しるかブログ

ボンクラCyberSecurityブログ

未熟者によるサイバーセキュリティに関するブログ

ルーター管理画面のID・パスワードは複雑に越したことはない! - 家庭用Wi-Fiルータの設定について考えてみた⑧

ホーム Wi-Fiルータの設定に関する、8回目の記事となります。


自宅の Wi-Fiルータについて、何気なくデフォルト設定でインターネットに接続していることが多い気がします。
でも、、、

本当にデフォルトのままで良いのか!?

と疑問に感じたので、ちょっと考えてみました。

ちょっと調べてみたところ、意外といくつもの考えるべき項目があることが分かってきました。


今回はWi-Fiルーターの管理画面(設定画面)にログインするためのパスワードについてです。

Wi-Fiルーターの管理画面(設定画面)にログインされてしまうと、攻撃者の都合のいいように設定を変えられてしまいます。
そんな恐ろしいことはありませんよね。。。


【目的】

自宅のWi-Fiルーターに他人を接続させないこと


【手段】

下記設定を考え、最適な設定を考えてみる。

1.SSID
2.SSIDブロードキャスト

(ステルスにするかどうか)

3.PSK(PreSharedKey = 事前共有鍵)
4.認証モード
5.暗号化モード
6.MACアドレスフィルタリング
7.Wi-Fiルーター自体のIPアドレス

8.管理画面(設定画面)のログインID・パスワード


【考えたこと】

目的を「Wi-Fiルーターに他人を接続させないこと」としていますが、
ここでは接続されてしまった後のお話です。
攻撃者がWi-Fiルーターの管理画面(設定画面)にログインする場合というのは、既に内部ネットワークに侵入してから、
つまりはWi-Fiルーターに接続されてしまってからとなります。

接続されなければ良いのでは、と思われるかもしれませんが、
対策するに越したことはありません。

ここで考えたいのは、攻撃者が何らかの方法で内部ネットワークに侵入したとしても、
被害を最小限に抑えたいということです。

また出ましたね、魔法の言葉「何らかの方法

何らかの方法で自宅のWi-Fiルーターに接続されてしまった場合、
当然攻撃者はWi-Fiルーターの管理画面(のログイン画面)にアクセスすることができます。
ここで単純に思いつく何らかの方法は、

Wi-Fiパスワードを破られた
そもそもWi-Fiパスワードが設定されていなかった

とかですかね。

そして大体の場合、Wi-Fiルーターの型番をググればマニュアルが公開されており、
そこにデフォルトIPアドレスが記載されています。
特に親切(?)なマニュアルですと、デフォルトユーザーIDとパスワードまでご丁寧に記載されているマニュアルもあります。
これがすべてデフォルト設定のままだと、簡単にWi-Fiルーターの管理画面にログインされてしまいます。
つまりは、↓ こんな感じです。
f:id:AlcatrazExodus:20210509213658p:plain
ここで管理画面にログインされてしまうと、あーんな設定やこーんな設定に変更されてしまいます。
ということで、被害を極力小さくとどめるために、この管理画面のIDとパスワードを複雑なものにしてしまいましょう。
特にデフォルトの管理者ID admin administrator root 等は、攻撃者がまず試すIDなので、変更してしまいましょう♪


だがしかーし、ここで問題が発生。。。

我が家のWi-FiルーターのログインIDとパスワードを変えようとしたところ、、、



f:id:AlcatrazExodus:20210516182857p:plain
なんと、このようにユーザー名を変更することができません!!!









クソがっ!





なので、IDを変えられない分パスワードをより複雑にしました。
まぁ、そもそもWi-Fiルーターに接続させないことの方が大切ですね!


ということで、

ルーター管理画面(設定画面)のID・パスワードは複雑に越したことはない!!

というのが結論です。

Wi-Fiルーター自体のIPアドレス変更は意味がない - 家庭用Wi-Fiルータの設定について考えてみた⑦

ホーム Wi-Fiルータの設定に関する、7回目の記事となります。


自宅の Wi-Fiルータについて、何気なくデフォルト設定でインターネットに接続していることが多い気がします。
でも、、、

本当にデフォルトのままで良いのか!?

と疑問に感じたので、ちょっと考えてみました。

ちょっと調べてみたところ、意外といくつもの考えるべき項目があることが分かってきました。


今回はWi-Fiルーター自体のIPアドレスについてです。
ちなみにここで言うIPアドレスは、プライベートIPアドレスです。
グローバルIPアドレスは、一般家庭ではおそらく動的IPアドレスであり、ISPから割り当てられるものですね。

Wi-Fiルーターの管理画面(設定画面)にログインされてしまうと、攻撃者の都合のいいように設定を変えられてしまいます。
そんな恐ろしいことはありませんよね。。。


【目的】

自宅のWi-Fiルーターに他人を接続させないこと


【手段】

下記設定を考え、最適な設定を考えてみる。

1.SSID
2.SSIDブロードキャスト

(ステルスにするかどうか)

3.PSK(PreSharedKey = 事前共有鍵)

4.認証モード

5.暗号化モード

6.MACアドレスフィルタリング

7.Wi-Fiルーター自体のIPアドレス

8.管理画面(設定画面)のログインID・パスワード


【考えたこと】

目的を「Wi-Fiルーターに他人を接続させないこと」としていますが、
ここでは接続されてしまった後のお話です。
攻撃者がWi-Fiルーターの設定を変える場合というのは、既に内部ネットワークに侵入してから、
つまりはWi-Fiルーターに接続されてしまってからとなります。

ここで考えたいのは、攻撃者が何らかの方法で内部ネットワークに侵入したとしても、
被害を最小限に抑えたいということです。

はい、出ました!
何らかの方法で」という文言!
サイバーセキュリティ関連では、攻撃者が対象ネットワークに侵入した後に何をやるかっていう説明をする際、
侵入されていることが前提となるので、その前提を作るのにこの魔法の言葉がよく使われます(笑)
その方法を詳しく説明してほしいんですよね~w

話を戻しますと、何らかの方法で自宅のWi-Fiルーターに接続されてしまった場合、
当然攻撃者はWi-Fiルーターの管理画面(のログイン画面)にアクセスすることができます。
ここで単純に思いつく何らかの方法は、

Wi-Fiパスワードを破られた
そもそもWi-Fiパスワードが設定されていなかった

とかですかね。

そして大体の場合、Wi-Fiルーターの型番をググればマニュアルが公開されており、
そこにデフォルトIPアドレスが記載されています。
多いのが

192.168.0.1
192.168.1.1

とかですかね。
(最近の新しい製品だと、↑ 以外の設定になっているものもあります。)
特に親切(?)なマニュアルですと、デフォルトユーザーIDとパスワードまでご丁寧に記載されているマニュアルもあります。
これがすべてデフォルト設定のままだと、簡単にWi-Fiルーターの管理画面にログインされてしまいます。
つまりは、↓ こんな感じです。
f:id:AlcatrazExodus:20210509213658p:plain
そうなれば、このデフォルトIPアドレスを変更しておけば、
そもそもログイン画面にすらたどり着けないのではないだろうか。
残念ながらそんなことはありません。

そもそもWi-Fiルーターに接続している時点で、通常そのWi-FiルーターのIPアドレスが、
接続したデバイスデフォルトゲートウェイに設定されます。
ですので、Wi-Fiルーターに接続したデバイスで、ネットワークの情報を見たり、
ipconfig コマンド等で確認すればWi-FiルーターのIPアドレスはいとも簡単に分かってしまいます。
なので、そもそもWi-Fiルーターに接続させないことに労力を使うべきであります!


ということで、

Wi-Fiルーター自体のIPアドレス変更は意味がない

というのが結論です。

MACアドレスフィルタリングは微妙 - 家庭用Wi-Fiルータの設定について考えてみた⑥

ホーム Wi-Fiルータの設定に関する、6回目の記事となります。


自宅の Wi-Fiルータについて、何気なくデフォルト設定でインターネットに接続していることが多い気がします。
でも、、、

本当にデフォルトのままで良いのか!?

と疑問に感じたので、ちょっと考えてみました。

ちょっと調べてみたところ、意外といくつもの考えるべき項目があることが分かってきました。


今回はWi-Fi接続におけるMACアドレスフィルタリング設定についてです。
簡単に言うと あらかじめ指定したデバイスしかWi-Fiに接続させない 設定です。
つまりは ↓ こんなイメージです。

f:id:AlcatrazExodus:20210505185936p:plain


【目的】

自宅のWi-Fiルーターに他人を接続させないこと


【手段】

下記設定を考え、最適な設定を考えてみる。

1.SSID
2.SSIDブロードキャスト

(ステルスにするかどうか)

3.PSK(PreSharedKey = 事前共有鍵)

4.認証モード

5.暗号化モード

6.MACアドレスフィルタリング

7.Wi-Fiルーター自体のIPアドレス

8.管理画面(設定画面)のログインID・パスワード


【考えたこと】

Wi-Fiルータにはパスワードをかけているので、
当然パスワードが破られなければWi-Fiルータに接続されることはありません。

しかーし、万が一Wi-Fiパスワードが破られた場合でも、
自分が使用しているデバイスMACアドレスのみ接続可能な状態にしておけば
セキュリティを2重にでき、強化できるのではないかと考えました。

それを実現するのが「MACアドレスフィルタリング」機能であり、家庭用Wi-Fiルータにも大体備わっています。
ちなみに、この機能には

ホワイトリスト・・・あらかじめ登録したもののみ接続許可する

ブラックリスト・・・あらかじめ登録したもののみ接続拒否する

という2つの機能がありますが、ここではホワイトリストのお話です。

単純にセキュリティを強化できると考えたため、
我が家のWi-FiルータMACアドレスフィルタリング機能を有効にしました。
これでセキュリティを強化できた!!!
めでたしめでたし!!!

と思っていたのですが、運用していくうちに↓のような壁が発生しました。

単純にめんどくさい

新しく接続するデバイスMACアドレスを調べる
      ↓
そのMACアドレスWi-Fiルータホワイトリストに追加する


たまに設定したこと自体を忘れてなかなか接続できない

そもそもMACアドレスフィルタリングを設定したことを忘れてしまい、
新しく接続しようとしたデバイスがなかなか接続できない。
そのため、Wi-Fiパスワードを入力ミスしたことを疑い、何度も何度も入力し直す。。。


登録できるリストに上限がある

極めつけはコレ!
なんとMACアドレスを登録していったら、
12個程度で「これ以上登録できません」というエラーが。。。
設定画面に記載しておいてほしかった。。。。
13個目を登録したときに初めて上限があることを知りました。。。
当然12個では足りないので、この時点でMACアドレスフィルタリング機能はオフにしました!



そして、色々調べたところ、本気でWi-Fiをクラックしようとする攻撃者がいた場合、
MACアドレスフィルタリングごときは無意味であることが分かりました。
通信するために使用されるMACアドレスは暗号化の範囲に含まれていないため、
空中を飛び交っているパケットを収集すればフィルタリングリストを特定することができますし、
MACアドレスを書き換えるツールもあります。

なので、例え登録上限がないとしても、セキュリティ的には気休め程度であり、
それ以上にめんどくさい現状が待ち受けています。


ということで、

MACアドレスフィルタリングは微妙

というのが結論です。

暗号化モードはCCMP(AES)のみにせよ - 家庭用Wi-Fiルータの設定について考えてみた⑤

ホーム Wi-Fiルータの設定に関する、5回目の記事となります。


自宅の Wi-Fiルータについて、何気なくデフォルト設定でインターネットに接続していることが多い気がします。
でも、、、

本当にデフォルトのままで良いのか!?

と疑問に感じたので、ちょっと考えてみました。

ちょっと調べてみたところ、意外といくつもの考えるべき項目があることが分かってきました。


今回はWi-Fi接続における暗号化モードの設定についてです。
WEP(RC4)とかTKIP(RC4)とかCCMP(AES)とかのお話です。
ちなみに、我が家のWi-Fiルータの「暗号化モード」のデフォルト設定は
f:id:AlcatrazExodus:20201123203836p:plain
のとおりTKIP&AESでした。


【目的】

自宅のWi-Fiルーターに他人を接続させないこと


【手段】

下記設定を考え、最適な設定を考えてみる。

1.SSID
2.SSIDブロードキャスト

(ステルスにするかどうか)

3.PSK(PreSharedKey = 事前共有鍵)

4.認証モード

5.暗号化モード

6.MACアドレスフィルタリング
7.Wi-Fiルーター自体のIPアドレス
8.管理画面(設定画面)のログインID・パスワード


【考えたこと】

バイスWi-Fiルータと接続し通信するということは、
バイスで入力した内容、例えばWebサイトログイン時に入力するID・PWとかが
空気中を流れることになります。

空気中を流れるということは、それを万が一誰かに傍受された場合、
中身を見られてしまうことになります。
見られてしまっては困るので、たとえ傍受されても解読不可能にさせるため、
通信内容を暗号化することが一般的です。

その「暗号化」を実現する方法として、
↓のようなプロトコル(通信規約)とアルゴリズム(考え方)があります。

暗号化プロトコル暗号化アルゴリズムセキュリティレベル
CCMP AES ↑高
TKIP RC4
WEP RC4 ↓低

WEPは4回目の記事でも触れたとおり、
簡単にパスワードをクラック(解読)できてしまうのでNGです。
そして、暗号化キーが固定されたているため、
1度クラックされると通信がずっと筒抜けになってしまいます。
f:id:AlcatrazExodus:20201123220623p:plain

TKIPはWEPの改良版で、暗号化キー(グループキー)を
一定時間で更新する仕組みであるため、
1度クラックされても、キーが更新されれば再度クラックされるまで内容を解読されません。
また、キー情報も拡張されているため、WEPよりも安全なのは間違いありません。
ですが、基本的な部分がWEPと同じであるため、不安要素が残ります。

CCMPは・・・、と書きたいところですが、
なぜかAESと呼ばれることが多いですね。
WEP、TKIPと同じ土俵ではCCMPと表現されるべきだと思いますが。。。

余談はさておき、CCMP(AES)は、
暗号化の処理方法を1から考えて組み直したものであり、
もちろん暗号化キー(グループキー)も一定時間で更新する仕組みです。
今では最も暗号強度が高くデファクトであると言えます。

ここで、この「一定時間」で更新するキーですが、

このキーは事前共有キーではなく「グループキー」です。
バイスWi-Fiルータが通信する仕組みをざっくり説明すると、
①デバイス側では入力されたWi-FiパスワードからPMK(マスターキー)を生成します。
②次に4ウェイハンドシェイクという手順で乱数とMACアドレスを交換し、
 ①で生成したPMKを組み合わせてPTK(テンポラリキー)を生成します。
③そしてこのPTKを用いてグループキーハンドシェイクという手順で
 グループキー(GTKを交換します。
 このGTKこそが、通信データを暗号化するのに用いられる暗号キーとなります。
 f:id:AlcatrazExodus:20201123222934p:plain
そんなもん知らねーよ!
と思われるかもしれませんが、たぶん嘘は言ってないと思います(笑)
ちなみにこの時間はWPAグループキー更新間隔設定で変更することができます。
f:id:AlcatrazExodus:20201123204639p:plain
この時間を短くすればするほどセキュリティは向上しますが、
Wi-Fiルータの負担も大きくなりそうです。


以上のことから、暗号化モードはCCMP(AES)に設定したいところではありますが、
世の中のデバイスにはTKIPには対応しているものの、CCMP(AES)には対応していないものもあります。
そーゆーデバイスも繋げるようにするため、Wi-Fiルータの暗号化モード設定のデフォルトも、

TKIP&AES

となっているものもあります。
実際、我が家のWi-Fiルータのデフォルトもそうでした。。。

そこで、我が家にあるデバイスはきっとすべてCCMP対応だろうとたかをくくった私は、
とりあえずWi-Fiルータの暗号化モードを

AESのみ

に変更してみました!
f:id:AlcatrazExodus:20201123204303p:plain
結果、全てのデバイスが接続状態を維持したため、このまま運用することにしました。


ということで、

暗号化モードはCCMP(AES)のみにする

ことをおすすめします。

認証モードはできれば上位バージョンの only mode にせよ - 家庭用Wi-Fiルータの設定について考えてみた④

ホーム Wi-Fiルータの設定に関する、4回目の記事となります。


自宅の Wi-Fiルータについて、何気なくデフォルト設定でインターネットに接続していることが多い気がします。
でも、、、

本当にデフォルトのままで良いのか!?

と疑問に感じたので、ちょっと考えてみました。

ちょっと調べてみたところ、意外といくつもの考えるべき項目があることが分かってきました。


今回はWi-Fi接続における認証モード設定についてです。
WEPとかWPAとかWPA2とかのお話です。
ちなみに最近はWPA3が出てきたため、これからのデファクトになると思いますが、
我が家の通信機器にWPA3に対応しているモノがありません...orz


【目的】

自宅のWi-Fiルーターに他人を接続させないこと


【手段】

下記設定を考え、最適な設定を考えてみる。

1.SSID

2.SSIDブロードキャスト

(ステルスにするかどうか)

3.PSK(PreSharedKey = 事前共有鍵)

4.認証モード

5.暗号化モード
6.MACアドレスフィルタリング
7.Wi-Fiルーター自体のIPアドレス
8.管理画面(設定画面)のログインID・パスワード


【考えたこと】

自分が管理するデバイスのみをWi-Fiルータに接続するためには、
Wi-Fiルータ側でデバイスを「認証」させる必要があります。
バイス側でSSIDを選択しPSKを入力することでWi-Fiルータに接続できますが、
それが認証です。

その認証には、様々な方式があります。
我が家のWi-Fiルータ設定画面では↓のとおりでした。
f:id:AlcatrazExodus:20201107161538p:plain

ひとつひとつ見てみると

認証モード内容採用判断
①オープン PSK不要
(認証なしで誰でも接続可能)
論外
②共有 いわゆるWEP
暗号化キー(パスワード)による認証
論外
③WPA PreSharedKey
(WPA only mode)
WPAのみの認証
④WPA2 PreSharedKey
(WPA2 only mode)
WPA2のみの認証
⑤WPA/WPA2 PreSharedKey
(WPA/WPA2 mixed mode)
WPAとWPA2どっちの認証もOK
⑥以降のエンタープライズ 別途認証サーバーが必要 論外

「①オープン」は、誰にでも接続を許してしまうので当然NGです。

「②共有」は、一応設定したパスワードで認証はしますが、
このパスワードは攻撃者に簡単に解読されてしまうのでNGです。
ちなみに私も実験で、WEPの Wi-Fiルータに対し
無線LAN解析ツール「Aircrack-ng」を使用したところ、
簡単にパスワードをクラック(解読)することができました。
あくまで自分で構築した環境で実験しただけですからね(笑)

「③WPA PreSharedKey」はWEPよりも強固なためクラックはしにくいですが、
「④WPA2 PreSharedKey」という上位バージョンがあるのであればこっちを使うべきです。

「⑤WPA/WPA2 PreSharedKey」はWPAとWPA2のどっちも使えます、という設定です。
「⑥以降のエンタープライズ」は、基本的企業用であり認証サーバが必要となるため、
個人宅では使う必要はないと思います。

そうなると、選択肢的には、
④WPA2 PreSharedKey
⑤WPA/WPA2 PreSharedKey
に絞られるのですが、当然バージョンが高い方がセキュリティも高いため、
「④WPA2 PreSharedKey」一択になるかなぁと思います。

が、結局のところ、 Wi-Fiルータと接続するデバイスの両方で、
同じ認証モードに対応していないと認証ができません。
つまり、 デバイスがWPA2に非対応で、WPAにしか対応していない場合、
「④WPA2 PreSharedKey」のWi-Fiルータには接続できなくなってしまいます。
つまり↓こんな感じ(絵ヘタクソですスイマセン) f:id:AlcatrazExodus:20201107180338p:plain
我が家のWi-Fiルータのデフォルトは「⑤WPA/WPA2 PreSharedKey 」でした。
そして私は、自分が使用しているデバイスが全部WPA2に対応しているか分からなかったので、
試しにWi-Fiルータの2.4GHz、5GHzの両方とも「④WPA2 PreSharedKey」に変更してみました。

結果、全てのデバイスが接続されたままだったため、
「④WPA2 PreSharedKey」で運用することとしました。

今後この認証モード設定を変えるタイミングとしては、

・新たに接続するデバイスがWPA2非対応だった場合

→「⑤WPA/WPA2 PreSharedKey」に変更

Wi-Fiルータと一部のデバイスがWPA3に対応した場合

→「WPA2/WPA3 PreSharedKey」に変更

Wi-Fiルータと全デバイスがWPA3に対応した場合

→「WPA3 PreSharedKey」に変更


タイトルは、「認証モードはできれば上位バージョンの only mode にせよ」
としましたが、↓こんな感じですかねぇ。
接続するデバイス認証モード
Wi-Fiルータ側)
全てWPA2対応 WPA2 PreSharedKey
WPA2対応と非対応が混在 WPA/WPA2 PreSharedKey
全てWPA3対応 WPA3 PreSharedKey
WPA3対応と非対応が混在 状況に応じてどちらか
WPA/WPA2/WPA3 PreSharedKey
WPA2/WPA3 PreSharedKey

PSK(PreSharedKey = 事前共有鍵)は複雑で長い文字列にせよ - 家庭用Wi-Fiルータの設定について考えてみた③

ホーム Wi-Fiルータの設定に関する、3回目の記事となります。


自宅の Wi-Fiルータについて、何気なくデフォルト設定でインターネットに接続していることが多い気がします。
でも、、、

本当にデフォルトのままで良いのか!?

と疑問に感じたので、ちょっと考えてみました。

ちょっと調べてみたところ、意外といくつもの考えるべき項目があることが分かってきました。
今回はPSK(PreSharedKey = 事前共有鍵)のお話であり、
様々な場面で「パスワードは長くて複雑で使いまわさない」的なことをよく耳にすると思いますので、
似たような内容です。


【目的】

自宅のWi-Fiルーターに他人を接続させないこと


【手段】

下記設定を考え、最適な設定を考えてみる。

1.SSID

2.SSIDブロードキャスト

(ステルスにするかどうか)

3.PSK(PreSharedKey = 事前共有鍵)

4.認証モード
5.暗号化モード
6.MACアドレスフィルタリング
7.Wi-Fiルーター自体のIPアドレス
8.管理画面(設定画面)のログインID・パスワード


【結論】

PSKは複雑で長い文字列にする


【考えたこと】

Wi-Fiに接続するとき、接続するアクセスポイントのSSIDを選択したあと、
PSK(事前共有鍵)を入力します。

お使いの機器によって、「PSK」「パスフレーズ」「パスワード」など表現はバラバラですが
ここでは「PSK」とします。

そのPSKはWi-Fiルータに物理的に貼られているラベルに記載されていますので、
それをそのまま使用している人も多いかと思います。

最近のWi-Fiルータは、デフォルトのPSKでも複雑なものもありますが、
デフォルトのPSKは、大抵 Wi-Fiルータのラベルに記載されているので、
考えたくはありませんが、

Wi-Fiルータを発送するプロバイダが控えている
・インターネット回線工事業者の担当者にメモられている
・家に招待した客人に見られる

等々のリスクが挙げられます。

また、 Wi-Fiパスワードをクラックしたり総当たりするような攻撃ツールも出回っています。
aircrack-ng とか Pyrit とか…
あらゆるリスクを低減させるためには、デフォルト設定を変更するに越したことはありません。

先ほど、最近のWi-FiルータのデフォルトのPSKが複雑なものもあることを記載しましたが、
我が家のWi-FiルータデフォルトPSKは、なんと8桁でした(゜Д゜)ミジカッ

私はインターネット導入時に、8桁から20桁の複雑なPSKに変更しました。
最初に機器を接続する時や、新しい機器を接続するときに多少手間ではありますが、
そんな頻繁にやる作業でもないので、長くて複雑な文字列にしました。


ということで、

PSKは複雑で長い文字列にする

ことをおすすめします。

SSIDステルス機能は無効にせよ - 家庭用Wi-Fiルータの設定について考えてみた②

ホーム Wi-Fiルータの設定に関する、2回目の記事となります。


自宅の Wi-Fiルータについて、何気なくデフォルト設定でインターネットに接続していることが多い気がします。
でも、、、

本当にデフォルトのままで良いのか!?

と疑問に感じたので、ちょっと考えてみました。

ちょっと調べてみたところ、意外といくつもの考えるべき項目があることが分かってきました。


Wi-Fiルータは、自身のアクセスポイントを識別させるため、SSIDを無線の電波に乗せて発信しています。
パソコンやスマホ側で無線LANの設定を開くと、受信したSSIDの一覧が表示されます。
この仕組みが「SSIDブロードキャスト」であり、通常はこれがデフォルト設定です。

Wi-Fiルータの設定で、このSSIDを発信させない「SSIDステルス機能」というものがあります。
ステルス機能をONにすれば、パソコンやスマホ側で無線LAN設定画面を開いても、SSID一覧に表示されません。
まとめると↓こんな感じ(下手な絵でゴメンナサイ)

f:id:AlcatrazExodus:20201101182909p:plain

1回目の記事で、SSID名を他メーカーの規則にすることを書いたのですが、
そもそもSSID自身を隠してしまえばセキュリティが向上するのではないかと考えたため、
以下のように検討しました。


【目的】

自宅のWi-Fiルーターに他人を接続させないこと


【手段】

下記設定を考え、最適な設定を考えてみる。

1.SSID

2.SSIDブロードキャスト

(ステルスにするかどうか)

3.PSK(PreSharedKey = 事前共有鍵)

4.認証モード
5.暗号化モード
6.MACアドレスフィルタリング
7.Wi-Fiルーター自体のIPアドレス
8.管理画面(設定画面)のログインID・パスワード


【結論】

SSIDステルス機能は無効にする


【考えたこと】

Wi-Fiをタダ乗りしようとする攻撃者に対し、Wi-FiルータSSIDステルス機能を有効にしておけば
見つからないのではないか。
どっちにしてもSSIDを隠せるのであれば隠した方がよく、デメリットなどないのではないか。

そもそも、パソコンやスマホはステルスSSIDにどうやって接続するのか。
それは、↓のようにSSID名を指定して、ステルスであることを設定します。

f:id:AlcatrazExodus:20201101172450p:plain

ちなみにこれを「動的スキャン」と言います。
通常のSSIDブロードキャストで接続するやり方は「静的スキャン」と言います。
いくらSSIDを隠しても、攻撃者がこの動的スキャンをやれば見つかってしまいます。

いや、その前にスマホはどうやってステルスの Wi-Fiルータに接続しにいくのだろうか。
先ほども書きましたが、スマホでステルスSSIDに接続するためには↑の画像のように、
ステルスであることを明示します。
通常の接続はSSIDブロードキャストを受信して、スマホSSIDを選択するのに対し、
実は、ステルス SSIDに対してはスマホ側からSSIDを探しに行きます。

ということは、外出しているときも仕事に行っているときもステルスSSIDを探しているのです。
ステルスSSIDを探すということは、自宅Wi-FiルータSSIDに関する情報を電波に乗せているということなので、
他者に知られるリスクがあるのです。

f:id:AlcatrazExodus:20201101182533p:plain


さらには、実際には誤差かもしれませんが、常にステルスSSIDを探すという処理が
スマホやバッテリーに負担をかけているような気もします。

設定メリットデメリット
ステルスON Wi-FiルータSSIDをとりあえず隠せる
 (通攻撃者から見つかりにくい)
スマホ側は常にSSIDを探しにいく
 (探すSSID情報垂れ流し)
スマホに負荷がかかるかもしれない
ステルスOFF スマホ側は受信したSSIDから選択するのみ Wi-Fiルータ側はSSIDを垂れ流す


結局のところ、メリットデメリットはトレードオフとなりますが
個人的には、ステルスをONにしたときの無線LANクライアント側のデメリットを考えると

SSIDステルス機能は無効にする

方が良いのかなぁと思った次第です!

SSID名は他メーカーの命名規則を使用せよ - 家庭用Wi-Fiルータの設定について考えてみた①

自宅の Wi-Fiルータについて、何気なくデフォルト設定でインターネットに接続していることが多い気がします。
でも、、、

本当にデフォルトのままで良いのか!?

と疑問に感じたので、ちょっと考えてみました。

ちょっと調べてみたところ、意外といくつもの考えるべき項目があることが分かってきました。


【目的】

自宅のWi-Fiルーターに他人を接続させないこと


【手段】

下記設定を考え、最適な設定を考えてみる。

1.SSID

2.SSIDブロードキャスト

(ステルスにするかどうか)

3.PSK(PreSharedKey = 事前共有鍵)

4.認証モード
5.暗号化モード
6.MACアドレスフィルタリング
7.Wi-Fiルーター自体のIPアドレス
8.管理画面(設定画面)のログインID・パスワード


【結論】

SSID名 → 他メーカーのSSID名の規則を使用する


【考えたこと】

Wi-FiルータのデフォルトのSSID名は、それだけでどこのメーカーの物か分かってしまうものが多い。

例 Buffalo-•••• → バッファロー

aterm-••••   → NEC

HG•••••     → ファーウェイ

そのため、もし製品の脆弱性が発見された場合、攻撃者が街に流れているSSIDを基にメーカーを特定して、
その脆弱性を攻撃する、というリスクが考えられる。

もちろん、自宅のWi-Fi圏内に攻撃者が来ることが前提となり、その可能性は低いと思うが、
SSID名を変更するだけでこのリスクを低減できるのであれば変更した方が良いと考えた。

では、どんなSSID名にすれば良いか。
車の名前にしようか、動物の名前にしようか、、、

いや、待てよ、もし特徴あるSSID名にした場合、血の気が多い攻撃者だったらなんとか突破しようと挑戦するのではないだろうか。

そんなリスクまで考えて、他のメーカーのSSID名の特徴をパクれば良いのでは!! と名案が浮かんだ。
そう、木を隠すなら森の中、ということだ!

さっそく自宅からキャッチできるSSIDを確認してみると、、、、
f:id:AlcatrazExodus:20201101125509p:plain:w500
と、「aterm」「Buffalo」が比較的多かった!

フリー Wi-Fiがあったけどここではあえて触れないでおこう(笑)

どれでも良かったし、特に理由はないけれど、SSID名を「aterm-******」に変更した。
これで仮にaterm製品の脆弱性があったとして、攻撃者が我が家の Wi-Fiに攻撃したとしても、
元々aterm製品ではないので突破できないだろう!


ということで、SSID名については、

他メーカーのSSID名の規則を使用する

設定がセキュリティ的に最適ではないでしょうか😁