web-dev-qa-db-ja.com

使用するのに最適なホームワイヤレスネットワーク暗号化アルゴリズムは何ですか?

使用するのに最適なホームワイヤレスネットワーク暗号化アルゴリズムは何ですか?最良の答えはおそらく時間とともに変化し、新しい標準が出てくるときに人々が更新された答えを提供できることを願っています。これまでのところ、2015年の初めに私の知識は次のとおりです。

  • WEP-恐ろしい/時代遅れですが、それでも何もないより少し良い(または以下で指摘されているように、誤った安心感を提供するため、何もないより悪い場合さえある)。
  • WPA-ある程度のセキュリティを提供しますが、おそらくWPA2を使用する方が良いでしょう。
  • WPA2特にAES暗号化を使用して)かなり良いですが、それでも完璧ではありません。それは私がホームネットワークのために私が知っている最高です。

ホームワイヤレスネットワークにWPA2より優れた暗号化標準を使用することはありますか、それとも最高の暗号化標準ですか?それが最高の場合、ハッキングは簡単ですか?

他の人がWPA-2が適切ではなく、それ以上のものが存在しないことを示しているので、それが真実である場合、それは良いアイデアであると思われます。

---(編集(2019年7月1日): WPA3はWPA2よりも優れたオプションになりました。

encryptionnetworkwirelesswpa2wep
43
Jonathan

セキュリティの観点から、私はあなたが間違った質問をしていると思います。 WPA2が基本的な答えです。しかし、それは完全に不完全です! より完全な回答では、WPA2をワイヤレスネットワーク防御の1つのコンポーネントと見なします。もちろん、証明書/ vpnなどを使用した強力な暗号化方法がありますが、これらはほとんどの人にとって設定が難しく、通常は企業。したがって、WPA-2が基本的な質問に対する「最良の」答えであると仮定しましょう。しかし...ご覧のとおり、攻撃者が狙う多くの弱点があり、最終的にWPA2パスワードが明らかになるため、以下のポイントに含めました。

多くの人がこのページにアクセスして、「いいパスワードとWPA2暗号化を使用する」という回答が表示されると思いますが、これは悪いアドバイスです。 ご覧のとおり、WPA2ネットワークは依然として完全に脆弱です:

  1. あなたができる主なことは、あなたの周りをハッキングする最も難しい人になることです。それが最大の抑止力です。私があなたをハックするつもりなら、あなたは時間がかかりすぎるか、高価すぎて解読できないの場合、次の人を試してみます。これには、ルーターの設定をいじる必要があります。

  2. 決してWEPを使用しないと思います。 YouTubeで10分、お母さんはそれを解読できます。

  3. WPSをオフにします。これはブルートフォース攻撃に対して非常に脆弱です数秒でハッキングされる可能性がありますWPA2を途方もなく複雑なパスワードで使用している場合でも。 reaverやrevdk3やいじめっ子などのツールは、これらの作業を簡単にします。ルーターがレート制限をサポートしている場合、少しだけ保護されますが、速度が低下しますが、ルーターのピンに対するブルートフォース攻撃を防ぐことはできません。安全性を高め、WPSをオフにして、これらの攻撃に対して100%安全にすることをお勧めします。

  4. リモートアクセスをオフにする、DMZ、UPNP、不要なポート転送

  5. オン、組み込みの侵入検知システム、MACアドレスフィルタリング(家への訪問者があなたのwifiへのアクセスを希望する場合に設定するのは面倒です(友達のデバイスを追加する必要があります)ルーターのMACホワイトリストにアクセスしてアクセスを有効にします)これはハッキングされる可能性があります MACアドレスを簡単に偽造することにより、airodump-ngスキャンを使用してMACを取得することも簡単ですが、それでも攻撃者を遅くします、クライアントデバイス(携帯電話、またはホワイトリストのラップトップ)の近くにいる必要があります。これは、一部のリモート攻撃に対してかなり効果的です。

  6. 非常に長く、人間ではない、複雑なパスワードを使用します。パスワードを解読しようとしたことがある場合、パスワードの解読が指数関数的に難しく、複雑で予測可能性が低く、長くなることがわかります。です。パスワードがリモートでWord、またはおそらく単語のセットである可能性があるもの(マルコフチェーンを参照)に似ている場合でも、これで完了です。また、パスワードの最後に数字を追加してから記号を追加する手間をかけないでください...これらは、辞書を変更してより多くのパスワードをカバーするように辞書を変更するルールを使用した辞書攻撃で簡単にハッキングされます。これにより、辞書内の1つまたは複数の単語が取得され、一般的な構文と構造が追加されます。たとえば、「大文字、小文字、数字、記号のようなパスワード」が追加されます。 Cat111 $、Cat222#、またはクラッカーが望むもの。これらの辞書は巨大であり、一部はクラックステーションで調査するか、Moxie Marlinspikesのcloudcrackr.comをご覧ください。 ここでの目標は「計算コストがかかる」ことです。超高速クラウドベースのクラッキングコンピューターを使用してクラッキングするのに費用がかかりすぎる場合は、ほとんどの人に対して安全です。理想的には、最大のパスワードは64文字で、これまでに見た中で最も混乱した煩わしいシンボルが注入された、一貫性のない大文字と小文字のドリブルのように見えます。ただし、14文字を入力しても安全だと思われます。ここにはかなりのエントロピーがありますが、復号化するよりも文字を追加する方がはるかに簡単です。

  7. ルーターのデフォルトパスワードとSSIDを変更。誰もこれをしませんが、誰もがすべきです。それは文字通り馬鹿げたことです。また、怠惰にならないでください。ルーターのモデル番号をSSIDに保持しないでください。問題が発生するだけです。

  8. ルーターのファームウェアを更新します。また、ルーターが古い場合は破棄してくださいそして、新しいルーターを購入します。これは、ルーターがrouterpwn.com/のようなWebサイトにあり、すでに戦いに負けている可能性が高いためです。古いルーターにはバグが多く、簡単にサービス拒否攻撃が可能です。通常、ファイアウォールや侵入検知システムはなく、通常、ブルートフォースWPSレート制限はありません。新しいものを入手してください。

  9. evil-twin hacksについて学ぶ。これを防ぐ最も簡単な方法は、デバイスの自動接続を停止することです。ただし、これでも問題が発生する場合があります。これらのアプリは、wiphishingやairbase-ngなどのソフトウェアに精通し、ルーターのクローンを作成してから、サービス拒否ルーターを使用して、デバイスを攻撃者のクローンルーターに接続させ、トラフィックを傍受できるようにします。彼らは通常、ここからあなたにWPA2パスワードをフィッシングしようとします。これらのタイプのアプリに付属しているデフォルトのフィッシングページは通常かなり古いものですが、高度な攻撃者が作成できるため、ルーターのWebコンソールの外観を実際に知っているであれば、これらの攻撃から安全です。良いランディングページ。簡単に言えば「ルーター」がパスワードの入力を求めている場合は、入力しないでください!パスワードを作成しているとき、特にログインしたときにのみ尋ねられます。ユーザーインターフェースが192.168.0.1または10.1.1.1の場合、フィッシングされてゲームオーバーになります。この攻撃を防ぐために、ルーターの範囲を人為的に狭めることもできます。アンテナを引き出し、その周りに小さなファラデーケージを作成して、最も理想的なWi-Fi位置を指す小さな領域を残します。または、攻撃者が諦めるまで、ラップトップまたはコンピューターにケーブルを接続するだけです。

  10. ハンドシェイク攻撃は非常に人気があります。これは、攻撃者がパスワードを使用してルーターに接続しているすべてのユーザーに認証解除パケットを送信し、そのデバイス(iPhoneなど)が再接続しようとすると、 '4デバイスとルーターにWPA2パスワードを使用して認証させる方法ハンドシェイク。これは、ハッカーがポイント6でパスワード攻撃を使用してオフラインでクラックするために使用するものです。ただし、strong password(ポイント6で説明)を使用した場合、この攻撃はすでに軽減されています。

  11. だから私はルーターベースの防御に焦点を合わせてきましたが、実際にはもっと簡単に攻撃される方法があります。攻撃者があなたが誰であるかを知っているなら、あなたはうんざりしています。 ソーシャルエンジニアリングのほんの少しで、彼らはあなたのFacebookやあなたの電子メールを見つけたり、目に見えない悪意のあるコードの悪意のあるスニペットを挿入したり、コンピューター全体をハイジャックしたりすることができます。コンピューターのwifi設定と、長い時間を費やしてきた超強力なパスワードを取得します。一般的な方法の1つは、迷惑メールを送信し、通常は迷惑メールの場合と同様に、[購読解除]をクリックするまで送信し続けることです。ただし、このリンクは最悪の場合です。メールの基本法則を破った。メール内のリンクをクリックしないでください。いずれかをクリックする必要がある場合は、少なくとも最初に移動する場所を確認してください。

  12. 誰かがあなたのデバイスのいずれかにアクセスできる場合、またはデバイスをラップトップに接続するようにプラグイン/取得した場合、あなたはもういません。 sb sticks 'usb rubber ducky'のようなものはコンピュータを危険にさらし、比較的初心者のハッカーにWPA2パスワードを漏らす可能性があります。

  13. あなたがワイヤレスキーボードを使用していて、攻撃している隣人の近くに住んでいるである場合、彼らはkeysweeperのようなものを使用してWi-Fiを危険にさらすことができます。これは、悪意のあるツイン攻撃で創造的に使用して、パスワードを入力する可能性を高めることができます(ワイヤレスキーボード信号をリッスンします)。 この攻撃を防ぐ方法は、ワイヤレスのMicrosoftキーボードを使用しないことです

他にもたくさんの方法があり、それらすべてを防ぐことはできません

but通常、ルーターがロックダウンされている場合、Niceパスワード、WPSオフ、WPA2オン、パスワード付きの強力な(新しい)ルーター、リモートWebアクセスなし、不要なポートが閉じられ、MACフィルタリングが使用され、ルーターでの侵入検知がオンになっていると、通常はかなり熱心な攻撃者も防ぐことができます。 もっと難しい方法を試さなければならず、おそらくあきらめるでしょう。

38
catsquid

簡単に言えば、WPA2は現在最も安全なワイヤレスセキュリティスキームです。

個人および企業

WPA2-PersonalおよびWPA2-Enterpriseと呼ばれる2つの主要な認証モードをサポートしています。前者は事前共有キー(PSK)を利用し、一般にホームネットワークに最も適していると考えられていますが、後者は認証サーバーを必要とする802.1xです。

WPS

認証の3番目のモードであるWi-Fi Protected Setup(WPS) 脆弱であることがわかっている であり、すべてのワイヤレスネットワークで無効にする必要があります。この認証モードが有効になっている場合(多くの場合、デフォルトです)、関連するPINは通常、数時間で列挙できます。

事前共有キー

PSK認証は、ホームネットワークで使用されるタイプであり、オフラインのブルートフォース攻撃に対して脆弱です。攻撃者がWPA/WPA2ハンドシェイクをキャプチャできる場合、攻撃者はブルートフォース攻撃や辞書攻撃(ハッシュを使用する場合と同様)を使用し、基本的に一致が見つかるまで多数の可能な値を通過します。幸い、WPAハンドシェイクの生成はかなり遅いため、攻撃者にとってこれは難しくなりますが、いったんハンドシェイクがキャプチャされると、近くに留まる必要がないため、数か月間離れてしまう可能性がありますオフラインでクラックする(非常に決心している場合)!

これらのPSK攻撃に対する潜在的な対策は次のとおりです。

  • 長くて複雑で、辞書の単語や一般的なフレーズ(理想的にはランダム)に基づいていない、十分に強力なキー。クラックに非常に長い時間がかかります。

  • 定期的に変更されるキー。攻撃者が変更前に解読できる可能性は低いです。

  • デフォルトのSSIDを使用しないでください。ワイヤレスネットワークの「名前」を変更すると、 Rainbow tables が役に立たなくなります。レインボーテーブルは多くの一般的なSSID用にコンパイルされており、PSKのクラックにかかる時間を大幅に短縮できます。

WPA2-Enterprise at Home

本当にセキュリティを意識しているなら、ホーム環境でWPA2-Enterpriseをセットアップすることは完全に可能ですが、RADIUSサーバーを構成し、それをサポートするルーターを使用する必要があります。はるかに複雑なプロセスです

上記の推奨事項は、WPA2が明確にクラックされる可能性を低減することにのみ関連しています。ワイヤレスネットワークでは、ルーターの構成のユーザー名とパスワードの変更、デバイスリストを監視するか、MACアドレスフィルタリングを使用するかなど、その他のさまざまな考慮事項を行う必要があります。

27
itscooper

短い答えは、WPA2を使用することです。 WPAはある程度許容できますが、WPA2は本当に優先されるはずです。not WEPを使用してください。WEPは、何よりも優れているわけではありません(おそらく、WEPは何よりも悪いです。それはユーザーにimpressionを提供するためです。

さらに重要なのは、強力なパスワード(つまり、非常にランダム)を使用し、「homewifi」などの「一般的なSSID」を避けてください(一部の人々は、いくつかの一般的なSSID値に対して事前に計算されたパスワードハッシュの大きなテーブルを作成しています。さらにランダムなパスワードを使用してその状況で攻撃者を倒しますが、珍しいSSIDを使用すると可能性が向上します)。通常のユーザーはWiFiパスワードを1回だけ入力することに注意してください。その後、パスワードはコンピューターまたはモバイルデバイスの内部に格納されます。したがって、WiFiネットワーク用に長く、太く、ランダムで、記憶できないパスワードを設定しても、実際には問題はありません。

非表示のSSIDはセキュリティを向上させません(一部の人々はセキュリティを向上させると確信しています)。非表示でないSSIDを使用すると、ユーザーは一度も入力する必要がないため、ランダムに選択されたSSIDを使用しても悪影響はありません。ランダムに選択されたSSIDは、上記の意味で「珍しい」可能性があります。

(上記のすべてにおいて、「ランダム」とは、「コイン/サイコロ/コンピューターで生成する」を意味しますnotあなたの人間の肉の脳で、後者は完全に無情のランダムさを生み出すことができません品質。)

新しく改善されたWPA3を作成するための進行中の計画については知りません。 WPA2は、WiFi設計の制限内ですでに非常に強力です-特に、WPA2は外部からネットワークを保護することを目的としていますが、notは、定期的に接続しているユーザーが互いにスパイできないことを意味します。さらに進める場合は、別のレイヤーを追加する必要があります。ユーザーマシンとゲートウェイの間でIPsecの使用を強制します。

10
Thomas Pornin