ルータのセキュリティ対策??
家庭用ルータ脆弱性が問題となっており、対策が必要みたいな記事がありました。下記参照
https://wired.jp/2019/05/06/router-wifi-security-settings/?fbclid=IwAR1RQl5KKzce5Q5pnaggtYX6p4lRZR_bHIFjyl0FdKRTOHuahWL9w43blh4
ネットワークに侵入されて、情報を抜き取られたり、踏み台にされるのは分かったんだけど、いったいどのルータが大丈夫で、どのルータが危ないとか明確な基準がわかりません。
ルータに対するアンチウィルスソフトみたいなものがあるのでしょうか?
皆さんはルータ対策はなされていますか?
どんなセキュリティ対策でしょうか?
教えて下さい!
15 件のコメント
コメントするには、ログインまたはメンバー登録(無料)が必要です。
ルーターの設定画面に入り、バージョンアップすれば良いものが多いのですが、アップデートが提供されていないものもあるようです。
暗号化がwep(だったかな)は使用厳禁です。
WPA2といったものを利用する必要があります。
大雑把にはこんなところですかね〜
論外…
・管理者デフォルトパスワードの変更
・デフォルトSSIDの変更、事前共有キーの変更、ステルス化
・ゲスト用SSIDの無効化
・MACアドレス制限
・使わないサービスの無効化(SSHやメディアサーバー機能、インターネットゾーンのWEBサービス等)
後は使用しているルーター機種や機能に応じた設定変更をする感じです。
変えるわけにはいかないので対策は個別機器のアップデートに留まってます
うちのルーター何年前のだったかなぁ?
RTAC68Uというやつです。
発売日:2013年11月16日みたいなのでやばいですかね?
WPA2も破られたとか聞きますが、大丈夫なんでしょうか。
ふみえもんさん
さすがにパスワードなしはないですよね…
YUddrerさん
以下は対策済です。
・管理者デフォルトパスワードの変更
・デフォルトSSIDの変更、事前共有キーの変更、ステルス化
・ゲスト用SSIDの無効化
MACアドレスのステルス化は昔の機器だと接続できないので対応できてないです。
使わないサービスの無効化は一部はしてあるけど、NASは使ってるので有効です。webサービスとかは「?」な感じです。
pmakerさん
ルータは特に対策なしでしょうか?
その点が少し不安になってきました。
※まだ config作りきれていないので、PPPoEセッションはひかり電話
ルータなどに任せている状態。
実際のルータ機能は既に業務機(現在は Allied-Telesis AR-3050S)を介しているので、そこで Full Packet Inspection状態にしています。基本は素通しですけど、Blacklistedで通過阻止を行うようにして。
※Cisco C841Mの config(フレッツ+NURO光のダブルホーム)がまだ完成
してないのでそっちは置き去りというか、もう1台 C841M入手して
VRRP組まないと意味がないので。まあ「逸般の誤家庭」ですので。:)
モデム内蔵ルータは貸出品なので大した対策も取れませんね
元記事はクラック対応の話ですが、プロバイダにおまかせするしか無い状況です
アクセスポイント(ブリッジ接続)は、WPA2でパスワード変更までですね
NECなんで日本ローカルな分セキュリティホール探しにはちょっと有利かな
ご近所にスーパークラッカーが居ないことを祈る程度でしょうか(^^)
主目的はVPNサーバーの利用です。
デメリットとして、スマホで自宅電話回線を用いた受発信ができない事です。
セキュリティ的にも細かい設定ができるので、向上しているのではないかと思います。
ipv6ちゅうのもセキュリティには強いんちゃいます?
>>RTAC68Uというやつです。https://www.asus.com/jp/Networking/RTAC68U/HelpDesk_BIOS/
ちゃんと定期的に更新がリリースされてるじゃないですか。
新しいファームウェア更新しました?
> WPA2も破られたとか聞きますが、大丈夫なんでしょうか。
まあ、簡易的には「通信できなくしてしまう」方法としてセグメントをうまく調整してしまう方法もありますけどね。
※ただしルータ側の通過設定を作る(configを書く)のが面倒ですけど。
(特定 IPなり MACに対しての通過設定で configテーブルに全ての情報を
書かないとならんので)
ご家庭用のルータ機器は意外と /18とか /27などの微妙なセグメントって設定できないので、そこを考慮して DHCP無効化しておくとそれなりに通信許可は設定できますけどね。
※DHCPプロトコルを理解していれば、IPレベルでの通信に何が必要
なのかはすぐ判るので。
それ以上のセキュリティ向上を考えるなら、現状では IEEE802.1x認証
がまだマシ、という位ですけど、それを自宅で用意するのは面倒です。
シスコのルータみたいな業務用ルータをお使いでしょうか
難しくて理解できません^^;
pmakerさん
外部からのアクセスはプロバイダ任せになっちゃいますよね。
WPA2に暗号化は変えているので、一応は大丈夫なんですかね。
うどん屋の釜さん
eoのルータは外部アクセスを遮断しちゃってるのですね。
ipv6はセキュリティに強いというか、ipアドレスの枯渇問題対策以外に何かあるのでしょうか。
amiyyさん
ルータの更新情報ありがとうございます。
最新のものに変更しておきました。
ルータの更新ってお知らせが来ないので、対応が遅れがちです。
だいぶ前の機種なので期待してませんでしたが、いまだに対応しているとは驚きました。
結局、貸出ルータがクラックされたら、なりすまし被害は防げませんからねぇ
ブリッジ化しても経路にあるからどうしようも無いです
WPA2のクラックはユーザーが接続するのをキャプチャして解析だと記憶してるので、ご近所に居座ってまで乗っ取りは犯罪者のリスクが高いからあまりないかと判断してます
対策するなら、ラズパイみたいなので、11xとかに対応するとかかな
androidは対応してた筈
--
インターネットの安全・安心ハンドブックVer.4.00(平成31年1月18日)
https://www.nisc.go.jp/security-site/handbook/index.html
のpp.64-68 を参照。
加えて、以下の設定も要検討、てな感じですかね。
<Internet側から>
・ICMPエコーリクエスト(PING)に応答しないようにする。
・管理画面にloginできないようにする(内部側からは可とする)
<内部ネットワーク側から>
・暗号化は、WPA2-PSK(AES)を利用し、PSKは20桁以上にする。
・管理画面に無線LANからloginできないようにする。
> シスコのルータみたいな業務用ルータをお使いでしょうか
> 難しくて理解できません^^;
いえいえ、大丈夫ですよ。私の場合は「お勉強も兼ねて」なので.....。
pmakerさんもコメントされていますが、事業者側の貸出製品だとある程度管理基準を事業者側で持っていますし、セキュリティ的に脆弱性が確認されると何らかの回避策、または修正対応を行うので、基本は「神経質になる必要もあまりない」というレベルです。
逆に無線 LAN(Wi-Fi)については「出力を上げすぎると混信する」とか色々あるので、出力を絞って「他へ漏れない様に対策する」のが比較的安全性を確保出来ると考えています。
それでも不正に侵入されたらNGなんですけど、その時点で「住居不法侵入とか色々と犯罪になる」ので.....。:)