係なく無効にしてください
WPA2は、特にAESを使用するバージョンでは非常に安全です。まともなパスワードを持っていれば、友人がパスワードを知らずに WPA2 で保護されたネットワークに侵入することはありません。もしNSAがネットワークに侵入しようとしているとしたら、それは別の問題です。その場合は、無線を完全にオフにするべきです。そして、おそらくインターネット接続とすべてのコンピュータの電源も切るべきです。十分な時間とリソースがあれば、WPA2(そして他の何でも)をハッキングすることは可能ですが、平均的な趣味人が自由に使えるようになるまでには、もっと多くの時間ともっと多くの機能が必要になりそうです
デビッドが言ったように、本当の問題は「これはハッキングできるか」ではなく、「特定の能力を持った人がハッキングするのにどれくらいかかるか」ということです。明らかに、この質問に対する答えは、その特定の能力のセットが何であるかによって大きく異なります。また、セキュリティは何層にも分けて行うべきであるというのも、彼の言う通りです。あなたが気にするものは、最初に暗号化されていないとネットワークを通過できません。つまり、誰かが無線に侵入したとしても、インターネット接続を利用する以外の意味のあるものには侵入できないはずです。安全性を確保する必要がある通信には、強力な暗号化アルゴリズム(AESなど)を使用する必要があります。電子メールやその他の機密性の高いウェブトラフィックが暗号化されていることを確認し、適切な認証システムなしにコンピュータ上でサービス(ファイルやプリンタの共有など)を実行していないことを確認してください
Update Oct 17, 2017 – この回答は、WPA と WPA2 の両方に影響を与える主要な新しい脆弱性が最近発見される前の状況を反映しています。Key Reinstallation AttaCK (KRACK)は、Wi-Fi のハンドシェイクプロトコルの脆弱性を利用しています。厄介な暗号化の詳細 (リンク先のウェブサイトで読むことができます) に入ることなく、どの暗号化アルゴリズムを使用しているかにかかわらず、パッチが適用されるまでは、すべての Wi-Fi ネットワークは壊れていると見なされるべきです
KRACKに関する関連するInfoSec.SEの質問です。 WPA2 KRACK 攻撃の結果 VPN を利用する余裕がない場合、KRACK から身を守るにはどうすればよいでしょうか?
52 reirab 2014-03-25
このスレッドの他の回答が良いので、具体的な回答を求めている人にとっては(まあ…ここはSuperUserだから仕方ないか)、質問は簡単に次のように訳すことができると思います。”私のWiFiネットワークを安全にするために何を知っておくべきですか?”と。 他の回答を否定する(確認する)ことなく、これが私の短い回答である
暗号学者ブルース・シェニエ氏の言葉は、多くのユーザーが覚えておく価値のあるアドバイスになるかもしれません
本当の解決策は電源コードを抜くことだけです
これはしばしば無線ネットワークに適用することができます:我々は常にそれが動作する必要がありますか? 多くのルーターには、D-Link DSL-2640B のように、無線を有効/無効にするための WiFi ボタンがあります。 そうでない場合は、iMacros (Firefox の拡張機能として、またはスタンドアロンのプログラムとして利用可能) のようなツールを使用して、Windows や Linux 上の他の多くのツールを使用して、常にウェブの無線の有効化/無効化を自動化することができます
そして、ここではWPAのための2つのトリックは、(WEPを忘れてください、お願いします)パスワード(良いWPAのパスワードは、攻撃が非常に困難になります)の作成(デフォルトのパスワードを保持しないでください)
- 存在しないおよび/または外国語を使用してください。SilbeasterStallonarius、Armorgeddon、HomecitusSapiensante(それらを見つけるために単純な辞書を使用することはできませんので)
- 覚えやすい(少なくともあなたにとっては)文章を作成し、各単語の最初の文字を取ってパスワードを定義します。その結果、大文字と小文字、数字、その他のアルファベット以外の文字を含む、暗号化しにくい(最低8文字)、しかし覚えやすいパスワードができあがります。 “あなたには2人の息子と3匹の猫がいて、彼らを愛しています。””息子が2人いて猫が3匹いて、それを愛している” –> “Yh2sa3c,aylt.”
そして、神のために: 今すぐWPSを無効にしてください!それは完全に違法です
14 Sopalajo de Arrierez 2014-03-25
ネットワークパスワードは別として)あなたが言及したことのどれも、Wi-Fiネットワークのハッキングには本当に影響しません。MACアドレスフィルタと隠されたSSIDは、セキュリティの面で本当に何の役にも立ちません
本当に重要なのは、ネットワークで使用されている暗号化の種類です。WEP のような古いネットワーク暗号化は、十分なトラフィックがあれば解読することができ、必要なトラフィックを強制的に生成することができるので、破るのは簡単でした
しかし、WPA2のような新しいものは、はるかに安全です。今では、すべての敵に対して「安全」なものはありませんが、家庭用Wi-Fiでは通常これで十分です
これは大きなトピックで、これは氷山の一角にしか触れていませんが、うまくいけばお役に立てると思います
7 Sirex 2014-03-24
WEP と WPA1/2 (WPS を有効にした場合) は簡単にハックできます。前者はキャプチャされた IV を使用して、後者は WPS PIN ブルートフォースを使用して (3 つの部分のピンから 11,000 の可能なコンボのみ、4 桁 [10,000 可能] + 3 桁 [1,000 可能] + 1 桁のチェックサム [残りの部分から計算される] )
WPA1/2は強力なパスワードでは厳しいですが、GPUクラッキングやブルートフォースの技術を使えば、弱いものでもある程度バストアップできます
私は個人的に仕事用のネットワークでWEPとWPSをクラックしたことがありますが(許可を得て、雇用主に脆弱性をデモしていました)、WPAのクラックにはまだ成功したことがありません
6 hanetzer 2014-03-26
これは素晴らしい質問であり、非常に安全なワイヤレスを持つためのガイドラインはよく知られているはずです。ルータ/ゲートウェイ/APを設定するようにしてください
- 無線セキュリティはWPA2のみ
- 暗号化はAESのみです
- 複数の単語を含む事前共有キーを使用します(例:IloveSuperUser)
- disable WPS
- リモート管理を無効にします
それだ!すべての実用的な目的のために、あなたは今、完全に安全な無線を持っています
5 Jason 2014-03-26
Cisco Learning Network フォーラムで、スレッドスターターが尋ねてきました
WPA/TKIPはクラックできるのか?私のゲストハウスの誰かが80ギガのデータを使い切ったか、近くの誰かがパスワードをクラックして使ったかのどちらかだと思うのですが、WPA/TKIPはクラックできるとは思えないので、ゲストハウスの誰かだと思います。私は、WPA/TKIPが解読できるとは思えないし、解読できたとしても簡単にはできないだろうと思うので、ゲストハウスの誰かを疑っています。WPA/TKIPをクラックするのは難しいのでしょうか?私はとにかく彼らのためにパスワードを変更したいのですが、私は – と _ と文字を使用することができますか?
明らかに非常に賢い「ザック」という名の仲間がこの投稿をしましたが、これはスレッドを立てた人、ここにいる人(そして他の人も、興味があればここにいる人も)が読むべきです
特に、彼の投稿の3分の2くらいのところから読んでみてください、彼は “解決策 “という言葉で始まっています
私のゲートウェイの「WPA-PSK (TKIP)/WPA2-PSK (AES)」設定を使用しています。Zachさんの投稿のこれに合わせて
ルータの名前をユニークなものに変更してください。あなたのESSIDは、あなたのwlan supplicantによってPMK上の暗号ソルトとして使用されます。これを変更することで、計算前の攻撃を排除することができます
…私は長い間、独自のESSIDを使用してきました。さらに、彼と一緒に
ユニークな文字、数字、大文字、複数の単語、小文字を組み合わせたユニークなパスワードを作成します。これは長さよりも重要です。パスワードの長さを長くすることはパスワードの強度を高めるだけですが、極端に長くする必要はありません。強度は可能性の分散にあります。これで辞書攻撃がなくなり、スーパーコンピュータがないとブルートフォースが不可能になります
…私のは、文字、数字、大文字と小文字、特殊文字で構成された25文字です。どの部分も何も綴られていません
私はザックが行うとそこに列挙しない両方の他のいくつかのことを行う;しかし、上記に加えて、他のことを言って、少なくとも彼がここに書いたものの精神で
詳細なログを有効にして、可能であればメールに転送してください
…私はずっと前に、Windowsのスタートアップで自動起動し、システムトレイで実行されるスクリプトコードを少し書いたことがあります。そして、デスクトップ・リプレイスメント・ノートパソコンの画面上で、マザーボード・スピーカー(通常のオーディオ・スピーカーではなく、ミュートされているか何かの場合に備えて)を介して3回のビープ音でポップアップ表示され、また、携帯電話(ベルトのポーチに入れているか、少なくとも5フィート以上離れていない、24時間365日365日)にテキストを介して、何か新しいものが表示されているかどうかを教えてくれるのです
そのスキルがない人のために、「Who’s on my WI-FI」タイプのアプリがいくつか出ていますが、無料のものもあります。良いシンプルなものは[this badboy][3]です。Windowsで自動起動して、システムトレイに置いて、「新しいデバイスでビープ音を鳴らす」ように指示するだけで、私のスクリプトと似たようなものができます(SMSは送られてこないことを除いて)。しかし, [簡単なスクリプトツール][5]を使用して, LAN上の新しいデバイスがアプリをビープ音にするときにあなたの携帯電話に送信されるSMSや電子メールを発生させることができます
それが役に立つことを願っています
3 Gregg DesElms 2014-03-29
セキュリティ分析のもう一つの考慮点は、保護が必要な資産と、その資産の所有者や潜在的な攻撃者にとっての価値です。私はあなたの銀行のログイン、クレジットカード番号、および他のログイン認証情報は、おそらくホームネットワークを介して行く最も貴重な情報であり、これのほとんどは、https 接続上の TLS/SSL 暗号化によってカバーされるべきであることを推測します。だから、WPA2 キーを wifi ルーターに使用して、ブラウザが可能な限り https を使用していることを確認している場合(eff’s https everywhere のようなツールを使用して)、あなたはむしろ安全だと思われます。(潜在的な攻撃者は、あなたのWPA2キーをクラックして、httpsやあなたが閲覧しているhttpページを超えないパスワードを取得するために、わざわざ行かなければならないでしょう)
2 user119824 2014-03-28
Doubtful.
私はdavidgoの答えに同意できません。それはよく研究されており、私は彼の情報のほとんどに同意していますが、私はそれが少し悲観的であると思います
WPA2 の脆弱性は他の回答で既にカバーされています。しかし、どれも避けられないものではありません
特に、davidgo氏が言及しているブルートフォース攻撃は、MS-CHAPv2の弱点に対する攻撃であることに注意が必要です。引用された著者のリファレンス [ https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/ ] を参照してください。Ms-CHAP が使用されていない場合、この弱点を利用することはできません
正しいパスフレーズ、SSID、そして妥協された技術の回避があれば、AES256 を使用した WPA2 セキュアなネットワークが安全ではない理由はないと思います。このようなネットワークへのブルートフォース攻撃は実現不可能であり、Moxy Marlinspikeもこれを示唆しています
しかし、私が davidgo の回答に同意するところは、ほとんどのユーザーがこのような努力をしていないということです。私は自分のホームネットワークが悪用される可能性があることを知っていますし、それを修正する方法を知っていても、それはちょうど私の時間と努力の価値がありません
2 timbo 2014-03-29
