家庭用無線LANの暗号化アルゴリズムとして最適なものは何でしょうか? 私は、ベストな答えはおそらく時間の経過とともに変化することを理解しており、新しい標準が登場したときに人々が最新の答えを提供できることを願っています。 今のところ、2015年初頭の時点での私の知識は、以下の通りです。
家庭用無線LANでWPA2より優れた暗号化規格はありますか、それともこれがベストでしょうか? それともこれがベストなのでしょうか?
もし、他の人が言うように、WPA-2が適切ではなく、これ以上のものが存在しないとしたら、それは良いアイデアのように思えるし、おそらく誰かがもっと良いものを開発するための良い金儲けの機会でさえあるのだろう
編集(2019年7月1日):について WPA3はWPA2よりも優れた選択肢となりました。
セキュリティの観点からは、間違った質問をしていると思います。しかし、それは完全に不完全なものです!もちろん、証明書/vpnなどを使用した強力な暗号化方法がありますが、これらはほとんどの人がセットアップするには難しすぎ、通常ビジネスのために予約されています。このため、WPA-2が基本的な質問に対する答えとして、'ベストであると仮定しましょう。しかし...おわかりのように、攻撃者が狙う弱点はたくさんあり、最終的にWPA2パスワードがバレてしまうので、以下のポイントに含めています。 このページにたどり着いた多くの人が、次のような答えを目にすることになると思います。
'Yeah just use good password and WPA2 encryption', which is bad. アドバイスをお願いします。あなたのWPA2ネットワークは、まだ完全に脆弱です。 will see:
- あなたができる主なことは、あなたの周りで最もハッキングされにくい人になることです。それが最大の抑止力です。もし、私があなたをハックしようと思っても、あなたが時間がかかりすぎるか、クラックするには高価すぎる場合、私は次の人を試すでしょう。このためには、ルーターの設定を少しいじくり回す必要があります。 2.2.私はあなたがWEPを使用することはありませんと仮定します。ユーチューブで10分も見れば、あなたのお母さんでも解読できます。 3.これはブルートフォース攻撃に非常に脆弱であり、あなたがとんでもなく複雑なパスワードでWPA2を使用している場合でも、数秒でハッキングすることができます WPSをオフに切り替えます。reaverやrevdk3、bullyのようなツールは、これらの作業を軽々とこなします。このような場合、ルーターが速度制限をサポートしていれば、少しばかり保護されますが、ルーターのピンに対するブルートフォース攻撃は防げません。より良い安全であることと、ちょうどWPSをオフに切り替えると、これらの攻撃に対して100%安全であること。 4.リモートアクセス、DMZ、UPNP、不要なポートフォワーディングをオフにします。 5.侵入検知システム、MACアドレスフィルタリング(自宅の訪問者が無線LANにアクセスしたい場合、設定が面倒)をオンにする(友人のデバイスをルーターに追加する必要があります)。MACアドレスフィルタリング (家の訪問者があなたの無線LANにアクセスしたい場合、設定が面倒です。) これは簡単にMACアドレスを偽造することでハックすることができ、あなたのMACを得ることもairodump-NGスキャンで簡単にできますが、それでも、これは攻撃者の速度を落とす、クライアント端末の近くにいなければなりません (携帯電話やホワイトリスト内のノートパソコン) それはいくつかのリモート攻撃に対してかなり効果的でしょう。 6.6.非常に長い、非人間的な、複雑なパスワードを持っている。あなたが今までにパスワードを解読しようとした場合、それはより複雑なパスワードを解読するために指数関数的に難しくなることを知っているだろう、予測しにくく、それがある長いです。もし、あなたのパスワードが少しでも単語や単語の集合に似ていたら(参照:マルコフ連鎖)、あなたはもうおしまいです。また、パスワードの末尾に数字や記号をつけるのもやめましょう。これらは、より多くのパスワードをカバーするために辞書を修正するルールを持つ辞書攻撃で簡単にハッキングされます。これは、辞書の各単語や単語を取り、人気のある構文や構造を追加します。例えば、次のようなパスワードがあります '大文字、小文字、いくつかの数字、そして記号。Cat111$、Cat222#など、クラッカーが望むものは何でも可能です。これらの辞書は巨大であり、いくつかはcrackstationで調査することができますし、単にMoxie Marlinspikes' cloudcrackr.comを見てみましょう。ここでの目標は、'計算高いことです'。このような場合、あなたは、超高速クラウドベースのクラッキングコンピュータを使用してクラックするためにあまりにも多くの費用がかかる場合、あなたはほとんど誰に対しても安全です だから理想的には、あなたのパスワードのために最大64文字を使用し、それはあなたが今まで見たことがある支離滅裂な大文字と小文字の落書きの最もめちゃくちゃ迷惑記号注入の作品のように見えるようにします。しかし、14文字程度なら安全でしょう。ここにはかなりのエントロピーがありますが、文字を追加するのは解読するよりもはるかに簡単です。 7.7. ルーターのデフォルトパスワードとSSIDを変更する** 誰もやらないことですが、誰もがやるべきことです。これは、文字通り最も愚かなことです。また、SSIDにルーターのモデル番号を入れたままにしないことです。
- ルーターのファームウェアをアップデートする。また、ルーターが古い場合は捨てて新しいものを買いましょう。ルーターがrouterpwn.com/のようなウェブサイトに載っている可能性があり、すでに戦いに負けている可能性があるからです。古いルーターはバグだらけで、簡単にサービス妨害され、ファイアウォールや侵入検知システムがなく、ブルートフォースWPSの速度制限などもないのが普通だからです。 9.邪悪な双子のハックについて学ぶ。これを防ぐ最も簡単な方法は、デバイスの自動接続を停止することです。しかし、これはまだあなたをひっかけるかもしれません。wiphishingとairbase-ngのようなソフトウェアに精通し、これらのアプリは、あなたのデバイスが攻撃者のクローンルータに接続すること、あなたのルータのサービス拒否は、彼らがあなたのトラフィックを傍受することができますあなたのルータをクローンします。彼らは通常、ここであなたからWPA2パスワードをフィッシングしようとするでしょう。この種のアプリに付属するデフォルトのフィッシングページは、通常、かなり古い外観ですが、巧妙な攻撃者は優れたランディングページを作成できるため、ルーターのウェブコンソールがどのようなものか、実際に知っていれば、こうした攻撃からより安全に身を守ることができます。簡単に言うと、もしあなたの 'router' がパスワードを入力するように要求したら、入力しないでください! あなたは、パスワードを作成するとき、192.168.0.1 または 10.1.1.1 ユーザーインターフェースに特にログインするときだけ尋ねられるでしょう、あなたはフィッシングされているので、それはゲームオーバーです'。この攻撃を防ぐために、あなたも人為的にあなたのルータの範囲を減らすことができます。アンテナを引き出し、その周りに小さなファラデーケージを作成し、あなたの最も理想的な無線LANの位置を指すように小さな領域を残している。または、攻撃者があきらめるまで、ちょうどあなたのラップトップまたはコンピュータにケーブルを使用しています。 10.ハンドシェイク攻撃はかなり人気があります, これは、攻撃者があなたのパスワードを使用してルータに接続されている誰にも非認証パケットを送信する場所です, その後、そのデバイス(例えばiPhone)が再接続しようとすると、それは '4 方法ハンドシェイク' let's デバイスとルータはあなたのWPA2パスワードを使って認証する.これは、ハッカーがポイント6でパスワード攻撃を使ってオフラインでクラックするために使用するものです。しかし、もしあなたが強力なパスワード(ポイント6に記載)を使用している場合、あなたはすでにこの攻撃を軽減しています。 11.11.ルーターベースの防御に焦点を当てましたが、実はもっと簡単に攻撃される方法があるんです。攻撃者はあなたが誰であるかを知っている場合、あなたは台無しにされます。ほんの少しのソーシャルエンジニアリングで、彼らはあなたのFacebookやEメールなどの連絡手段を見つけ出し、目に見えない悪意のあるコードの断片を挿入して、あなたのコンピュータ全体を乗っ取ることができます。よくある方法としては、迷惑メールを送ってきて、通常迷惑メールにするように、配信停止をクリックするまで送り続けるというものですが、このリンクはまさに最悪の行為であることを除けば、そのようなことはありません。このリンクはまさに最悪の行為です。メール内のリンクはクリックしないこと。もし、クリックしなければならないのなら、せめてリンクの先を確認してからにしましょう。 12.12. 誰かがあなたのデバイスにアクセスしたり、デバイスをラップトップに差し込んだり、差し込ませたりしたら、あなたはもうだめです。 USBスティック** 'usb rubber ducky'などは、あなたのコンピューターを危険にさらし、WPA2パスワードを比較的初心者ハッカーに明らかにすることができます。
一言で言えば、WPA2は現在最も安全な無線セキュリティ方式です。
WPA2-PersonalとWPA2-Enterpriseと呼ばれる2つの認証方式をサポートしています。前者は事前共有キー(PSK)を使用し、一般的にホームネットワークに最適とされているのに対し、後者は認証サーバーを必要とする802.1xを使用しています。
3 つ目の認証モードである Wi-Fi Protected Setup (WPS) は 脆弱性があることが知られており 、すべての無線ネットワークで無効にする必要があります。この認証モードが有効になっている場合(多くの場合、デフォルトで有効になっています)、関連する PIN は通常、数時間のうちに列挙することができます。
ホームネットワークで使用されているPSK認証は、オフラインでのブルートフォース攻撃に弱いという欠点があります。WPA/WPA2 のハンドシェイクをキャプチャすることができれば、ブルートフォース攻撃や辞書攻撃(ハッシュで行うようなもの)を行うことができます。しかし、一度ハンドシェイクをキャプチャすると、その周辺に留まる必要がないため、オフラインで数ヶ月間クラックできる可能性があります(非常に強い意志がある場合)!WPAハンドシェイクの生成は非常に遅いため、攻撃者はこれを難しくしています。
このようなPSK攻撃への対策として考えられるのは、以下のようなものです。
長くて複雑、かつ辞書の単語や一般的なフレーズに基づかない(理想的にはランダム)、クラックに非常に長い時間を要するような十分に強力なキーです。
鍵は一定期間ごとに変更され、変更される前に攻撃者が解読することはまず不可能である。
デフォルトのSSIDは使用しないでください。ワイヤレスネットワークの名前("name")を変更すると、虹のテーブルが役に立たなくなります。レインボーテーブルは多くの一般的な SSID 用にコンパイルされており、これらは PSK をクラックするのにかかる時間を大幅に短縮することができます。
しかし、RADIUSサーバーを設定し、それをサポートするルーターを使用する必要があるため、より複雑なプロセスとなります。[例][3]
*上記の推奨事項は、特にWPA2がクラックされる可能性を減らすことにのみ関連しています。このような場合、"Second "コマンドを使用して、"Second "コマンドを使用して、"Second "コマンドを使用して、"Second "コマンドを使用して、"Second "コマンドを使用するように設定する必要があります。
簡単に言うと、WPA2を使うことです。WPAでもある程度は許容できますが、WPA2が本当に望ましいです。WEPは使わないでください。WEPは何もしないよりはましですが(WEPは何もしないよりは悪いと言えますが、それはセキュリティが機能しているようにユーザに思わせてしまうからです。)
さらに重要なのは、強力なパスワード(非常にランダムという意味)を使用し、(例えば)"homewifi"のような一般的なSSIDを避けるようにしてください(一部の人々は、いくつかの一般的なSSID値について事前に計算したパスワードハッシュの大きなテーブルをまとめています。)通常のユーザーは、WiFiパスワードを一度だけ入力します。その後、パスワードはコンピューターやモバイルデバイスの内臓に保存されます。したがって、WiFiネットワークに長くて太くてランダムで記憶できないパスワードを設定しても、特に問題はありません。
隠しSSIDはセキュリティを向上させるものではありません(そう思い込んでいる人もいるようですが)。非表示のSSIDでは、ユーザーは一度も入力する必要がないので、ランダムに選ばれたSSIDを使用しても、何の影響もありません。
(上記すべてにおいて、quot;ランダムというのは、コイン/サイコロ/コンピュータで生成するという意味で、人間の肉付きの良い脳で生成するのではありません。)
WPA3を改良した新しいものを作る計画が進行中であることを私は知りません。WPA2は、WiFiの設計の制限の範囲内で、すでにかなり強力です。特に、WPA2は部外者からネットワークを保護するものですが、定期的に接続しているユーザーが互いにスパイできないことを意味するものでは_ありません。もし、さらに上を目指すのであれば、ユーザーマシンとゲートウェイの間でIPsecの使用を強制するなど、別のレイヤーを追加する必要があります。