家庭の顧客が使用するほとんどのWi-Fiルーターとネットワークゲートウェイは、非常に安全ではありません。セキュリティの専門家は、ニューヨークで開催されたHOPE Xハッカー会議で、攻撃に対して非常に脆弱なため、破棄する必要があると述べています。
- 自宅や小規模オフィスに最適なWi-Fiルーター
- PCをクリーンに保つための最高のウイルス対策ソフトウェア
- モデムとルーター:それらの違いと機能
- ルーターの設定にアクセスする方法
「ルーターが[青と黄色のロゴが付いた有名な小売電子機器チェーン]で販売されている場合は、購入したくないでしょう」と、独立系コンピューターコンサルタントのマイケルホロウィッツ氏は聴衆に語った。
- ブラックフライデーのお得な情報:今すぐすべての最高のオファーをご覧ください!
「ルーターがインターネットサービスプロバイダー[ISP]から提供された場合、ルーターは何百万ものルーターを提供するため、使用したくありません。これにより、ルーターはスパイ機関と悪意のある人物の両方にとって主要な標的になります。 ' 彼が追加した
Horowitzは、セキュリティを重視する消費者は、代わりに中小企業向けの商用ルーターにアップグレードするか、少なくともモデムとルーターを2つの別々のデバイスに分離することを推奨しました。 (多くの場合、ISPによって提供される多くの「ゲートウェイ」ユニットは両方として機能できます。)これらのオプションのいずれかが失敗した場合、Horowitzはユーザーが講じることができる予防策のリストを示しました。
- に ルーターVPN 自宅でWi-Fiを保護するための最良の方法かもしれません
コンシューマールーターの問題
ルーターは、現代のコンピューターネットワーキングに欠かせない、しかし前例のない主力製品です。しかし、ルーターが実際には独自のオペレーティングシステム、ソフトウェア、および脆弱性を備えた本格的なコンピューターであることを認識しているホームユーザーはほとんどいません。
「侵害されたルーターはあなたをスパイする可能性があります」とホロウィッツ氏は述べ、攻撃者の制御下にあるルーターは中間者攻撃を仕掛けたり、暗号化されていないデータを変更したり、ユーザーを「邪悪な双子」のWebサイトに頻繁に偽装したりする可能性があると説明しました。使用されたウェブメールまたはオンラインバンキングポータル。
多くの消費者向けホームゲートウェイデバイスは、ファームウェアの更新が利用可能になった場合、それらの更新がセキュリティホールにパッチを適用するために不可欠であるにもかかわらず、ユーザーに通知できません、とHorowitz氏は述べています。他の一部のデバイスは、16文字を超えるパスワードを受け入れません。これは、現在のパスワードの安全性のための最小の長さです。
ユニバーサルPwnとプレイ
世界中の何百万ものルーターが、インターネットに面したポートでユニバーサルプラグアンドプレイ(UPnP)ネットワークプロトコルを有効にしており、外部からの攻撃にさらされています。
'UPnPはLAN [ローカルエリアネットワーク]用に設計されているため、セキュリティはありません。それ自体はそれほど大したことではない」とホロウィッツ氏は語った。
自動更新ウィンドウ10を停止します
しかし、彼は、「インターネット上のUPnPは、手術を受けて、医者に間違った足で仕事をさせるようなものです」と付け加えました。
もう1つの問題は、ホームネットワーク管理プロトコル(HNAP)です。これは、一部の古いコンシューマーグレードのルーターにある管理ツールで、ルーターに関する機密情報をWeb経由でhttp:// [ルーターIPアドレス] / HNAP1 /に送信し、完全に許可します。管理者のユーザー名とパスワードを提供するリモートユーザーへの制御(多くのユーザーは工場出荷時のデフォルトから変更することはありません)。
2014年、TheMoonと呼ばれるルーターワームはHNAPプロトコルを使用して、自身が拡散する可能性のある脆弱なLinksysブランドのルーターを特定しました。 (Linksysはすぐにファームウェアパッチを発行しました。)
「家に帰ったらすぐに、これはすべてのルーターでやりたいことです」とホロウィッツ氏はテクノロジーに精通した群衆に語った。 '/ HNAP1 /に移動します。それが唯一の良いことである場合、うまくいけば、応答が返されません。率直に言って、もしあなたが何か返事をもらったら、私はルーターを捨てるでしょう。」
- の設定 仮想ルーター 接続を共有するのに最適な方法です
WPSの脅威
何よりも悪いのは、Wi-Fi Protected Setup(WPS)です。これは、ユーザーがルーター自体に印刷された8桁のPINを入力するだけで、ネットワークパスワードをバイパスし、デバイスをWi-Fiネットワークに接続できる使いやすい機能です。ネットワークパスワードまたはネットワーク名が変更されても、PINは有効なままです。
「これは、完全に削除された巨大なセキュリティ問題です」とホロウィッツ氏は語った。 'その8桁の数字は、何があっても[ルーター]にあなたを連れて行きます。それで、配管工があなたの家にやって来て、ルーターをひっくり返し、その底の写真を撮ります、そして彼は今あなたのネットワークに永遠に乗ることができます。
その8桁のPINは実際には8桁ではない、とHorowitz氏は説明しました。実際には、7桁と最後のチェックサム桁です。最初の4桁は1つのシーケンスとして検証され、最後の3桁は別のシーケンスとして検証されるため、可能なコードは1,000万ではなく11,000になります。
「WPSがアクティブな場合は、ルーターにアクセスできます」とHorowitz氏は述べています。 「11,000回の推測を行う必要があります」—ほとんどの最新のコンピューターとスマートフォンにとっては簡単な作業です。
次に、2013年にフランスのセキュリティ研究者Eloi Vanderbekenが、いくつかの主要ブランドが販売するゲートウェイルーターで静かに開いたままになっていることを発見したネットワークポート32764があります。
ポート32764を使用すると、ローカルネットワーク上のすべてのユーザー(ユーザーのISPを含む)がルーターの完全な管理制御を取得し、パスワードなしで工場出荷時のリセットを実行することもできます。
Vanderbekenの開示に続いて、影響を受けたほとんどのデバイスでポートが閉じられましたが、ISPから送信できる特別に設計されたデータパケットを使用して、ポートを簡単に再開できることが後でわかりました。
「これは明らかにスパイ機関によって行われている、それは驚くべきことだ」とホロウィッツは言った。 「それは意図的なものでした、それについては疑いの余地がありません。」
- 無料のVPNはリスクに見合う価値がありますか?専門家はノーと言う
- メッシュルーターとは何ですか?必要ですか?
- 最高のWi-Fiエクステンダー
ホームルーターをロックダウンする方法
ホロウィッツ氏によると、ホームルーターのセキュリティに向けた最初のステップは、ルーターとケーブルモデムが単一のデバイスではないことを確認することです。多くのISPは、このようなデュアルパーパスデバイスを顧客にリースしていますが、それらの顧客は自分のホームネットワークをほとんど制御できません。 (独自のモデムを入手する必要がある場合は、最適なケーブルモデムの推奨事項を確認してください。)
「ほとんどの人がゲートウェイと呼んでいる単一のボックスが与えられた場合、」ホロウィッツ氏は、「ISPに連絡して、モデムとして機能するようにボックスをダムダウンさせることができるはずです。次に、独自のルーターを追加できます。」
次に、Horowitzは、顧客がローエンドの商用グレードのWi-Fi /イーサネットルーターを購入することを推奨しました。 Pepwave Surf SOHO 、これは、わずか20ドルの消費者向けルーターではなく、約200ドルで販売されています(ただし、価格のガウジャーには注意してください)。
商用グレードのルーターでUPnPまたはWPSが有効になっている可能性はほとんどありません。ホロウィッツ氏によると、Pepwaveは、ファームウェアの更新がうまくいかなかった場合のファームウェアのロールバックなどの追加機能を提供します。 (多くの トップエンドのコンシューマールーター 、特にゲーマー向けのものは、これも提供します。)
ルーターが商用グレードか消費者グレードかに関係なく、ホームネットワーク管理者がルーターの安全性を確保するためにできることは、簡単なものから難しいものまでさまざまです。
自宅のワイヤレスルーターの簡単な修正
管理者の資格情報を変更する デフォルトのユーザー名とパスワードから。これらは、攻撃者が最初に試みることです。ルーターの取扱説明書に、これを行う方法が示されているはずです。そうでない場合は、グーグルで検索してください。
パスワードを長く、強力で一意にし、Wi-Fiネットワークにアクセスするための通常のパスワードに似たものにしないでください。
ネットワーク名またはSSIDを変更する 、「Netgear」、「Linksys」、またはデフォルトで一意のものに変更されますが、自分を識別する名前を付けないでください。
「アパート3Gのアパートに住んでいる場合は、SSIDを「アパート3G」と呼ばないでください」とホロウィッツ氏は言います。 「それを「アパート5F」と呼んでください。」
自動ファームウェアアップデートをオンにする それらが利用可能な場合。ほとんどのメッシュルーターを含む新しいルーターは、ルーターのファームウェアを自動的に更新します。
WPA2ワイヤレスを有効にする 暗号化 許可されたユーザーのみがネットワークにホップできるようにします。ルーターが古いWEP規格のみをサポートしている場合は、新しいルーターを使用する必要があります。
新しいWPA3暗号化標準を有効にする ルーターがそれをサポートしている場合。ただし、2021年半ばの時点では、最新のルーターとクライアントデバイス(PC、モバイルデバイス、スマートホームデバイス)のみが使用できます。
Wi-Fi ProtectedSetupを無効にする 、ルーターで許可されている場合。
ゲストWi-Fiネットワークを設定する ルーターにそのような機能がある場合は、訪問者にその使用法を提供します。可能であれば、設定した時間が経過すると自動的にオフになるようにゲストネットワークを設定します。
「ゲストネットワークをオンにしてタイマーを設定すると、3時間後に自動的にオフになります」とHorowitz氏は述べています。 「それは本当に素晴らしいセキュリティ機能です。」
スマートホームやモノのインターネットのデバイスがたくさんある場合、それらの多くはひどく安全ではない可能性があります。プライマリネットワークではなくゲストWi-Fiネットワークに接続して、IoTデバイスの潜在的な侵害による被害を最小限に抑えます。
クラウドベースのルーター管理を使用しないでください ルーターの製造元が提供している場合。代わりに、その機能をオフにできるかどうかを判断してください。
「これは本当に悪い考えです」とホロウィッツは言いました。 「あなたのルーターがそれを提供するなら、私はそれをしません。なぜなら今あなたはあなたとあなたのルーターの間で他の人を信頼しているからです。」
NestWifiや Eero は完全にクラウドに依存しており、クラウドベースのスマートフォンアプリを介してのみユーザーとやり取りできます。
これらのモデルは、ファームウェアの自動更新など、他の領域でセキュリティを向上させますが、NetgearOrbiなどのローカル管理アクセスを許可するメッシュスタイルのルーターを探す価値があるかもしれません。
適度に難しいホームルーターの修正
新しいファームウェアをインストールします 利用可能になったとき。これは、ルーターメーカーがセキュリティパッチをインストールする方法です。ルーターの管理インターフェースに定期的にログインして確認してください—詳細についてはこちらのガイドをご覧ください。
一部のブランドでは、ファームウェアのアップグレードについてメーカーのWebサイトを確認する必要がある場合があります。ただし、問題が発生した場合に備えて、バックアップルーターを用意してください。一部のルーターでは、アップデートをインストールする前に現在のファームウェアをバックアップすることもできます。
5GHz帯域を使用するようにルーターを設定します 可能であれば、より標準的な2.4 GHz帯域ではなく、Wi-Fiの場合、およびすべてのデバイスに互換性がある場合。
「5GHz帯域は2.4GHz帯域まで移動しません」とHorowitz氏は述べています。 「つまり、1、2ブロック離れた近所に悪者がいる場合、彼はあなたの2.4 GHzネットワークを見るかもしれませんが、あなたの5GHzネットワークを見ることができないかもしれません。」
リモート管理アクセスを無効にする 、 と Wi-Fi経由の管理アクセスを無効にする 。管理者は、有線イーサネット経由でのみルーターに接続する必要があります。 (繰り返しますが、これは多くのメッシュルーターでは不可能です。)
技術に精通したユーザー向けの高度なルーターセキュリティのヒント
管理Webインターフェイスの設定を変更します 、ルーターで許可されている場合。理想的には、インターフェイスは非標準のポートを介して安全なHTTPS接続を適用する必要があります。これにより、管理アクセスのURLは、より標準的なものではなく、Horowitzの例「https://192.168.1.1:82」を使用するようになります。 「http://192.168.1.1」。デフォルトではインターネット標準のポート80を使用します。
ブラウザのシークレットモードまたはプライベートモードを使用する 上記の手順で設定した新しいURLがブラウザの履歴に保存されないように管理インターフェイスにアクセスする場合。
PING、Telnet、SSH、UPnP、HNAPを無効にする 、 もし可能なら。これらはすべてリモートアクセスプロトコルです。関連するポートを「closed」に設定する代わりに、「stealth」に設定して、ネットワークをプローブしている攻撃者からの一方的な外部通信に応答がないようにします。
「すべてのルーターには、PINGコマンドに応答しないオプションがあります」とHorowitz氏は述べています。 「これは絶対にオンにしたいものです。優れたセキュリティ機能です。それはあなたが隠すのに役立ちます。もちろん、ISPから身を隠すつもりはありませんが、ロシアや中国の誰かから身を隠すつもりです。」
ルーターのドメインネームシステム(DNS)を変更する ISP自身のサーバーからOpenDNS(208.67.220.220、208.67.222.222)、Google Public DNS(8.8.8.8、8.8.4.4)、またはCloudflare(1.1.1.1、1.0.0.1)によって維持されているサーバーへのサーバー。
IPv6を使用している場合、対応するOpenDNSアドレスは2620:0:ccc :: 2および2620:0:ccd :: 2であり、Googleのアドレスは2001:4860:4860 :: 8888および2001:4860:4860 ::です。 8844、およびCloudflareのものは2606:4700:4700 :: 1111および2606:4700:4700 :: 1001です。
使う 仮想プライベートネットワーク(VPN) ルーター 既存のルーターを補完または交換し、すべてのネットワークトラフィックを暗号化します。
「私がVPNルーターと言うとき、私はVPNクライアントになることができるルーターを意味します」とホロウィッツは言いました。 「次に、VPN会社にサインアップすると、そのルーターを介して送信するものはすべて、VPN会社のネットワークを経由します。これは、インターネットサービスプロバイダーから自分がしていることを隠すための優れた方法です。」
多くの家庭用Wi-Fiルーターは、「フラッシュ」して、次のようなオープンソースファームウェアを実行できます。 DD-WRTファームウェア 、OpenVPNプロトコルをネイティブにサポートします。ほとんど 最高のVPN サービスはOpenVPNもサポートし、それらを使用するようにオープンソースルーターを設定する方法についての説明を提供します。
ついに、 Gibson ResearchCorp。のShieldsUpを使用する でのポートスキャンサービス https://www.grc.com/shieldsup 。ルーターの一般的な脆弱性をテストしますが、そのほとんどはルーターの管理者が軽減できます。
[このストーリーは元々2014年7月に公開され、それ以来新しい情報で更新されています。]