熱心なユーザーのほとんどは(たとえ専門家でなくても)、よく知られた手法を使って、一般的な家庭用ルーターのセキュリティを突破できるのでしょうか?
基本的なセキュリティ オプションは次のとおりです。
- さまざまな暗号化方式を備えた強力なネットワークパスワード
- カスタムルーターアクセスパスワード
- ウィスポ
- SSIDブロードキャストなし
- MACアドレスフィルタリング
これらのいくつかは侵害されていますか? ホームネットワークをより安全にするにはどうすればよいでしょうか?
答え1
意味論を議論することなく、その発言は真実です。
WIFI 暗号化には、WEP、WPA、WPA2 など複数の標準があります。WEP は危険にさらされているため、使用している場合は、強力なパスワードを使用しても簡単に破られる可能性があります。ただし、WPA ははるかに破られにくいと思います (ただし、WPS に関連するセキュリティ上の問題により、これを回避できる場合があります)。また、2017 年 10 月現在、WPA2 のセキュリティも疑わしいものとなっています。また、かなり難しいパスワードでも、ブルートフォース攻撃を受ける可能性があります - 有名なハッカーの Moxie Marlinspike 氏サービスを提供クラウド コンピューティングを使用すると、これを 17 ドルで実行できます (ただし、保証はありません)。
強力なルーター パスワードは、Wi-Fi 側の誰かがルーター経由でデータを送信するのを防ぐことはできないため、無関係です。
隠しネットワークというのは神話です。サイトの一覧にネットワークが表示されないようにするボックスはありますが、クライアントが WIFI ルーターにビーコンを送信するため、その存在は簡単に検出されます。
MAC フィルタリングは冗談です。多くの (ほとんど/すべて?) Wi-Fi デバイスは、既存の MAC アドレスを複製して MAC フィルタリングをバイパスするようにプログラム/再プログラムできます。
ネットワーク セキュリティは大きなテーマであり、スーパーユーザーの質問には答えられませんが、セキュリティは階層的に構築されているため、一部が侵害されてもすべてが侵害されるわけではありません。また、十分な時間、リソース、知識があれば、どのシステムにも侵入できます。したがって、セキュリティは実際には「ハッキングできるか」という問題ではなく、「ハッキングにどのくらいの時間がかかるか」という問題です。WPA と安全なパスワードは、「一般人」から保護します。
WIFI ネットワークの保護を強化したい場合は、それをトランスポート層のみとして捉え、その層を通過するすべてのものを暗号化してフィルタリングすることができます。これは大多数の人にとってはやりすぎですが、これを行う 1 つの方法は、ルーターを設定して、管理下にある特定の VPN サーバーへのアクセスのみを許可し、各クライアントに VPN を介した WIFI 接続での認証を要求することです。こうすることで、WIFI が侵害された場合でも、他の [より困難な] 層を破ることができます。この動作のサブセットは、大企業の環境では珍しくありません。
家庭内ネットワークのセキュリティを強化するより簡単な方法は、Wi-Fi を完全にやめて、ケーブル接続のソリューションのみにすることです。ただし、携帯電話やタブレットなどをお持ちの場合は、これは現実的ではないかもしれません。この場合、ルーターの信号強度を下げることでリスクを軽減できます (もちろん、リスクを完全になくすことはできません)。また、周波数の漏れが少なくなるように家をシールドすることもできます。私は試したことはありませんが、しっかりとした接地を施したアルミメッシュ (防虫網など) を家の外側に張るだけでも、漏れる信号の量に大きな違いが出るという強い噂 (調査済み) があります。[ただし、もちろん、携帯電話の電波は届きません]
保護の面では、別の方法として、ルーター (ルーターにそれができる場合。ほとんどのルーターはできませんが、openwrt やおそらく tomato/dd-wrt を実行しているルーターならできると思います) にネットワークを通過するすべてのパケットをログに記録させて監視させるという方法があります。さまざまなインターフェースの入出力バイトの合計で異常を監視するだけでも、かなりの保護が得られます。
結局のところ、おそらく自問すべき質問は、「一般のハッカーが自分のネットワークに侵入するのに時間を割く価値がないようにするには何をする必要があるか」、または「自分のネットワークが侵害された場合の実際のコストはいくらか」であり、そこから出発することになります。迅速かつ簡単な答えはありません。
更新 - 2017 年 10 月
WPA2を使用しているほとんどのクライアントは、パッチを適用しない限り、トラフィックを平文で公開することができます。「キー再インストール攻撃 - KRACK」 これは WPA2 標準の弱点です。特に、これによってネットワークや PSK へのアクセスは許可されず、対象デバイスのトラフィックへのアクセスのみが許可されます。
答え2
他の人が言っているように、SSID の隠蔽は簡単に破られます。実際、ネットワークは SSID をブロードキャストしていなくても、Windows 8 のネットワーク リストに既定で表示されます。いずれにしても、ネットワークはビーコン フレームを介してその存在をブロードキャストします。そのオプションがチェックされている場合、ビーコン フレームに SSID が含まれないだけです。SSID は、既存のネットワーク トラフィックから簡単に取得できます。
MAC フィルタリングも、それほど役に立ちません。WEP クラックをダウンロードしたスクリプト キディの速度を一時的に低下させるかもしれませんが、正当な MAC アドレスを偽装できるスクリプト キディの行為を阻止することは絶対にできません。
WEP に関しては、完全に破られています。パスワードの強度はここではあまり重要ではありません。WEP を使用している場合、強力なパスキーを持っていても、誰でもすぐにネットワークに侵入できるソフトウェアをダウンロードできます。
WPA は WEP よりはるかに安全ですが、それでも破られる可能性があると考えられています。ハードウェアが WPA をサポートしていても WPA2 をサポートしていない場合は、何もないよりはましですが、意志の強いユーザーであれば適切なツールを使って解読できる可能性があります。
WPS (ワイヤレス保護セットアップ) はネットワーク セキュリティの悩みの種です。使用しているネットワーク暗号化技術に関係なく、WPS を無効にしてください。
WPA2、特に AES を使用するバージョンは、非常に安全です。適切なパスワードを設定すれば、パスワードを入手しない限り、友人が WPA2 で保護されたネットワークに入ることはできません。ただし、NSA がネットワークに侵入しようとしている場合は、話は別です。その場合は、ワイヤレスを完全にオフにしてください。おそらく、インターネット接続とすべてのコンピューターもオフにしてください。十分な時間とリソースがあれば、WPA2 (および他のすべて) をハッキングすることは可能ですが、平均的な愛好家が自由に使えるよりもはるかに多くの時間と能力が必要になる可能性があります。
David が言ったように、本当の問題は「これはハッキングできるのか?」ではなく、「特定の能力を持つ人がハッキングするのにどれくらいの時間がかかるのか?」です。もちろん、その質問に対する答えは、その特定の能力が何であるかによって大きく異なります。また、セキュリティは階層化する必要があるという彼の意見もまったく正しいです。重要な情報は、最初に暗号化せずにネットワークを通過すべきではありません。したがって、誰かがワイヤレスに侵入したとしても、インターネット接続を使用する以外には、意味のある情報にアクセスできないようにする必要があります。セキュリティ保護が必要な通信では、TLS または同様の PKI スキームを介して設定された強力な暗号化アルゴリズム (AES など) を使用する必要があります。電子メールやその他の機密性の高い Web トラフィックが暗号化されていること、および適切な認証システムを使用せずにコンピューターでサービス (ファイルやプリンターの共有など) を実行していないことを確認してください。
2017年10月17日更新 - この回答は、WPAとWPA2の両方に影響を及ぼす重大な新しい脆弱性が最近発見される前の状況を反映しています。キー再インストール攻撃 (KRACK)Wi-Fi のハンドシェイク プロトコルの脆弱性を利用します。複雑な暗号化の詳細 (リンク先の Web サイトで読むことができます) には立ち入りませんが、どの暗号化アルゴリズムを使用しているかに関係なく、すべての Wi-Fi ネットワークはパッチが適用されるまで壊れていると見なす必要があります。
KRACK に関する InfoSec.SE の関連質問:
WPA2 KRACK攻撃の影響
VPN を購入する余裕がない場合、どうすれば KRACK から身を守ることができますか?
答え3
このスレッドの他の回答は良いので、具体的な回答を求めている人(まあ、これは SuperUser ですが、そうではありませんか?)にとって、質問は次のように簡単に翻訳できると思います。「WiFi ネットワークを安全にするために知っておくべきことは何ですか?」
他の回答を否定(または肯定)することなく、これが私の短い答えです 。
暗号学者ブルース・シェニアーの言葉は、多くのユーザーにとって覚えておく価値のあるアドバイスとなるでしょう。
唯一の本当の解決策は、電源コードを抜くことです。
これは多くの場合、ワイヤレスネットワーク: 常に動作させる必要がありますか?
多くのルーターにはWiFiボタンワイヤレスを有効/無効にするには、D-Link DSL-2640Bそう
でなければ、いつでもWebの有効化/無効化を自動化するワイヤレスのツールを使ってiマクロス (Firefox の拡張機能またはスタンドアロン プログラムとして利用可能) Windows および Linux 上のその他多数。
ここで2つのコツをご紹介しますウェブ(お願いします、WEPを忘れる)パスワード(良いWPAパスワード攻撃を非常に困難にする)作成(デフォルトのパスワードはそのままにしないでください) :
- 使用存在しない単語や外国語: SilbeasterStallonarius、Armorgeddon、HomecitusSapiensante (簡単な辞書では見つけられないため)。
- 覚えやすい(少なくとも自分にとっては)文章を作成し、各単語の最初の文字を取ってパスワードを定義します。結果は次のようになります。解読困難な(最低8文字) まだ覚えやすいパスワードには大文字と小文字、数字その他アルファベット以外登場人物:
「あなたには 2 人の息子と 3 匹の猫がいて、彼らを愛しています。」 --> 「Yh2sa3c,aylt。」
そして、神のために:WPSを無効にする今すぐ!それは完全に欠陥のある。
答え4
WEP および WPA1/2 (WPS が有効) は簡単にハッキングできます。前者はキャプチャされた IV を使用して、後者は WPS PIN ブルートフォース (3 つの部分からなる PIN から可能な組み合わせは 11,000 通りのみ、4 桁 [10,000 通り] + 3 桁 [1,000 通り] + 1 桁のチェックサム [残りから計算]) を使用してハッキングできます。
WPA1/2 は強力なパスワードでより強固ですが、GPU クラッキングとブルートフォース攻撃の手法を使用すれば、弱いパスワードでも破ることができます。
私は個人的に職場のネットワークで WEP と WPS を解読しましたが (許可を得て、雇用主に脆弱性を実証していました)、WPA を解読することにはまだ成功していません。