ネットワーク機器(主に無線LAN)のセキュリティについて考えて、設定を煮詰める。

最近はノートPCから有線LANの端子が消え、無線LANオンリーになっている機種が多数派を占めています。また、スマートフォンの普及により、自宅では無線LANを利用して通信することが普通となっています。

電波を用いてネットワークに接続が可能で、電波の届く限りどこでも作業が可能ですので便利ですが、便利なものには欠点があるのが自然の摂理です。

電波を用いる通信は基本的に危険と考えてください。あなたがアパート・マンションに住んでるとすると、隣人は常に通信を傍受していると考えると、通信の暗号化は必須です。

通信を暗号化するだけでなく、更に色々と考えてみます。

設定と考察

ネットワーク層やトランスポート層で暗号化してしまう。

最近のアクセスポイントはデフォルトでWPA2などのデータリンク層の暗号化が施されていますが、その暗号化が信頼できるかどうかは分かりません。もしも解除された場合に備えて、もともとの通信データ自体を暗号化しておきましょう。

Webサイトを見るときに用いられているHTTPSやさらにTorを用いたり、信頼できるVPNを利用すると安全でしょう。

今は無線LANの盗聴に関する話題ですので、5eyesとかの話はしません。

管理者パスワードを変更する

無線LANルータを買ってきて、そのまま利用するのは危険です。管理画面に入るためのパスワードが公開されています。

https://default-password.info/

ネットワーク内部に危険な人物がいるかも知れません。

管理者権限を取られてしまうと何もかもがダメになりますので、できるだけ長く、強固なパスワードを設定してください。

認証プロトコルの設定

WPA2が一般的ですが、古いAPを利用している場合はWEPという脆弱なモードが有効化されているかもしれません。WEPは数分で解読できますので、有効になっている場合は止めましょう。

ファームウェアのアップデート

無線LANルータは機能が限られているので、Windowsほどのアップデート頻度ではありませんが、大規模な脆弱性がたまに見つかります。メーカーが修正パッチを配布しますので、できるだけアップデートしてください。

ルータが古いとアップデートの対象から外れることがありますので、数年おきにルータは買い替えたほうが良いです。

私はNetGearの無線LANルータをAPモードで利用しています。ASUSやNetGearのルーターはファームウェアの自動アップデート機能があります。ただ、文鎮化してしまう危険性もありますので、悩ましいところです。。

DNSの暗号化

以前、DNS over HTTPSの記事を書きましたが、これをルータでできる機種は限られています。可能な場合はできるだけ設定しておいたほうが良いかと思います。

ルータで設定できなくても、端末上でやってしまえば問題ありません。

https://www.mimoex.net/doh-dnscrypt/

MACアドレスフィルタリングの設定

古いルーターにも新しいものにも、MACアドレスを用いたフィルタリング機能はついています。ネットワーク管理者が認知する端末のみ、ネットワークに接続できるようになるため、安全性が向上します。

ただ、端末側でMACアドレスを偽装することも容易ですので、過信してはいけませんが、攻撃者の手間が増えるためオススメです。

SSIDをルータと関係のない文字列にする

購入時のままのSSIDは、メーカー名や機種名などが設定されていることが多く、攻撃者が脆弱性を突いてくるかもしれません。

できるだけ関係のない文字列にすることによって、情報を撹乱することができます。

例えば、プリンターの名前にしたりすることによって、攻撃者は適切な手法を取ることが難しくなります。

また、SSIDを用いて位置検出も可能ですので、情報収集を拒否する方法として、SSIDの後ろに”_nomap”を追加することができます。

SSIDが”WiFi-5GHz”なら、”WiFi-5GHz_nomap”とする感じです。

SSIDを用いた位置検出を試して見たい場合は、GPS等が搭載されていないノートPCで次のページで試してみてください。

https://mimoex.net/geo

有線LANで接続したときと、無線LANで接続した時とを比べると面白いかもしれません。

SSIDを隠す

そこまでセキュリティが強くなる作業ではありません。WiFiアナライザ等のアプリを使えばバレます。

一般人にアクセスされたくないなどの要望には使えると思います。

WPSの無効化

APのボタンを数秒押して、端末と同期させるだけでWiFiの設定が完了するもので、パスワード打つ手間が省けますが、危険です。パスワードくらい打ってください。

攻撃者はAPに触ることができると、パスワードを解読せずともネットワークに侵入できてしまいます。

WPSはプロトコルに問題があるので無効にすることをオススメします。

https://www.computerworld.com/article/2476114/the-woops-of-wps–wi-fi-protected-setup–raises-its-ugly-head-again.html

ただ、最近の家電はWiFiを用いた通信で非常に便利な機能を提供してくれますが、WPSでの接続がほとんどな気がします。とりあえず、WPSで接続したら、すぐにOFFにするのがいいかと思います。

UPnPの無効化

アプリケーションが通信に必要とするポートを自動的に開放することのできる機能です。

万が一、マルウェアに感染してしまった場合にUPnPを用いてポートを開放され、データを無断で送信したり、受信されたりするでしょう。それを防ぐために無効化して、本当に必要なポートだけを手作業で開けましょう。

https://www.howtogeek.com/122487/htg-explains-is-upnp-a-security-risk/

ポートを開けない

自宅サーバなどを公開しない限り、ポートを開放する必要はないので、できるだけ開放しないようにしましょう。

ゲームでポート開放が必要な場合も、ポートが空いていることを忘れないように行動しましょう。

ゲストネットワークの有効化

最近のAPではゲストネットワークという機能があります。もしあなたが友人を自宅に招き入れ、WiFiを使わせる場合はゲストネットワークで接続させましょう。

自宅LANにファイルサーバなどがあればなおさらです。

簡易的なVLANを構築するため、メインのSSIDとゲストのSSIDは分離されています。

ローカルIPアドレスの変更

一般的なルータはDHCPが有効化されており、接続するだけで『192.168.1.100』などのIPアドレスが割り当てられると思います。

しかし、悪意のあるWebサイトではXSSを用いて、ルータの脆弱性を利用して攻撃を仕掛けて来ることがあります。(CSRF攻撃)

ルータのIPアドレスを『192.168.xxx.xxx』から別なIPアドレスに変更することによって防ぐことができます。

私が居た研究室では謎の『114.51.4.xxx』というIPアドレスが割り当てられた時期がありました。

SSHやTelnetが無効化されていることを確認する

SSHやTelnetは遠隔操作するためのものですが、一般的なネットワークには必要ありません。

日本メーカー製ではあまり見かけませんが、海外メーカー製のルータは有効化されていることがあったので、確認しましょう。

ルータによる応答を止める

ルータにはPingを拒否する機能があります。インターネットというものは危険で、常に誰かがルータの外まで来ています。

Pingが有効だと攻撃者は「このIPアドレスはコンピュータがあるな」と考え、攻撃してきます。Pingを無効化することによって応答しないようにすることができます。

送信電力を下げる

日本の家屋は狭いところが多いので、アパート・マンションではAPの送信電力を絞って、他の部屋や外から接続できないレベルまで落としましょう。

5GHz帯は障害物によって信号強度が減衰しやすいので、できるだけ5GHz帯で接続しましょう。

2.4GHz帯での接続機器がない場合は、電波を止めても良いでしょう。

まとめ

さらに、オープンソースのファームウェアであるDD-WRTをインストールするなどの手法もありますが、難易度が高いですし、とりあえずはかんたんにできることをまとめました。

エドワード・スノーデンさんは無線LANを使わず、すべての通信を有線LANで行っているそうです。スマートフォンもUSB-LAN変換を用いれば行けますが、一般人からすると利便性が低下してしまいますので、超上級者向けです。