MACアドレスフィルタリングは微妙 - 家庭用Wi-Fiルータの設定について考えてみた⑥
ホーム Wi-Fiルータの設定に関する、6回目の記事となります。
自宅の Wi-Fiルータについて、何気なくデフォルト設定でインターネットに接続していることが多い気がします。
でも、、、
本当にデフォルトのままで良いのか!?
と疑問に感じたので、ちょっと考えてみました。
ちょっと調べてみたところ、意外といくつもの考えるべき項目があることが分かってきました。
今回はWi-Fi接続におけるMACアドレスフィルタリング設定についてです。
簡単に言うと あらかじめ指定したデバイスしかWi-Fiに接続させない 設定です。
つまりは ↓ こんなイメージです。
【目的】
自宅のWi-Fiルーターに他人を接続させないこと
【手段】
下記設定を考え、最適な設定を考えてみる。
(ステルスにするかどうか)
3.PSK(PreSharedKey = 事前共有鍵)
4.認証モード
5.暗号化モード
→6.MACアドレスフィルタリング
8.管理画面(設定画面)のログインID・パスワード
【考えたこと】
Wi-Fiルータにはパスワードをかけているので、
当然パスワードが破られなければWi-Fiルータに接続されることはありません。
しかーし、万が一Wi-Fiパスワードが破られた場合でも、
自分が使用しているデバイスのMACアドレスのみ接続可能な状態にしておけば
セキュリティを2重にでき、強化できるのではないかと考えました。
それを実現するのが「MACアドレスフィルタリング」機能であり、家庭用Wi-Fiルータにも大体備わっています。
ちなみに、この機能には
ホワイトリスト・・・あらかじめ登録したもののみ接続許可する
ブラックリスト・・・あらかじめ登録したもののみ接続拒否する
という2つの機能がありますが、ここではホワイトリストのお話です。
単純にセキュリティを強化できると考えたため、
我が家のWi-FiルータのMACアドレスフィルタリング機能を有効にしました。
これでセキュリティを強化できた!!!
めでたしめでたし!!!
と思っていたのですが、運用していくうちに↓のような壁が発生しました。
① 単純にめんどくさい
新しく接続するデバイスのMACアドレスを調べる
↓
そのMACアドレスをWi-Fiルータのホワイトリストに追加する
② たまに設定したこと自体を忘れてなかなか接続できない
そもそもMACアドレスフィルタリングを設定したことを忘れてしまい、
新しく接続しようとしたデバイスがなかなか接続できない。
そのため、Wi-Fiパスワードを入力ミスしたことを疑い、何度も何度も入力し直す。。。
③ 登録できるリストに上限がある
極めつけはコレ!
なんとMACアドレスを登録していったら、
12個程度で「これ以上登録できません」というエラーが。。。
設定画面に記載しておいてほしかった。。。。
13個目を登録したときに初めて上限があることを知りました。。。
当然12個では足りないので、この時点でMACアドレスフィルタリング機能はオフにしました!
そして、色々調べたところ、本気でWi-Fiをクラックしようとする攻撃者がいた場合、
MACアドレスフィルタリングごときは無意味であることが分かりました。
通信するために使用されるMACアドレスは暗号化の範囲に含まれていないため、
空中を飛び交っているパケットを収集すればフィルタリングリストを特定することができますし、
MACアドレスを書き換えるツールもあります。
なので、例え登録上限がないとしても、セキュリティ的には気休め程度であり、
それ以上にめんどくさい現状が待ち受けています。
ということで、
MACアドレスフィルタリングは微妙
というのが結論です。暗号化モードはCCMP(AES)のみにせよ - 家庭用Wi-Fiルータの設定について考えてみた⑤
ホーム Wi-Fiルータの設定に関する、5回目の記事となります。
自宅の Wi-Fiルータについて、何気なくデフォルト設定でインターネットに接続していることが多い気がします。
でも、、、
本当にデフォルトのままで良いのか!?
と疑問に感じたので、ちょっと考えてみました。
ちょっと調べてみたところ、意外といくつもの考えるべき項目があることが分かってきました。
今回はWi-Fi接続における暗号化モードの設定についてです。
WEP(RC4)とかTKIP(RC4)とかCCMP(AES)とかのお話です。
ちなみに、我が家のWi-Fiルータの「暗号化モード」のデフォルト設定は
のとおりTKIP&AESでした。
【目的】
自宅のWi-Fiルーターに他人を接続させないこと
【手段】
下記設定を考え、最適な設定を考えてみる。
(ステルスにするかどうか)
3.PSK(PreSharedKey = 事前共有鍵)
4.認証モード
→5.暗号化モード
6.MACアドレスフィルタリング
7.Wi-Fiルーター自体のIPアドレス
8.管理画面(設定画面)のログインID・パスワード
【考えたこと】
デバイスが Wi-Fiルータと接続し通信するということは、
デバイスで入力した内容、例えばWebサイトログイン時に入力するID・PWとかが
空気中を流れることになります。
空気中を流れるということは、それを万が一誰かに傍受された場合、
中身を見られてしまうことになります。
見られてしまっては困るので、たとえ傍受されても解読不可能にさせるため、
通信内容を暗号化することが一般的です。
その「暗号化」を実現する方法として、
↓のようなプロトコル(通信規約)とアルゴリズム(考え方)があります。
暗号化プロトコル | 暗号化アルゴリズム | セキュリティレベル |
---|---|---|
CCMP | AES | ↑高 |
TKIP | RC4 | │ |
WEP | RC4 | ↓低 |
WEPは4回目の記事でも触れたとおり、
簡単にパスワードをクラック(解読)できてしまうのでNGです。
そして、暗号化キーが固定されたているため、
1度クラックされると通信がずっと筒抜けになってしまいます。
TKIPはWEPの改良版で、暗号化キー(グループキー※)を
一定時間で更新する仕組みであるため、
1度クラックされても、キーが更新されれば再度クラックされるまで内容を解読されません。
また、キー情報も拡張されているため、WEPよりも安全なのは間違いありません。
ですが、基本的な部分がWEPと同じであるため、不安要素が残ります。
CCMPは・・・、と書きたいところですが、
なぜかAESと呼ばれることが多いですね。
WEP、TKIPと同じ土俵ではCCMPと表現されるべきだと思いますが。。。
余談はさておき、CCMP(AES)は、
暗号化の処理方法を1から考えて組み直したものであり、
もちろん暗号化キー(グループキー※)も一定時間で更新する仕組みです。
今では最も暗号強度が高くデファクトであると言えます。
※ここで、この「一定時間」で更新するキーですが、
このキーは事前共有キーではなく「グループキー」です。
デバイスとWi-Fiルータが通信する仕組みをざっくり説明すると、
①デバイス側では入力されたWi-FiパスワードからPMK(マスターキー)を生成します。
②次に4ウェイハンドシェイクという手順で乱数とMACアドレスを交換し、
①で生成したPMKを組み合わせてPTK(テンポラリキー)を生成します。
③そしてこのPTKを用いてグループキーハンドシェイクという手順で
グループキー(GTK)を交換します。
このGTKこそが、通信データを暗号化するのに用いられる暗号キーとなります。
そんなもん知らねーよ!
と思われるかもしれませんが、たぶん嘘は言ってないと思います(笑)
ちなみにこの時間はWPAグループキー更新間隔設定で変更することができます。
この時間を短くすればするほどセキュリティは向上しますが、
Wi-Fiルータの負担も大きくなりそうです。
以上のことから、暗号化モードはCCMP(AES)に設定したいところではありますが、
世の中のデバイスにはTKIPには対応しているものの、CCMP(AES)には対応していないものもあります。
そーゆーデバイスも繋げるようにするため、Wi-Fiルータの暗号化モード設定のデフォルトも、
TKIP&AES
となっているものもあります。
実際、我が家のWi-Fiルータのデフォルトもそうでした。。。
そこで、我が家にあるデバイスはきっとすべてCCMP対応だろうとたかをくくった私は、
とりあえずWi-Fiルータの暗号化モードを
AESのみ
に変更してみました!
結果、全てのデバイスが接続状態を維持したため、このまま運用することにしました。
ということで、
暗号化モードはCCMP(AES)のみにする
ことをおすすめします。認証モードはできれば上位バージョンの only mode にせよ - 家庭用Wi-Fiルータの設定について考えてみた④
ホーム Wi-Fiルータの設定に関する、4回目の記事となります。
自宅の Wi-Fiルータについて、何気なくデフォルト設定でインターネットに接続していることが多い気がします。
でも、、、
本当にデフォルトのままで良いのか!?
と疑問に感じたので、ちょっと考えてみました。
ちょっと調べてみたところ、意外といくつもの考えるべき項目があることが分かってきました。
今回はWi-Fi接続における認証モード設定についてです。
WEPとかWPAとかWPA2とかのお話です。
ちなみに最近はWPA3が出てきたため、これからのデファクトになると思いますが、
我が家の通信機器にWPA3に対応しているモノがありません...orz
【目的】
自宅のWi-Fiルーターに他人を接続させないこと
【手段】
下記設定を考え、最適な設定を考えてみる。
1.SSID名
2.SSIDブロードキャスト
(ステルスにするかどうか)
3.PSK(PreSharedKey = 事前共有鍵)
→4.認証モード
5.暗号化モード
6.MACアドレスフィルタリング
7.Wi-Fiルーター自体のIPアドレス
8.管理画面(設定画面)のログインID・パスワード
【考えたこと】
自分が管理するデバイスのみをWi-Fiルータに接続するためには、
Wi-Fiルータ側でデバイスを「認証」させる必要があります。
デバイス側でSSIDを選択しPSKを入力することでWi-Fiルータに接続できますが、
それが認証です。
その認証には、様々な方式があります。
我が家のWi-Fiルータ設定画面では↓のとおりでした。
ひとつひとつ見てみると
認証モード | 内容 | 採用判断 |
---|---|---|
①オープン | PSK不要 (認証なしで誰でも接続可能) |
論外 |
②共有 | いわゆるWEP 暗号化キー(パスワード)による認証 |
論外 |
③WPA PreSharedKey (WPA only mode) |
WPAのみの認証 | △ |
④WPA2 PreSharedKey (WPA2 only mode) |
WPA2のみの認証 | ○ |
⑤WPA/WPA2 PreSharedKey (WPA/WPA2 mixed mode) |
WPAとWPA2どっちの認証もOK | ○ |
⑥以降のエンタープライズ | 別途認証サーバーが必要 | 論外 |
「①オープン」は、誰にでも接続を許してしまうので当然NGです。
「②共有」は、一応設定したパスワードで認証はしますが、
このパスワードは攻撃者に簡単に解読されてしまうのでNGです。
「③WPA PreSharedKey」はWEPよりも強固なためクラックはしにくいですが、
「④WPA2 PreSharedKey」という上位バージョンがあるのであればこっちを使うべきです。
「⑤WPA/WPA2 PreSharedKey」はWPAとWPA2のどっちも使えます、という設定です。
「⑥以降のエンタープライズ」は、基本的企業用であり認証サーバが必要となるため、
個人宅では使う必要はないと思います。
そうなると、選択肢的には、
④WPA2 PreSharedKey
⑤WPA/WPA2 PreSharedKey
に絞られるのですが、当然バージョンが高い方がセキュリティも高いため、
「④WPA2 PreSharedKey」一択になるかなぁと思います。
が、結局のところ、 Wi-Fiルータと接続するデバイスの両方で、
同じ認証モードに対応していないと認証ができません。
つまり、 デバイスがWPA2に非対応で、WPAにしか対応していない場合、
「④WPA2 PreSharedKey」のWi-Fiルータには接続できなくなってしまいます。
つまり↓こんな感じ(絵ヘタクソですスイマセン)
我が家のWi-Fiルータのデフォルトは「⑤WPA/WPA2 PreSharedKey 」でした。
そして私は、自分が使用しているデバイスが全部WPA2に対応しているか分からなかったので、
試しにWi-Fiルータの2.4GHz、5GHzの両方とも「④WPA2 PreSharedKey」に変更してみました。
結果、全てのデバイスが接続されたままだったため、
「④WPA2 PreSharedKey」で運用することとしました。
今後この認証モード設定を変えるタイミングとしては、
・新たに接続するデバイスがWPA2非対応だった場合
→「⑤WPA/WPA2 PreSharedKey」に変更
→「WPA2/WPA3 PreSharedKey」に変更
→「WPA3 PreSharedKey」に変更
タイトルは、「認証モードはできれば上位バージョンの only mode にせよ」
としましたが、↓こんな感じですかねぇ。
接続するデバイス | 認証モード (Wi-Fiルータ側) |
---|---|
全てWPA2対応 | WPA2 PreSharedKey |
WPA2対応と非対応が混在 | WPA/WPA2 PreSharedKey |
全てWPA3対応 | WPA3 PreSharedKey |
WPA3対応と非対応が混在 | 状況に応じてどちらか WPA/WPA2/WPA3 PreSharedKey WPA2/WPA3 PreSharedKey |
PSK(PreSharedKey = 事前共有鍵)は複雑で長い文字列にせよ - 家庭用Wi-Fiルータの設定について考えてみた③
ホーム Wi-Fiルータの設定に関する、3回目の記事となります。
自宅の Wi-Fiルータについて、何気なくデフォルト設定でインターネットに接続していることが多い気がします。
でも、、、
本当にデフォルトのままで良いのか!?
と疑問に感じたので、ちょっと考えてみました。
ちょっと調べてみたところ、意外といくつもの考えるべき項目があることが分かってきました。
今回はPSK(PreSharedKey = 事前共有鍵)のお話であり、
様々な場面で「パスワードは長くて複雑で使いまわさない」的なことをよく耳にすると思いますので、
似たような内容です。
【目的】
自宅のWi-Fiルーターに他人を接続させないこと
【手段】
下記設定を考え、最適な設定を考えてみる。
1.SSID名
2.SSIDブロードキャスト
(ステルスにするかどうか)
→3.PSK(PreSharedKey = 事前共有鍵)
4.認証モード
5.暗号化モード
6.MACアドレスフィルタリング
7.Wi-Fiルーター自体のIPアドレス
8.管理画面(設定画面)のログインID・パスワード
【結論】
PSKは複雑で長い文字列にする
【考えたこと】
Wi-Fiに接続するとき、接続するアクセスポイントのSSIDを選択したあと、
PSK(事前共有鍵)を入力します。
お使いの機器によって、「PSK」「パスフレーズ」「パスワード」など表現はバラバラですが
ここでは「PSK」とします。
そのPSKはWi-Fiルータに物理的に貼られているラベルに記載されていますので、
それをそのまま使用している人も多いかと思います。
最近のWi-Fiルータは、デフォルトのPSKでも複雑なものもありますが、
デフォルトのPSKは、大抵 Wi-Fiルータのラベルに記載されているので、
考えたくはありませんが、
・Wi-Fiルータを発送するプロバイダが控えている
・インターネット回線工事業者の担当者にメモられている
・家に招待した客人に見られる
等々のリスクが挙げられます。
また、 Wi-Fiパスワードをクラックしたり総当たりするような攻撃ツールも出回っています。
あらゆるリスクを低減させるためには、デフォルト設定を変更するに越したことはありません。
先ほど、最近のWi-FiルータのデフォルトのPSKが複雑なものもあることを記載しましたが、
我が家のWi-FiルータデフォルトPSKは、なんと8桁でした(゜Д゜)ミジカッ
私はインターネット導入時に、8桁から20桁の複雑なPSKに変更しました。
最初に機器を接続する時や、新しい機器を接続するときに多少手間ではありますが、
そんな頻繁にやる作業でもないので、長くて複雑な文字列にしました。
ということで、
PSKは複雑で長い文字列にする
ことをおすすめします。SSIDステルス機能は無効にせよ - 家庭用Wi-Fiルータの設定について考えてみた②
ホーム Wi-Fiルータの設定に関する、2回目の記事となります。
自宅の Wi-Fiルータについて、何気なくデフォルト設定でインターネットに接続していることが多い気がします。
でも、、、
本当にデフォルトのままで良いのか!?
と疑問に感じたので、ちょっと考えてみました。
ちょっと調べてみたところ、意外といくつもの考えるべき項目があることが分かってきました。
Wi-Fiルータは、自身のアクセスポイントを識別させるため、SSIDを無線の電波に乗せて発信しています。
パソコンやスマホ側で無線LANの設定を開くと、受信したSSIDの一覧が表示されます。
この仕組みが「SSIDブロードキャスト」であり、通常はこれがデフォルト設定です。
Wi-Fiルータの設定で、このSSIDを発信させない「SSIDステルス機能」というものがあります。
ステルス機能をONにすれば、パソコンやスマホ側で無線LAN設定画面を開いても、SSID一覧に表示されません。
まとめると↓こんな感じ(下手な絵でゴメンナサイ)
1回目の記事で、SSID名を他メーカーの規則にすることを書いたのですが、
そもそもSSID自身を隠してしまえばセキュリティが向上するのではないかと考えたため、
以下のように検討しました。
【目的】
自宅のWi-Fiルーターに他人を接続させないこと
【手段】
下記設定を考え、最適な設定を考えてみる。
1.SSID名
→2.SSIDブロードキャスト
(ステルスにするかどうか)
3.PSK(PreSharedKey = 事前共有鍵)
4.認証モード
5.暗号化モード
6.MACアドレスフィルタリング
7.Wi-Fiルーター自体のIPアドレス
8.管理画面(設定画面)のログインID・パスワード
【結論】
SSIDステルス機能は無効にする
【考えたこと】
Wi-Fiをタダ乗りしようとする攻撃者に対し、Wi-FiルータのSSIDステルス機能を有効にしておけば
見つからないのではないか。
どっちにしてもSSIDを隠せるのであれば隠した方がよく、デメリットなどないのではないか。
そもそも、パソコンやスマホはステルスSSIDにどうやって接続するのか。
それは、↓のようにSSID名を指定して、ステルスであることを設定します。
ちなみにこれを「動的スキャン」と言います。
通常のSSIDブロードキャストで接続するやり方は「静的スキャン」と言います。
いくらSSIDを隠しても、攻撃者がこの動的スキャンをやれば見つかってしまいます。
いや、その前にスマホはどうやってステルスの Wi-Fiルータに接続しにいくのだろうか。
先ほども書きましたが、スマホでステルスSSIDに接続するためには↑の画像のように、
ステルスであることを明示します。
通常の接続はSSIDブロードキャストを受信して、スマホでSSIDを選択するのに対し、
実は、ステルス SSIDに対してはスマホ側からSSIDを探しに行きます。
ということは、外出しているときも仕事に行っているときもステルスSSIDを探しているのです。
ステルスSSIDを探すということは、自宅Wi-FiルータのSSIDに関する情報を電波に乗せているということなので、
他者に知られるリスクがあるのです。
さらには、実際には誤差かもしれませんが、常にステルスSSIDを探すという処理が
スマホやバッテリーに負担をかけているような気もします。
設定 | メリット | デメリット |
---|---|---|
ステルスON | ・Wi-FiルータのSSIDをとりあえず隠せる (通攻撃者から見つかりにくい) |
・スマホ側は常にSSIDを探しにいく (探すSSID情報垂れ流し) ・スマホに負荷がかかるかもしれない |
ステルスOFF | ・スマホ側は受信したSSIDから選択するのみ | ・Wi-Fiルータ側はSSIDを垂れ流す |
結局のところ、メリットデメリットはトレードオフとなりますが
個人的には、ステルスをONにしたときの無線LANクライアント側のデメリットを考えると
SSIDステルス機能は無効にする
方が良いのかなぁと思った次第です!SSID名は他メーカーの命名規則を使用せよ - 家庭用Wi-Fiルータの設定について考えてみた①
自宅の Wi-Fiルータについて、何気なくデフォルト設定でインターネットに接続していることが多い気がします。
でも、、、
本当にデフォルトのままで良いのか!?
と疑問に感じたので、ちょっと考えてみました。
ちょっと調べてみたところ、意外といくつもの考えるべき項目があることが分かってきました。
【目的】
自宅のWi-Fiルーターに他人を接続させないこと
【手段】
下記設定を考え、最適な設定を考えてみる。
→1.SSID名
2.SSIDブロードキャスト
(ステルスにするかどうか)
3.PSK(PreSharedKey = 事前共有鍵)
4.認証モード
5.暗号化モード
6.MACアドレスフィルタリング
7.Wi-Fiルーター自体のIPアドレス
8.管理画面(設定画面)のログインID・パスワード
【結論】
【考えたこと】
Wi-FiルータのデフォルトのSSID名は、それだけでどこのメーカーの物か分かってしまうものが多い。
例 Buffalo-•••• → バッファロー
HG••••• → ファーウェイ
そのため、もし製品の脆弱性が発見された場合、攻撃者が街に流れているSSIDを基にメーカーを特定して、
その脆弱性を攻撃する、というリスクが考えられる。
もちろん、自宅のWi-Fi圏内に攻撃者が来ることが前提となり、その可能性は低いと思うが、
SSID名を変更するだけでこのリスクを低減できるのであれば変更した方が良いと考えた。
では、どんなSSID名にすれば良いか。
車の名前にしようか、動物の名前にしようか、、、
いや、待てよ、もし特徴あるSSID名にした場合、血の気が多い攻撃者だったらなんとか突破しようと挑戦するのではないだろうか。
そんなリスクまで考えて、他のメーカーのSSID名の特徴をパクれば良いのでは!! と名案が浮かんだ。
そう、木を隠すなら森の中、ということだ!
さっそく自宅からキャッチできるSSIDを確認してみると、、、、
と、「aterm」「Buffalo」が比較的多かった!
フリー Wi-Fiがあったけどここではあえて触れないでおこう(笑)
どれでも良かったし、特に理由はないけれど、SSID名を「aterm-******」に変更した。
これで仮にaterm製品の脆弱性があったとして、攻撃者が我が家の Wi-Fiに攻撃したとしても、
元々aterm製品ではないので突破できないだろう!
ということで、SSID名については、
他メーカーのSSID名の規則を使用する
設定がセキュリティ的に最適ではないでしょうか😁