認証モードはできれば上位バージョンの only mode にせよ - 家庭用Wi-Fiルータの設定について考えてみた④
ホーム Wi-Fiルータの設定に関する、4回目の記事となります。
自宅の Wi-Fiルータについて、何気なくデフォルト設定でインターネットに接続していることが多い気がします。
でも、、、
本当にデフォルトのままで良いのか!?
と疑問に感じたので、ちょっと考えてみました。
ちょっと調べてみたところ、意外といくつもの考えるべき項目があることが分かってきました。
今回はWi-Fi接続における認証モード設定についてです。
WEPとかWPAとかWPA2とかのお話です。
ちなみに最近はWPA3が出てきたため、これからのデファクトになると思いますが、
我が家の通信機器にWPA3に対応しているモノがありません...orz
【目的】
自宅のWi-Fiルーターに他人を接続させないこと
【手段】
下記設定を考え、最適な設定を考えてみる。
1.SSID名
2.SSIDブロードキャスト
(ステルスにするかどうか)
3.PSK(PreSharedKey = 事前共有鍵)
→4.認証モード
5.暗号化モード
6.MACアドレスフィルタリング
7.Wi-Fiルーター自体のIPアドレス
8.管理画面(設定画面)のログインID・パスワード
【考えたこと】
自分が管理するデバイスのみをWi-Fiルータに接続するためには、
Wi-Fiルータ側でデバイスを「認証」させる必要があります。
デバイス側でSSIDを選択しPSKを入力することでWi-Fiルータに接続できますが、
それが認証です。
その認証には、様々な方式があります。
我が家のWi-Fiルータ設定画面では↓のとおりでした。
ひとつひとつ見てみると
認証モード | 内容 | 採用判断 |
---|---|---|
①オープン | PSK不要 (認証なしで誰でも接続可能) |
論外 |
②共有 | いわゆるWEP 暗号化キー(パスワード)による認証 |
論外 |
③WPA PreSharedKey (WPA only mode) |
WPAのみの認証 | △ |
④WPA2 PreSharedKey (WPA2 only mode) |
WPA2のみの認証 | ○ |
⑤WPA/WPA2 PreSharedKey (WPA/WPA2 mixed mode) |
WPAとWPA2どっちの認証もOK | ○ |
⑥以降のエンタープライズ | 別途認証サーバーが必要 | 論外 |
「①オープン」は、誰にでも接続を許してしまうので当然NGです。
「②共有」は、一応設定したパスワードで認証はしますが、
このパスワードは攻撃者に簡単に解読されてしまうのでNGです。
「③WPA PreSharedKey」はWEPよりも強固なためクラックはしにくいですが、
「④WPA2 PreSharedKey」という上位バージョンがあるのであればこっちを使うべきです。
「⑤WPA/WPA2 PreSharedKey」はWPAとWPA2のどっちも使えます、という設定です。
「⑥以降のエンタープライズ」は、基本的企業用であり認証サーバが必要となるため、
個人宅では使う必要はないと思います。
そうなると、選択肢的には、
④WPA2 PreSharedKey
⑤WPA/WPA2 PreSharedKey
に絞られるのですが、当然バージョンが高い方がセキュリティも高いため、
「④WPA2 PreSharedKey」一択になるかなぁと思います。
が、結局のところ、 Wi-Fiルータと接続するデバイスの両方で、
同じ認証モードに対応していないと認証ができません。
つまり、 デバイスがWPA2に非対応で、WPAにしか対応していない場合、
「④WPA2 PreSharedKey」のWi-Fiルータには接続できなくなってしまいます。
つまり↓こんな感じ(絵ヘタクソですスイマセン)
我が家のWi-Fiルータのデフォルトは「⑤WPA/WPA2 PreSharedKey 」でした。
そして私は、自分が使用しているデバイスが全部WPA2に対応しているか分からなかったので、
試しにWi-Fiルータの2.4GHz、5GHzの両方とも「④WPA2 PreSharedKey」に変更してみました。
結果、全てのデバイスが接続されたままだったため、
「④WPA2 PreSharedKey」で運用することとしました。
今後この認証モード設定を変えるタイミングとしては、
・新たに接続するデバイスがWPA2非対応だった場合
→「⑤WPA/WPA2 PreSharedKey」に変更
→「WPA2/WPA3 PreSharedKey」に変更
→「WPA3 PreSharedKey」に変更
タイトルは、「認証モードはできれば上位バージョンの only mode にせよ」
としましたが、↓こんな感じですかねぇ。
接続するデバイス | 認証モード (Wi-Fiルータ側) |
---|---|
全てWPA2対応 | WPA2 PreSharedKey |
WPA2対応と非対応が混在 | WPA/WPA2 PreSharedKey |
全てWPA3対応 | WPA3 PreSharedKey |
WPA3対応と非対応が混在 | 状況に応じてどちらか WPA/WPA2/WPA3 PreSharedKey WPA2/WPA3 PreSharedKey |
PSK(PreSharedKey = 事前共有鍵)は複雑で長い文字列にせよ - 家庭用Wi-Fiルータの設定について考えてみた③
ホーム Wi-Fiルータの設定に関する、3回目の記事となります。
自宅の Wi-Fiルータについて、何気なくデフォルト設定でインターネットに接続していることが多い気がします。
でも、、、
本当にデフォルトのままで良いのか!?
と疑問に感じたので、ちょっと考えてみました。
ちょっと調べてみたところ、意外といくつもの考えるべき項目があることが分かってきました。
今回はPSK(PreSharedKey = 事前共有鍵)のお話であり、
様々な場面で「パスワードは長くて複雑で使いまわさない」的なことをよく耳にすると思いますので、
似たような内容です。
【目的】
自宅のWi-Fiルーターに他人を接続させないこと
【手段】
下記設定を考え、最適な設定を考えてみる。
1.SSID名
2.SSIDブロードキャスト
(ステルスにするかどうか)
→3.PSK(PreSharedKey = 事前共有鍵)
4.認証モード
5.暗号化モード
6.MACアドレスフィルタリング
7.Wi-Fiルーター自体のIPアドレス
8.管理画面(設定画面)のログインID・パスワード
【結論】
PSKは複雑で長い文字列にする
【考えたこと】
Wi-Fiに接続するとき、接続するアクセスポイントのSSIDを選択したあと、
PSK(事前共有鍵)を入力します。
お使いの機器によって、「PSK」「パスフレーズ」「パスワード」など表現はバラバラですが
ここでは「PSK」とします。
そのPSKはWi-Fiルータに物理的に貼られているラベルに記載されていますので、
それをそのまま使用している人も多いかと思います。
最近のWi-Fiルータは、デフォルトのPSKでも複雑なものもありますが、
デフォルトのPSKは、大抵 Wi-Fiルータのラベルに記載されているので、
考えたくはありませんが、
・Wi-Fiルータを発送するプロバイダが控えている
・インターネット回線工事業者の担当者にメモられている
・家に招待した客人に見られる
等々のリスクが挙げられます。
また、 Wi-Fiパスワードをクラックしたり総当たりするような攻撃ツールも出回っています。
あらゆるリスクを低減させるためには、デフォルト設定を変更するに越したことはありません。
先ほど、最近のWi-FiルータのデフォルトのPSKが複雑なものもあることを記載しましたが、
我が家のWi-FiルータデフォルトPSKは、なんと8桁でした(゜Д゜)ミジカッ
私はインターネット導入時に、8桁から20桁の複雑なPSKに変更しました。
最初に機器を接続する時や、新しい機器を接続するときに多少手間ではありますが、
そんな頻繁にやる作業でもないので、長くて複雑な文字列にしました。
ということで、
PSKは複雑で長い文字列にする
ことをおすすめします。SSIDステルス機能は無効にせよ - 家庭用Wi-Fiルータの設定について考えてみた②
ホーム Wi-Fiルータの設定に関する、2回目の記事となります。
自宅の Wi-Fiルータについて、何気なくデフォルト設定でインターネットに接続していることが多い気がします。
でも、、、
本当にデフォルトのままで良いのか!?
と疑問に感じたので、ちょっと考えてみました。
ちょっと調べてみたところ、意外といくつもの考えるべき項目があることが分かってきました。
Wi-Fiルータは、自身のアクセスポイントを識別させるため、SSIDを無線の電波に乗せて発信しています。
パソコンやスマホ側で無線LANの設定を開くと、受信したSSIDの一覧が表示されます。
この仕組みが「SSIDブロードキャスト」であり、通常はこれがデフォルト設定です。
Wi-Fiルータの設定で、このSSIDを発信させない「SSIDステルス機能」というものがあります。
ステルス機能をONにすれば、パソコンやスマホ側で無線LAN設定画面を開いても、SSID一覧に表示されません。
まとめると↓こんな感じ(下手な絵でゴメンナサイ)
1回目の記事で、SSID名を他メーカーの規則にすることを書いたのですが、
そもそもSSID自身を隠してしまえばセキュリティが向上するのではないかと考えたため、
以下のように検討しました。
【目的】
自宅のWi-Fiルーターに他人を接続させないこと
【手段】
下記設定を考え、最適な設定を考えてみる。
1.SSID名
→2.SSIDブロードキャスト
(ステルスにするかどうか)
3.PSK(PreSharedKey = 事前共有鍵)
4.認証モード
5.暗号化モード
6.MACアドレスフィルタリング
7.Wi-Fiルーター自体のIPアドレス
8.管理画面(設定画面)のログインID・パスワード
【結論】
SSIDステルス機能は無効にする
【考えたこと】
Wi-Fiをタダ乗りしようとする攻撃者に対し、Wi-FiルータのSSIDステルス機能を有効にしておけば
見つからないのではないか。
どっちにしてもSSIDを隠せるのであれば隠した方がよく、デメリットなどないのではないか。
そもそも、パソコンやスマホはステルスSSIDにどうやって接続するのか。
それは、↓のようにSSID名を指定して、ステルスであることを設定します。
ちなみにこれを「動的スキャン」と言います。
通常のSSIDブロードキャストで接続するやり方は「静的スキャン」と言います。
いくらSSIDを隠しても、攻撃者がこの動的スキャンをやれば見つかってしまいます。
いや、その前にスマホはどうやってステルスの Wi-Fiルータに接続しにいくのだろうか。
先ほども書きましたが、スマホでステルスSSIDに接続するためには↑の画像のように、
ステルスであることを明示します。
通常の接続はSSIDブロードキャストを受信して、スマホでSSIDを選択するのに対し、
実は、ステルス SSIDに対してはスマホ側からSSIDを探しに行きます。
ということは、外出しているときも仕事に行っているときもステルスSSIDを探しているのです。
ステルスSSIDを探すということは、自宅Wi-FiルータのSSIDに関する情報を電波に乗せているということなので、
他者に知られるリスクがあるのです。
さらには、実際には誤差かもしれませんが、常にステルスSSIDを探すという処理が
スマホやバッテリーに負担をかけているような気もします。
設定 | メリット | デメリット |
---|---|---|
ステルスON | ・Wi-FiルータのSSIDをとりあえず隠せる (通攻撃者から見つかりにくい) |
・スマホ側は常にSSIDを探しにいく (探すSSID情報垂れ流し) ・スマホに負荷がかかるかもしれない |
ステルスOFF | ・スマホ側は受信したSSIDから選択するのみ | ・Wi-Fiルータ側はSSIDを垂れ流す |
結局のところ、メリットデメリットはトレードオフとなりますが
個人的には、ステルスをONにしたときの無線LANクライアント側のデメリットを考えると
SSIDステルス機能は無効にする
方が良いのかなぁと思った次第です!SSID名は他メーカーの命名規則を使用せよ - 家庭用Wi-Fiルータの設定について考えてみた①
自宅の Wi-Fiルータについて、何気なくデフォルト設定でインターネットに接続していることが多い気がします。
でも、、、
本当にデフォルトのままで良いのか!?
と疑問に感じたので、ちょっと考えてみました。
ちょっと調べてみたところ、意外といくつもの考えるべき項目があることが分かってきました。
【目的】
自宅のWi-Fiルーターに他人を接続させないこと
【手段】
下記設定を考え、最適な設定を考えてみる。
→1.SSID名
2.SSIDブロードキャスト
(ステルスにするかどうか)
3.PSK(PreSharedKey = 事前共有鍵)
4.認証モード
5.暗号化モード
6.MACアドレスフィルタリング
7.Wi-Fiルーター自体のIPアドレス
8.管理画面(設定画面)のログインID・パスワード
【結論】
【考えたこと】
Wi-FiルータのデフォルトのSSID名は、それだけでどこのメーカーの物か分かってしまうものが多い。
例 Buffalo-•••• → バッファロー
HG••••• → ファーウェイ
そのため、もし製品の脆弱性が発見された場合、攻撃者が街に流れているSSIDを基にメーカーを特定して、
その脆弱性を攻撃する、というリスクが考えられる。
もちろん、自宅のWi-Fi圏内に攻撃者が来ることが前提となり、その可能性は低いと思うが、
SSID名を変更するだけでこのリスクを低減できるのであれば変更した方が良いと考えた。
では、どんなSSID名にすれば良いか。
車の名前にしようか、動物の名前にしようか、、、
いや、待てよ、もし特徴あるSSID名にした場合、血の気が多い攻撃者だったらなんとか突破しようと挑戦するのではないだろうか。
そんなリスクまで考えて、他のメーカーのSSID名の特徴をパクれば良いのでは!! と名案が浮かんだ。
そう、木を隠すなら森の中、ということだ!
さっそく自宅からキャッチできるSSIDを確認してみると、、、、
と、「aterm」「Buffalo」が比較的多かった!
フリー Wi-Fiがあったけどここではあえて触れないでおこう(笑)
どれでも良かったし、特に理由はないけれど、SSID名を「aterm-******」に変更した。
これで仮にaterm製品の脆弱性があったとして、攻撃者が我が家の Wi-Fiに攻撃したとしても、
元々aterm製品ではないので突破できないだろう!
ということで、SSID名については、
他メーカーのSSID名の規則を使用する
設定がセキュリティ的に最適ではないでしょうか😁