2wire 2701HG-T モデムで MAC フィルタリングが機能しない

Question

実際に2701を目の前に持っていないので（エミュレーターを見つけるのに苦労しています）、設定の何が間違っているのかについてはあまり言えません。おそらくMACフィルター設定に関して何かが間違ってチェックされているのではないかと思います。通常、SOHOルーターはホワイトリストモードまたはまたはブラックリストモード - 2 つを組み合わせても意味がありません。ルーターの動作に適したモードが設定されていることを確認してください。ホワイトリストオプションをオンにして、ブラックリストのみを設定すると (またはその逆)、効果はありません。(実際には、すべてのデバイスの接続が禁止されるはずですが、その逆の場合はすべてが許可されます。つまり、セキュリティ上の利点はありません。)

ブラックリスト: 許可すべてのデバイスを除く「禁止」リストに指定されているもの。(管理は簡単ですが、攻撃者をブロックするのは難しくなります。)

ホワイトリスト: 許可のみ「許可」リストに指定されたデバイス。(デフォルトで許可されていないデバイスをブロックするため、この 2 つのうちのどちらかが望ましいですが、特にネットワークへの訪問者を頻繁に許可する場合は管理が難しくなります。)

どちらの場合でも、ない主な防御策として MAC フィルタリングに頼ってください。

どちらの MAC フィルタリングモードも、MAC アドレスは永続的な識別子ではなく、常に無線で暗号化されずに送信されるので、簡単にバイパスできます。そのため、誰でも自分の MAC アドレスを好きなものに変更したり、範囲内の任意のデバイスの MAC アドレスを確認したりできます。

攻撃者は、自分のアドレスをまだブラックリストに登録されていないアドレスに変更するだけで、ブラックリストを簡単に回避できます。

ホワイトリスト化は、少しだけ難しくなりますが、それでもかなり簡単です。攻撃者は、アクセスポイントとアクティブに通信しているデバイスの MAC アドレスを確認するまで待機し、一致するように MAC アドレスを変更します。

MAC フィルタリングはドライブバイ攻撃の一部を防ぐのでしょうか? 確かに。しかし、熱心な攻撃者に直面している場合 (そうであるように思われます)、実際にはそれほど阻止できません。

言及されていませんが、「SSID の非表示」や「ビーコンの無効化」、または「SSID ブロードキャストの無効化」は、価値がないだけでなく、避けるべき、もう 1 つの弱いセキュリティ対策です。アイドル状態のときに AP が自分自身をアドバタイズするのを止めるだけです。ただし、アクティブに通信しているときは SSID は暗号化されずに送信されるため、攻撃者はそれをキャプチャして使用することができます。さらに悪いことに、AP は存在をブロードキャストしないため、クライアントデバイスは、近くにいない場合でも AP を探すように構成する必要があります。攻撃者は、クライアントデバイスが生成するビーコンを使用して独自の偽の AP を設定し、クライアントをだまして接続させることができます。

あなたがすべき代わりに頼るべきは、現在の WPA2-PSK (AES-CCMP を使用) などの強力な暗号化および認証プロトコルです。それに加えて、事前共有キー (PSK、または単に Wi-Fi ネットワークパスワード) が適度に長く複雑で、簡単に推測またはクラックできないことを確認する必要があります。適度に強力な PSK (最低 15 文字、3 種類の文字タイプをお勧めしますが、WPA2 は最大 63 文字をサポートし、個人的にはすべて完全にランダム化して使用しています) を使用している限り、Wi-Fi 暗号化/認証は当面簡単に破られることはないはずです。ああ、WEP (ひどく壊れています) や WPA-TKIP (これも壊れていますが、WEP よりはましです) は使用しないでください。何らかの理由で WPA2 を使用できない場合は、新しいルーターを購入するまで WPA-AES が適切な代替手段になります。

ただし、重要な注意点が 1 つあります。それは WPS です。Wi-Fi Protected Setup は、今日のほとんどのアクセスポイントで利用できる、便利で使いやすいワンボタン接続モードです。WPS の問題は、PIN 認証モードに弱点があることです。この弱点により、現在使用されている SOHO ルーターの多く (ほとんどではないにしても) では、攻撃者が簡単に PIN を解読し、WPS で認証することができます。WPS がアクセスを許可すると、そのデバイスがネットワークに正常に接続できるように、PSK が渡されます。PSK を変更してもこの問題は軽減されません。攻撃者は WPS を再度クラックして (それほど時間はかかりません)、新しい PSK を取得できます。これを軽減する唯一の方法は、WPS を完全に無効にすることです (これは完全に自分で制御できます)。(一部の新しいルーターには、このような攻撃を阻止する機能が追加されていますが、エンドユーザーが自分でエクスプロイトをテストする準備ができていない限り、これを確実に簡単に検証できるものではありません。) 残念ながら、多くのルーター製造元 (特に古いモデル) では、これを実行することが困難または不可能になっています。お使いのルーターがこれに該当する場合は、新しいルーターを購入するか、Tomato、DD-WRT、OpenWRT などのサードパーティイメージを使用してファームウェアをフラッシュすることを検討することを強くお勧めします。

要約すれば：

MAC フィルタリングに頼るのはやめましょう。これは優れたセキュリティアドオンですが、回避するのは非常に簡単です。
SSID を隠す必要はありません。誰でも見ることができ、ブロードキャストされない場合、クライアントのセキュリティが低下します。
強力な PSK を備えた WPA2-PSK を使用します。 これWi-Fi 帯域幅とデータ窃盗に対する主な防御策となるはずです。
WPS を無効にします。認証と暗号化がどれほど優れていても、これは簡単に悪用されるバックドアです。
必要な場合は、新しいデバイスまたはファームウェアを入手してください。現在使用しているルーターが WPA2-PSK をサポートしていない場合や、WPS を無効にできない場合は、アップグレードする時期です。ルーターが ISP から提供されている場合は、自分でルーターを購入し、ISP ルーターの背後のネットワークに接続することもできます。次に、ルーターの Wi-Fi が上記のように安全に設定されていることを確認し、ISP ルーターの Wi-Fi を無効にします。

Answer 1

実際に2701を目の前に持っていないので（エミュレーターを見つけるのに苦労しています）、設定の何が間違っているのかについてはあまり言えません。おそらくMACフィルター設定に関して何かが間違ってチェックされているのではないかと思います。通常、SOHOルーターはホワイトリストモードまたはまたはブラックリストモード - 2 つを組み合わせても意味がありません。ルーターの動作に適したモードが設定されていることを確認してください。ホワイトリストオプションをオンにして、ブラックリストのみを設定すると (またはその逆)、効果はありません。(実際には、すべてのデバイスの接続が禁止されるはずですが、その逆の場合はすべてが許可されます。つまり、セキュリティ上の利点はありません。)

ブラックリスト: 許可すべてのデバイスを除く「禁止」リストに指定されているもの。(管理は簡単ですが、攻撃者をブロックするのは難しくなります。)

ホワイトリスト: 許可のみ「許可」リストに指定されたデバイス。(デフォルトで許可されていないデバイスをブロックするため、この 2 つのうちのどちらかが望ましいですが、特にネットワークへの訪問者を頻繁に許可する場合は管理が難しくなります。)

どちらの場合でも、ない主な防御策として MAC フィルタリングに頼ってください。

どちらの MAC フィルタリングモードも、MAC アドレスは永続的な識別子ではなく、常に無線で暗号化されずに送信されるので、簡単にバイパスできます。そのため、誰でも自分の MAC アドレスを好きなものに変更したり、範囲内の任意のデバイスの MAC アドレスを確認したりできます。

攻撃者は、自分のアドレスをまだブラックリストに登録されていないアドレスに変更するだけで、ブラックリストを簡単に回避できます。

ホワイトリスト化は、少しだけ難しくなりますが、それでもかなり簡単です。攻撃者は、アクセスポイントとアクティブに通信しているデバイスの MAC アドレスを確認するまで待機し、一致するように MAC アドレスを変更します。

MAC フィルタリングはドライブバイ攻撃の一部を防ぐのでしょうか? 確かに。しかし、熱心な攻撃者に直面している場合 (そうであるように思われます)、実際にはそれほど阻止できません。

言及されていませんが、「SSID の非表示」や「ビーコンの無効化」、または「SSID ブロードキャストの無効化」は、価値がないだけでなく、避けるべき、もう 1 つの弱いセキュリティ対策です。アイドル状態のときに AP が自分自身をアドバタイズするのを止めるだけです。ただし、アクティブに通信しているときは SSID は暗号化されずに送信されるため、攻撃者はそれをキャプチャして使用することができます。さらに悪いことに、AP は存在をブロードキャストしないため、クライアントデバイスは、近くにいない場合でも AP を探すように構成する必要があります。攻撃者は、クライアントデバイスが生成するビーコンを使用して独自の偽の AP を設定し、クライアントをだまして接続させることができます。

あなたがすべき代わりに頼るべきは、現在の WPA2-PSK (AES-CCMP を使用) などの強力な暗号化および認証プロトコルです。それに加えて、事前共有キー (PSK、または単に Wi-Fi ネットワークパスワード) が適度に長く複雑で、簡単に推測またはクラックできないことを確認する必要があります。適度に強力な PSK (最低 15 文字、3 種類の文字タイプをお勧めしますが、WPA2 は最大 63 文字をサポートし、個人的にはすべて完全にランダム化して使用しています) を使用している限り、Wi-Fi 暗号化/認証は当面簡単に破られることはないはずです。ああ、WEP (ひどく壊れています) や WPA-TKIP (これも壊れていますが、WEP よりはましです) は使用しないでください。何らかの理由で WPA2 を使用できない場合は、新しいルーターを購入するまで WPA-AES が適切な代替手段になります。

ただし、重要な注意点が 1 つあります。それは WPS です。Wi-Fi Protected Setup は、今日のほとんどのアクセスポイントで利用できる、便利で使いやすいワンボタン接続モードです。WPS の問題は、PIN 認証モードに弱点があることです。この弱点により、現在使用されている SOHO ルーターの多く (ほとんどではないにしても) では、攻撃者が簡単に PIN を解読し、WPS で認証することができます。WPS がアクセスを許可すると、そのデバイスがネットワークに正常に接続できるように、PSK が渡されます。PSK を変更してもこの問題は軽減されません。攻撃者は WPS を再度クラックして (それほど時間はかかりません)、新しい PSK を取得できます。これを軽減する唯一の方法は、WPS を完全に無効にすることです (これは完全に自分で制御できます)。(一部の新しいルーターには、このような攻撃を阻止する機能が追加されていますが、エンドユーザーが自分でエクスプロイトをテストする準備ができていない限り、これを確実に簡単に検証できるものではありません。) 残念ながら、多くのルーター製造元 (特に古いモデル) では、これを実行することが困難または不可能になっています。お使いのルーターがこれに該当する場合は、新しいルーターを購入するか、Tomato、DD-WRT、OpenWRT などのサードパーティイメージを使用してファームウェアをフラッシュすることを検討することを強くお勧めします。

要約すれば：

MAC フィルタリングに頼るのはやめましょう。これは優れたセキュリティアドオンですが、回避するのは非常に簡単です。
SSID を隠す必要はありません。誰でも見ることができ、ブロードキャストされない場合、クライアントのセキュリティが低下します。
強力な PSK を備えた WPA2-PSK を使用します。 これWi-Fi 帯域幅とデータ窃盗に対する主な防御策となるはずです。
WPS を無効にします。認証と暗号化がどれほど優れていても、これは簡単に悪用されるバックドアです。
必要な場合は、新しいデバイスまたはファームウェアを入手してください。現在使用しているルーターが WPA2-PSK をサポートしていない場合や、WPS を無効にできない場合は、アップグレードする時期です。ルーターが ISP から提供されている場合は、自分でルーターを購入し、ISP ルーターの背後のネットワークに接続することもできます。次に、ルーターの Wi-Fi が上記のように安全に設定されていることを確認し、ISP ルーターの Wi-Fi を無効にします。

2wire 2701HG-T モデムで MAC フィルタリングが機能しない

答え1

関連情報