ワイヤレスルーターを保護する
完璧なセキュリティというものはありません。十分な知識、リソース、および時間を考えると、どのシステムも危険にさらされる可能性があります。あなたができる最善のことは、攻撃者にとってそれをできるだけ難しくすることです。とはいえ、大多数の攻撃に対してネットワークを強化するために実行できる手順はいくつかあります。
私がコンシューマーグレードルーターと呼ぶもののデフォルト構成は、かなり基本的なセキュリティを提供します。正直なところ、妥協する必要はあまりありません。新しいルーターをインストールする(または既存のルーターをリセットする)ときに、「セットアップウィザード」を使用することはほとんどありません。私はすべてを通り抜け、私が望むとおりにすべてを構成します。正当な理由がない限り、通常はデフォルトのままにしません。
変更する必要がある正確な設定をお伝えすることはできません。ルーターの管理ページはそれぞれ異なります。同じメーカーのルーターでも。特定のルーターによっては、変更できない設定がある場合があります。これらの設定の多くでは、管理ページの詳細設定セクションにアクセスする必要があります。
ヒント :あなたは ルーターのセキュリティをテストするためのAndroidアプリRouterCheck 。
Asus RT-AC66Uのスクリーンショットを含めました。デフォルトの状態です。
ファームウェアを更新します。 ほとんどの人は、最初にルーターをインストールして、そのままにしておくと、ファームウェアを更新します。最近の調査によると、ベストセラーの25のワイヤレスルーターモデルの80%にセキュリティの脆弱性があります。影響を受けるメーカーには、Linksys、Asus、Belkin、Netgear、TP-Link、D-Link、Trendnetなどがあります。ほとんどのメーカーは、脆弱性が明らかになったときに更新されたファームウェアをリリースします。 Outlookまたは使用している電子メールシステムでリマインダーを設定します。 3か月ごとに更新を確認することをお勧めします。これは簡単に聞こえますが、製造元のWebサイトからのみファームウェアをインストールすることは知っています。
また、アップデートを自動的にチェックするルーターの機能を無効にします。私は、デバイスを「フォーンホーム」にするのが好きではありません。送信される日付を制御することはできません。たとえば、いわゆる「スマートTV」が情報をメーカーに送り返すことをご存知ですか?チャンネルを変更するたびに、視聴習慣をすべて送信します。 USBドライブを接続すると、ドライブ上のすべてのファイル名のリストが送信されます。このデータは暗号化されず、メニュー設定がNOに設定されている場合でも送信されます。
リモート管理を無効にします。 一部の人がリモートでネットワークを再構成できる必要があることを理解しています。必要な場合は、少なくともhttpsアクセスを有効にし、デフォルトのポートを変更してください。これには、LinksysのSmart WiFiアカウントやAsusのAiCloudなど、あらゆる種類の「クラウド」ベースの管理が含まれることに注意してください。
強力なパスワードを使用する ルーター管理者向け。十分に言った。 ルーターのデフォルトのパスワード は常識であり、デフォルトのパスを試してルーターに侵入することは誰にも望まないでしょう。
HTTPSを有効にする すべての管理接続用。多くのルーターでは、これはデフォルトで無効になっています。
着信トラフィックを制限します。 これは常識であることはわかっていますが、特定の設定の結果が理解されない場合もあります。ポート転送を使用する必要がある場合は、十分に選択してください。可能であれば、構成するサービスに非標準のポートを使用してください。匿名のインターネットトラフィックをフィルタリングする設定(yes)とping応答(no)の設定もあります。
WiFiにはWPA2暗号化を使用します。 WEPを使用しないでください。インターネットで無料で入手できるソフトウェアを使用すると、数分で壊れることがあります。 WPAはそれほど優れていません。
WPS(WiFi Protected Setup)をオフにする 。 WPSを使用する便利さは理解できましたが、開始するのは悪い考えでした。
発信トラフィックを制限します。 上記のように、私は通常、家に電話をかけるデバイスが好きではありません。これらのタイプのデバイスがある場合は、それらからのすべてのインターネットトラフィックをブロックすることを検討してください。
未使用のネットワークサービス、特にuPnPを無効にします。 uPnPサービスを使用する際に広く知られている脆弱性があります。他のサービスはおそらく不要:Telnet、FTP、SMB(Samba /ファイル共有)、TFTP、IPv6
完了したら、管理ページからログアウトします 。ログアウトせずにWebページを閉じるだけで、ルーターで認証済みセッションを開いたままにすることができます。
ポート32764の脆弱性を確認する 。私の知る限りでは、Linksys(Cisco)、Netgear、Diamondが製造した一部のルーターが影響を受けていますが、他のルーターもある可能性があります。新しいファームウェアがリリースされましたが、システムに完全にパッチが適用されていない可能性があります。
ルーターを確認してください: https://www.grc.com/x/portprobe=32764
ロギングをオンにする 。ログで不審なアクティビティを定期的に探します。ほとんどのルーターには、設定した間隔でログをメールで送信する機能があります。また、ログが正確になるように、時計とタイムゾーンが正しく設定されていることを確認してください。
真にセキュリティを意識した(または単なる偏執狂的)場合は、次のことを検討してください。
管理ユーザー名を変更する 。デフォルトは通常adminであることは誰もが知っています。
「ゲスト」ネットワークをセットアップする 。新しいルーターの多くは、個別のワイヤレスゲストネットワークを作成できます。インターネットのみにアクセスでき、LAN(イントラネット)にはアクセスできないことを確認してください。もちろん、異なるパスフレーズで同じ暗号化方法(WPA2-Personal)を使用してください。
USBストレージをルーターに接続しないでください 。これにより、ルーターで多くのサービスが自動的に有効になり、そのドライブの内容がインターネットに公開される可能性があります。
代替DNSプロバイダーを使用する 。 ISPから提供されたDNS設定を使用している可能性があります。 DNSはますます攻撃の標的になっています。サーバーを保護するために追加の手順を実行したDNSプロバイダーがあります。追加ボーナスとして、別のDNSプロバイダーがインターネットのパフォーマンスを向上させる場合があります。
LAN(内部)ネットワークのデフォルトのIPアドレス範囲を変更する 。私が目にしたすべてのコンシューマグレードのルーターは、192.168.1.xまたは192.168.0.xのいずれかを使用しており、自動化された攻撃を簡単にスクリプト化できます。
利用可能な範囲は次のとおりです。
すべての10.x.x.x
任意の192.168.x.x
172.16.x.x〜172.31.x.x
ルーターのデフォルトLANアドレスを変更する 。誰かがLANにアクセスした場合、ルーターのIPアドレスがx.x.x.1またはx.x.x.254であることがわかります。簡単にしてはいけません。
DHCPを無効または制限する 。非常に静的なネットワーク環境でない限り、DHCPをオフにすることは通常実用的ではありません。 DHCPをx.x.x.101から始まる10〜20のIPアドレスに制限したい。これにより、ネットワークで何が起こっているかを追跡しやすくなります。 「永続的な」デバイス(デスクトップ、プリンター、NASなど)を静的IPアドレスに配置したい。これにより、ラップトップ、タブレット、電話、ゲストのみがDHCPを使用します。
ワイヤレスからの管理アクセスを無効にする 。この機能は、すべてのホームルーターで利用できるわけではありません。
SSIDブロードキャストを無効にする 。これは、専門家が克服することは難しくなく、WiFiネットワーク上の訪問者を許可するのは難しいかもしれません。
MACフィルタリングを使用する 。同上;訪問者にとって不便です。
これらの項目の一部は「セキュリティによる不明瞭」のカテゴリに分類され、セキュリティ対策ではないと言って、多くのITおよびセキュリティの専門家がそれらを侮辱します。ある意味で、それらは完全に正しいです。ただし、ネットワークの侵害をより困難にするために実行できる手順がある場合は、検討する価値があると思います。
優れたセキュリティは「設定して忘れる」ことではありません。私たちは皆、いくつかの大企業での多くのセキュリティ侵害について聞いたことがあります。私にとって、本当に苛立たしいのは、あなたがここで発見された前に、3、6、12か月以上の間侵害されていたときです。
時間をかけてログを確認してください。ネットワークをスキャンして、予期しないデバイスと接続を探します。
以下は信頼できる参照です: