wi-fiを保護するためのプログラム。 ルーターの脆弱性をテストするにはどうすればよいですか? VPNを使用してアクセスポイントに接続する
- ネットワークはパスワードで保護されています。
- 暗号化を無効にする。
ルーターの設定を開く
ルータのインターフェイスは、製造元、特定のモデル、およびファームウェアのバージョンによって異なります。 ルーターの設定をナビゲートするには、使用しているモデルのユーザーマニュアルを使用します。 原則として、ルータに接続されているか、デバイスメーカのWebサイトでダウンロードできます。
しかし、大部分のケースで安全であることを可能にするメカニズムがあります。 その後、既述のように、デフォルトで来るアクセスデータを変更する必要があります。 ルータのパスワードを更新したら、新しいパスワードを入力してすべてのデバイスからの接続を更新する必要があります。
SSID名の変換を無効にする
専門家によれば、この4桁の組み合わせは、接続が有効になっている場合に接続をより脆弱にするアクセスドアの1つです。 
このソフトウェアを使用すると、インターネットに接続されているすべてのユーザーとデバイスを表示でき、いくつかの手順でネットワーク上の侵入者をブロックし、接続を再開することはできません。
- ブラウザのアドレスバーにルータのIPアドレスを入力すると、ルータの設定の認証ページが表示されます。 ルータのIPアドレスは、デバイスの背面およびユーザーガイドに記載されています。
- ワイヤレスモード - \u003e (ワイヤレス - \u003eワイヤレス設定).
- フィールドで ネットワーク名 (ワイヤレスネットワーク名
- クリック 保存する (保存する).
強力なパスワードをコンパイルするための推奨事項。
このアプリケーションは、ルータとリピータで動作します。 アプリケーションは、見知らぬ人があなたのルータまたはリピータに接続されているかどうかを示します。 C インストールされたプログラム 近くのデバイス製造元を見つけるまでお待ちください。 ステップ分析するルータまたはリピータをクリックします。 表示されるウィンドウにユーザー名とパスワードを入力します。
あなたの電話で技術的なアドバイスやニュースを入手してください。 デバイスの数は、画面の右上隅に表示されます。 インターネットを使用している攻撃者であると判断した場合は、[ブロック]をクリックします。 ネットワーク上の攻撃者を特定した後、[ブロック]をクリックします。
ルータのインターフェイスは、製造元、特定のモデル、およびファームウェアのバージョンによって異なります。 ルーターの設定をナビゲートするには、使用しているモデルのユーザーマニュアルを使用します。 原則として、ルータに接続されているか、デバイスメーカのWebサイトでダウンロードできます。
パスワードを変更するには:
攻撃者のロックを解除するか、検出されたすべての問題のあるデバイスを確認し、青と白のメニューに戻ると、画面の右下にある黄色の円をクリックするステップ。 表示されるメニューで、「ステーションがロックされている」セクションに進みます。 接続されたデバイスを管理する方法。
詳細画面で、右側の矢印をクリックします。 ステップデバイス名をクリックし、希望する名前を指定します。 [完了]セクションでプロセスを確認します。 より多くのブラジル人の家庭に表示されている技術移転の発展に伴い、多くの人々はまだこのタイプをインストールするときに取られるべきである基本的なケアを知りません 無線ネットワーク.
- ブラウザのアドレスバーにルータのIPアドレスを入力すると、ルータの設定の認証ページが表示されます。 ルータのIPアドレスは、デバイスの背面およびユーザーガイドに記載されています。
- ログインページで、ログインとパスワードを入力します。 あなたがそれらを変更していない場合は、ルータの背面側にあります。
- ルータの設定ページで、 ワイヤレスモード - \u003e保護 ワイヤレスモード (ワイヤレス - \u003eワイヤレスセキュリティ).
- フィールドで PSKのパスワード (PSKパスワード
- クリック 保存する (保存する).
ワイヤレスネットワークをより安全にするためのヒントを一覧表示します。 無線信号を使用できる家庭で見つかったデバイスの数が増えています。 以下の安全のためのヒントは、これにより、個人情報を取り扱うために、ルータ上で悪意のある動作の侵入者を防ぐ、ワイヤレスネットワークの不正使用を防止するために設計された、またはユーザーがアクセスデータを盗むために使用されるサイトの偽のバージョンにアクセスするように設定されています。
暗号化を有効にする
ルータのインターフェイスは、製造元、特定のモデル、およびファームウェアのバージョンによって異なります。 ルーターの設定をナビゲートするには、使用しているモデルのユーザーマニュアルを使用します。 原則として、ルータに接続されているか、デバイスメーカのWebサイトでダウンロードできます。
いくつかの状況では、デフォルトで設定されているセキュリティ設定を持たない「トースト」インターネット・サービス・プロバイダーとして与えられているルータは、すべてのユーザーがパスワードを入力せずにネットワークに接続することができます。 ユーザーが独自のユニークなパスワードを持つように、これらの設定が有効になっていることを確認することが重要です。 設定にアクセスするには、インターネットブラウザにアドレスを入力する必要があります。 通常、アドレスはユーザーマニュアルで指定されています。 ご不明な点がある場合は、ISPのテクニカルサポートにお問い合わせください。
たとえば、設定を表示します tP-Linkルータ TL-WR841N。
- ブラウザのアドレスバーにルータのIPアドレスを入力すると、ルータの設定の認証ページが表示されます。 ルータのIPアドレスは、デバイスの背面およびユーザーガイドに記載されています。
- ログインページで、ログインとパスワードを入力します。 あなたがそれらを変更していない場合は、ルータの背面側にあります。
- ルータの設定ページで、 ワイヤレスモード - \u003eワイヤレスセキュリティ (ワイヤレス - \u003eワイヤレスセキュリティ).
- フィールドで バージョン (バージョン)、select WPA2-PSK.
- フィールドで 暗号化 (暗号化)、select AES.
- クリック 保存する (保存する).
既定のネットワーク名を変更します。 既定のワイヤレスネットワーク名を変更します。 パスワードなしで設定されたルーターは、しばしば最も適切でないネットワークの名前も持っています。 ネットワーク名は、ルーターのメーカーまたはモデルと同じである場合には、彼らはすでに市場に出回っているルーターのモデルの多様で見つかった脆弱性について知っているので、それは、侵入者または侵入するハッカーのための標準的な情報を提供します。
ネットワーク名を技術的な情報を伝えない名前に変更することを強くお勧めします。 興味深いのは、ネットワークを攻撃しようとしている人を何とか脅かすか混乱させる名前を使用することです。 それらにはリンクされたアドレスがあります。リンクされたアドレスは、人の指紋のように、それを一意に識別します。 ネットワークが隠れている場合は、攻撃するのがずっと難しくなります。 それについて考えて、ネットワーク広告を避けてください。 この方法の唯一の欠点は、新しいデバイスを接続するために手動でネットワーク名を入力する必要があることです。
WPSを無効にする
情報は有用でしたか?
一般的な記事:一般的な記事
たとえば、カフェで公共Wi-Fiに接続すると、データは平文で送信されます。 これは、あなたのパスワード、ログイン、連絡先、およびその他の機密情報が攻撃者に利用可能であることを意味します。 メールアドレス あなたのページ上の迷惑メールやデータを送信するために使用することができます ソーシャルネットワーク 変更することができます。
ルータを最新の状態に保ちます。 ファームウェアのアップデートは、重大なセキュリティエラーを修正するためにリリースされます。通常、アップデートにはほとんど時間がかかりません。 この手順では、使用中のルータモデルの脆弱性を認識している人による攻撃を防ぐことができます。
デフォルトのパスワードを変更して、ルータの設定にアクセスします。 ネットワークパスワードに加えて、ルーターの設定を変更できる新しいパスワードを定義する必要があります。 最新のコンピュータのほとんどはデフォルトのパスワードを要求していますが、一般的に知られており、より高度なセキュリティを示すものではありません。 ユーザーがこれらの設定にアクセスできる場合は、インターネットトラフィックをリダイレクトし、正当なサイトを偽のバージョンに置き換えるように変更することができます。
ホーム Wi-Fiネットワーク 次の場合にも脅かされる可能性があります。
- ネットワークはパスワードで保護されています。
- ネットワークには共通名があります。
- 暗号化を無効にする。
ルーターの設定を開く
ルータのインターフェイスは、製造元、特定のモデル、およびファームウェアのバージョンによって異なります。 ルーターの設定をナビゲートするには、使用しているモデルのユーザーマニュアルを使用します。 原則として、ルータに接続されているか、デバイスメーカのWebサイトでダウンロードできます。
基本的なヒントを知ったので、問題を避けるためにネットワークで使用してください。 他の誰かが同じ接続を使用するリスクは、表示速度の単純な低下よりも大きいことに注意してください。 私たちの家からは、接続が許可されている機器のみが使用できますが、多くの問題があります。 これらの行為はすべて犯罪です。正義の目的の唯一の原因はネットワークの所有者です。
デフォルト設定を避ける
このため、可能な限りルーターを保護するために、一連の手順を実行するのに数分を費やす価値があります。 ルータにはデフォルトの設定があり、各ネットワークには独自のパスワードがありますが、設定を変更してハッカーにとってはもう少し難しいものにするのが便利です。 ほとんどのルータにはデフォルト設定を変更する特別な指示があり、メーカーはますますシンプルな管理インターフェイスを作成しているので、ユーザーは狂っていません。
- ブラウザのアドレスバーにルータのIPアドレスを入力すると、ルータの設定の認証ページが表示されます。 ルータのIPアドレスは、デバイスの背面およびユーザーガイドに記載されています。
- ログインページで、ログインとパスワードを入力します。 それらはルータの背面に表示されます。
ルータにアクセスするための強力なパスワード
一般的に、標準のログインとパスワードを使用してルータの設定にアクセスします。 攻撃者は、ルータのログインとパスワードを、製造元のWebサイトからデバイスのユーザーズマニュアルをダウンロードすることで見つけることができます。
MACアドレスフィルタを設定する
しかし、コンピュータに熟練していない場合は、ワイヤレスネットワークのインストール中に設定を変更するか、ルーターを提供していた通信事業者に連絡してこのプロセスを手助けするよう技術者に依頼することができます。 ワイヤレスネットワークのパスワードを変更するだけでなく、ルーター自体へのアクセスを保護することも重要です。 この意味で、Kaspersky LabのセキュリティアナリストDaniel Kreusは、「ルータの管理と管理サービスを無効にして、ネットワークの外部からアクセスできないようにする」ことを提案しています。
これを防ぐには、ルータのパスワードを変更します。 強力なパスワードのコンパイルには推奨事項を使用してください。
Wi-Fiネットワークの一意の名前(SSID)を設計する
多くの場合、レインボーテーブルはパスワードを解読するために使用されます。 人気のあるSSIDのために以前に作成されたレインボーテーブルには、数百万の可能なパスワードが格納されています。 SSIDとパスワードがこのようなテーブルにある場合、攻撃者は特別なプログラムを使用してネットワークに即座にパスワードを復元できます。
複雑なファイアウォールとパスワード
これは、最終的な分析では、デフォルトですべてのデバイス設定パラメータを変更します。 パスワードの場合、この変更は、ネットワークのセキュリティを向上させるだけでなく、友人や家族の招待状を簡単にすることができます。 インターネットのあらゆる側面を完全に把握しており、この仕事を手助けできない会社があれば、もちろんあります。 カリフォルニアの会社は公式ブログにいくつかのヒントを追加しています。これは設定に入るときにあなた自身のルータでファイアウォールを有効にすることの重要性を強調しています。
自宅のワイヤレスネットワークのセキュリティを向上させるには、共通のSSIDを考えます。
ルータのインターフェイスは、製造元、特定のモデル、およびファームウェアのバージョンによって異なります。 ルーターの設定をナビゲートするには、使用しているモデルのユーザーマニュアルを使用します。 原則として、ルータに接続されているか、デバイスメーカのWebサイトでダウンロードできます。
同社はまた、ワイヤレスネットワークのためのパスワードは、複雑なようでなければならないことに注意:数値とアルファベットの組み合わせは、大文字と小文字では避けるべきであると私たちは、ネットワーク上の他のサービスに使用するのと同じパスワードを使用しないでください。
より長い障害のためのルータの無効化
それを目に見えないものにする方が良いです。 しかし、ワイヤレスネットワークを他の人の手から守る方法があれば、ルータを無効にすることです。
ネットワークに接続されたコンピュータの管理
ハッキングされたネットワークの最初の警告兆候の1つは、 隣人やストリートの誰かがネットワークにアクセスし、ダウンロードしたグループのかなりの部分を占めている可能性があります。 それは無料です モバイルアプリ ルータに接続し、このポイントに接続されているすべてのコンピュータを示します。たとえば、TP-Link TL-WR841Nルータの構成を示します。 パスワードを変更するには:
- ブラウザのアドレスバーにルータのIPアドレスを入力すると、ルータの設定の認証ページが表示されます。 ルータのIPアドレスは、デバイスの背面およびユーザーガイドに記載されています。
- ログインページで、ログインとパスワードを入力します。 あなたがそれらを変更していない場合は、ルータの背面側にあります。
- ルータの設定ページで、 ワイヤレスモード - \u003eワイヤレス設定 (ワイヤレス - \u003eワイヤレス設定).
- フィールドで ネットワーク名 (ワイヤレスネットワーク名)が表示され、Wi-Fiネットワークの名前を入力します。
- クリック 保存する (保存する).
Wi-Fiネットワーク用の強力なパスワードを作成する
パスワードがなければ、あなたのWi-Fiネットワークに誰もがアクセスできます。 強力なパスワードでは、他の人がパスワードを使用することはできません。 強力なパスワードのコンパイルには推奨事項を使用してください。
「機器」を使用してネットワークを保護する
最初のスキャンでは、それらを特定することができます。わからないことがあれば、これはネットワークへの望ましくないアクセスの可能性を明確に示します。 パスワードと設定の編集に夢中になりたくない場合は、家庭内のワイヤレスネットワークを保護し、接続されているすべてのデバイスが既知であり、リモート攻撃が行われていないことを常に確認するデバイスを使用できます。 デバイスはまた、私たちの習慣について学び、潜在的な危険をより効果的に警告します。
ルータのインターフェイスは、製造元、特定のモデル、およびファームウェアのバージョンによって異なります。 ルーターの設定をナビゲートするには、使用しているモデルのユーザーマニュアルを使用します。 原則として、ルータに接続されているか、デバイスメーカのWebサイトでダウンロードできます。
たとえば、TP-Link TL-WR841Nルータの構成を示します。 パスワードを変更するには:
プライベートへのアクセス ワイヤレス接続 インターネットユーザー間でパスワードを共有することによってのみ可能です。 ただし、未知のデバイスが保護されていないエンドポイントに接続されていることは偶然ではなく、正当なネットワークユーザーには問題が発生する可能性があります。
泥棒を欺くアプリケーションを使用する
このレッスンでは、インターネットが盗まれたかどうかを調べる方法を学習します。 電話の選択を公開する方法だけでなく、ネットワークを保護する方法についても学びます。 信号品質を測定するプログラムとの接続速度を確認してください。 スマートデバイスをすべて切断しても点滅を主張すると、不正なユーザーがネットワークに接続されている可能性があります。 診断は、またはで設計されたサービスを通じて実行できます。
- ブラウザのアドレスバーにルータのIPアドレスを入力すると、ルータの設定の認証ページが表示されます。 ルータのIPアドレスは、デバイスの背面およびユーザーガイドに記載されています。
- ログインページで、ログインとパスワードを入力します。 あなたがそれらを変更していない場合は、ルータの背面側にあります。
- ルータの設定ページで、 ワイヤレスモード - \u003eワイヤレスセキュリティ (ワイヤレス - \u003eワイヤレスセキュリティ).
- フィールドで PSKのパスワード (PSKパスワード)が立ち上がり、Wi-Fiネットワークのパスワードを入力します。
- クリック 保存する (保存する).
Wi-Fiネットワークを不可視にする
ルータの設定で、ネットワーク名を非表示にします。 その結果、使用可能なワイヤレスネットワークのリストにWi-Fiネットワークが表示されなくなります。 特別なことなしに検出する ソフトウェア 不可能です。
暗号化を有効にする
暗号化が弱いネットワーク上で作業する場合、データは侵入者によって傍受される可能性があります。 あなたが接続している場合 ホームネットワーク 弱い暗号化に関するメッセージを受信すると、暗号化タイプをより信頼性の高いものに変更します。 一般的なタイプのワイヤレスネットワーク暗号化:
それらの主な違いは保護のレベルです。 WEPは他人に信頼性をもたらしますが、古い機器ではサポートされます。 WPA2は最も信頼性が高いです。
ルータのインターフェイスは、製造元、特定のモデル、およびファームウェアのバージョンによって異なります。 ルーターの設定をナビゲートするには、使用しているモデルのユーザーマニュアルを使用します。 原則として、ルータに接続されているか、デバイスメーカのWebサイトでダウンロードできます。
たとえば、TP-Link TL-WR841Nルータの構成を示します。
ワイヤレスネットワークの暗号化のタイプを変更するには:
- ブラウザのアドレスバーにルータのIPアドレスを入力すると、ルータの設定の認証ページが表示されます。 ルータのIPアドレスは、デバイスの背面およびユーザーガイドに記載されています。
- ログインページで、ログインとパスワードを入力します。 あなたがそれらを変更していない場合は、ルータの背面側にあります。
- ルータの設定ページで、 ワイヤレスモード - \u003eワイヤレスセキュリティ (ワイヤレス - \u003eワイヤレスセキュリティ).
- フィールドで バージョン (バージョン)、select WPA2-PSK.
- フィールドで 暗号化 (暗号化)、select AES.
- クリック 保存する (保存する).
ワイヤレスセキュリティ
ワイヤレスネットワークは、あらゆる規模の企業で広く使用されています。 低価格と容易な展開のため、ワイヤレスネットワークは中小企業の有線ネットワークよりも優先されます。 大規模な施設では、ワイヤレスネットワークは、職場や休憩室の従業員のビジネス通信に必要なネットワーク接続を提供します。
ワイヤレスネットワークを利用するには、それらを保護する必要があります。 保護されていないワイヤレスネットワークがハッカー、多くの場合のみ、インターネットへの無料アクセスを取得する傾向がある他の侵入者のための企業ネットワークへのほぼ無制限のアクセスを提供しています。 大規模な施設では、不正なワイヤレスネットワークが時々あります - ワーキンググループやエンドユーザーのメンバーは、多くの場合、企業ポリシーを無視して、アクセスポイント(アクセスポイント、AP)を設定し、それが企業に大きな危険をもたらします。 経験豊富なスパマーや詐欺師は、大量メール送信のための無担保ワイヤレスネットワークを使用しています 電子メール。 彼らは、有効なIPアドレス、DNS、およびデフォルトゲートウェイの情報であり、その後、彼らのメッセージを送信し、脆弱な無線ネットワークの検索では都市や工業地帯をドライブし、見つけたときに、DHCPを介してネットワークに接続するために、自分のノートパソコンをセットアップします。 このようNetStumblerなど、これらの製品のユーザー、または内蔵の機器は、ほとんどのノートPCやPDAで利用可能な無線ネットワークを制御し、おそらく彼らの住宅地で、近く、または自分の会社の内部で保護されていないワイヤレスネットワークを検出しなければなりませんでした。
保護されていないネットワークの所有者は、 スループット でも、インターネット接続やウイルスやワームの侵入、および第三者に対する攻撃のための安全でないネットワークの使用のための刑事や民事責任を負担します。 この記事では、ワイヤレスネットワークを保護するために撮影することができます実用的な手順、自動展開オプション、および不正なワイヤレスネットワークを分析し、保護されていないためのツールの方法に焦点を当てています。
ワイヤレスネットワークの基礎
ワイヤレスネットワークを保護する前に、組織の基本原則を理解する必要があります。 通常、ワイヤレスネットワークは、アクセスノードとワイヤレスアダプタを備えたクライアントで構成されます。 アクセスノードおよび無線アダプタには、相互にデータを交換するためのトランシーバが装備されています。 各APとワイヤレスアダプタには、機能的にはイーサネットアドレスと同等の48ビットMACアドレスが割り当てられています。 アクセスノードは、無線および有線ネットワークを接続し、無線クライアントが有線ネットワークにアクセスできるようにします。 ピアツーピアネットワークにおける無線クライアント間の接続は、APなしでも可能ですが、この方法はほとんどの機関で使用されています。 各無線ネットワークは、管理者が割り当てたSSID(Service Set Identifier)によって識別されます。 無線クライアントは、アクセスノードのSSIDを認識すると、APと通信できます。 ワイヤレスネットワークにSSIDが1つ含まれている複数のアクセスポイント(および同じ認証および暗号化パラメータ)がある場合は、モバイルワイヤレスクライアント間で切り替えることができます。
最も一般的な無線規格は、802.11とその高度なバージョンです。 802.11仕様は、最大2Mb / sの速度で動作するネットワークの特性を規定している。 高度なバージョンでは、より高速が提供されます。 最初の802.11bは広く配布されていますが、すぐに802.11g標準に置き換えられます。 ワイヤレス802.11bネットワークは2.4GHz帯域で動作し、最大11Mbpsのデータ転送速度を提供します。 改良版802.11aは802.11bよりも早く批准されましたが、後で市場に出現しました。 この規格のデバイスは、5.8GHz帯域で54Mbpsの標準速度で動作しますが、一部のベンダーはターボモードで最高108Mbpsの高速化を実現しています。 第3の高度なバージョンである802.11gは802.11bのような2.4GHz帯で動作し、標準の54Mbpsの速度とより高い(最大108Mbps)のターボモードで動作します。 ほとんどの802.11gワイヤレスネットワークは、802.11g標準の下位互換性のために802.11bクライアントで動作することができますが、実際の互換性はベンダー固有の実装に依存します。 最新の無線機器の大部分は、2つ以上のバージョンの802.11をサポートしています。 WiMAXと呼ばれる新しいワイヤレス規格802.16は、携帯電話のようなステーションを介して企業や住宅にワイヤレスアクセスを提供する特定の目的のために設計されています。 この技術はこの記事では考慮されていません。
実際のAPの通信範囲は、802.11バージョンおよび装置の動作周波数、製造元、電源、アンテナ、外壁および内壁、およびネットワークトポロジー機能を含む多くの要因によって異なります。 しかしながら、高い利得を有する指向性の高いアンテナを備えた無線アダプタは、条件に応じて、約1マイル半までのかなりの距離でAPおよび無線ネットワークとの通信を提供することができる。
無線スペクトルの一般的に利用可能な性質のため、有線ネットワークには存在しない独自のセキュリティ問題が発生する。 たとえば、有線ネットワーク上のメッセージを盗聴するには、デバイスなどのネットワークコンポーネントに物理的にアクセスする必要があります ローカルエリアネットワーク、スイッチ、ルーター、ファイアウォール、またはホストコンピューターのいずれかです。 無線ネットワークの場合、従来の周波数スキャナのような受信機のみが必要である。 ワイヤレスネットワークのオープン性のため、標準の開発者はWired Equivalent Privacy(WEP)仕様を作成しましたが、その使用をオプションにしました。 WEPは、無線クライアントと情報交換を行うアクセスポイントに知られている公開鍵を使用します。 この鍵は、認証と暗号化の両方に使用できます。 WEPはRC4暗号化アルゴリズムを使用します。 64ビットのキーは、ユーザーが定義した40ビットと24ビットの初期化ベクトルで構成されています。 ワイヤレスネットワークのセキュリティを向上させるために、一部の機器メーカは、128ビット以上のWEPキーを備えた高度なアルゴリズムを開発しました。これには、104ビット以上のユーザパートと初期化ベクトルが含まれます。 WEPは、802.11a、802.11b、802.11g互換のハードウェアで使用されます。 ただし、キーの長さが増加にもかかわらず、WEPの弱点(例えば、弱い認証メカニズムと暗号解読の方法を明らかにすることができます暗号化キー)が十分に文書化され、そして今日は、WEPアルゴリズムは、信頼性が考慮されません。
アップルコンピュータ、シスコシステムズ、デル、IBMやMicrosoftなど、200人の以上のメンバー、とWEPの業界団体のWi-Fi Allianceの欠点に応答して、それは、Wi-Fiの保護アクセス(WPA)標準を開発することにしました。 WPA起因TKIP(一時的なキー統合プロトコル)プロトコル802.1X及びEAP(拡張認証プロトコル)に基づいて、安全な認証メカニズムを添加するWEPよりも優れています。 WPAは、802.11標準への拡張としてIEEE委員会に承認のために提出できる作業標準になると考えられました。 拡張機能802.11iは2004年に批准され、WEPとTKIPの代わりにAdvanced Encryption Standard(AES)との互換性のためにWPAがWPA2にアップグレードされました。 WPA2は下位互換性があり、WPAと組み合わせて使用できます。 WPAは、RADIUS認証基盤(リモート認証ダイヤルインユーザーサービス - ダイヤルアップ回線上のユーザのリモート認証)で企業ネットワークのために設計されていますが、WPA事前共有鍵(WPAPSK)と呼ばれるWPAのバージョンは、いくつかのメーカーの支援を受け、使用する準備ができています 小企業で WEPと同様に、WPAPSKは共有キーで動作しますが、WPAPSKはWEPより信頼性が高くなります。
それらの多くは802.1xについて間違った考えを持っています。 この規格は、APワイヤレスネットワーク内の有線スイッチおよびアクセスノードのポートへのアクセスを制御するために使用されます。 802.1x認証方式が指定されていない(たとえば、あなたがX.509またはKerberos仕様のバージョン3を使用することができます)どのような暗号化機構や必須要件は、データを暗号化しないように。
安全への3つのステップ
ワイヤレスネットワークを保護するための3つのメカニズムがあります。同じを使用するようにクライアントとAPを設定します(デフォルトで選択されていない)SSIDは、AP通信はクライアントのみ、MAC-アドレスがAPに知られていることができ、かつAPと暗号化トラフィックを認証するためのクライアントを設定します。 SSIDで動作するように構成されたほとんどのAPは、許可されたクライアントのMAC-アドレスと認証と暗号化(または無認証と暗号化)のためのよく知られた公開鍵のリストを維持せずに、デフォルトで選択されます。 通常、これらのパラメータは、製造元のWebサイトのオンラインヘルプシステムに記載されています。 これらのパラメータに、経験の浅いユーザーは、ワイヤレスネットワークを作成し、それを作業を開始するが、同時に彼らはそれが簡単にハッカーが難なくネットワークに侵入するために作ることができます。 大多数のアクセスノードがSSIDをブロードキャストするように設定されているため、状況が悪化します。 したがって、攻撃者は標準のSSIDを使用して脆弱なネットワークを見つけることができます。
セキュアなワイヤレスネットワークへの最初のステップは、デフォルトのアクセスポイントSSIDを変更することです。 さらに、APとの通信を提供するためにクライアント上でこのパラメータを変更する必要があります。 権限のない人が傍受した他のSSIDの中でこの無線ネットワークを明示的に特定するのではなく、管理者と企業のユーザーにとって意味のあるSSIDを割り当てると便利です。
次のステップは、可能であれば、アクセスノードによるSSIDのブロードキャストをブロックすることである。 その結果、攻撃者は、(この可能性は残るものの)無線ネットワークとSSIDの存在を検出することがより困難になります。 一部のAPでは、SSIDブロードキャストをキャンセルできません。 そのような場合、ブロードキャスト間隔を最大にする必要があります。 さらに、SSIDがアクセスノードによってブロードキャストされている場合にのみ、一部のクライアントが通信することができます。 したがって、特定の状況に適したモードを選択するためにこのパラメータを試すことが必要な場合があります。
その後、既知のMACアドレスを持つワイヤレスクライアントからのみアクセスノードにアクセスできます。 大規模な組織では、このような方法はほとんど適切ではありませんが、少数の無線顧客を持つ小規模な企業では、これは信頼性の高い追加の防衛線です。 クラッカーは、エンタープライズAPへの接続が許可されているMACアドレスを見つけ、自分のワイヤレスアダプタのMACアドレスを許可されたものに置き換える必要があります(一部のアダプタモデルでは、MACアドレスを変更できます)。
認証と暗号化設定の選択は、ワイヤレスネットワークを保護するための最も複雑な操作になります。 パラメータを割り当てる前に、アクセスノードのインベントリを実行する必要があります。 ワイヤレスアダプタ特に無線ネットワークが既に異なるベンダのさまざまな機器を使用して編成されている場合は、サポートするセキュリティプロトコルをインストールする必要があります。 いくつかのデバイス、特に古いAPとワイヤレスアダプタは、長めのWPA、WPA2、またはWEPキーと互換性がありません。
記憶される必要があるもう1つの状況は、キーを表す16進数の古いデバイスをユーザーが入力する必要がある一方、他の古いAPおよびワイヤレスアダプタでは、キーに変換されたパスフレーズを入力する必要があります。 その結果、すべての機器で1つの鍵を使用することは困難です。 そのような機器の所有者は、WEP Key Generator()などのリソースを使用して、ランダムWEPキーを生成し、パスワード句を16進数に変換することができます。
一般的に、WEPは非常に必要な場合にのみ使用してください。 WEPが必要な場合は、最大長キーを選択し、共有の代わりにネットワークを開くように設定する必要があります。 ネットワーク上のOpenモードでは、クライアント認証は実行されず、誰でもアクセスノードに接続できます。 これらの準備化合物は部分的に 無線チャネル APに接続を確立した攻撃者は、WEP暗号化キーを知らないため、データ交換を続行できません。 既知のMACアドレスからの接続だけを受け入れるようにAPを設定することによって、予備接続さえもブロックできます。 Openとは異なり、Sharedモードでは、アクセスノードは、 wEPキー 要求応答手順で無線クライアントを認証し、攻撃者はシーケンスを解読してWEP暗号鍵を決定することができます。
WPAを適用できる場合は、WPA、WPA2、WPA-PSKのいずれかを選択する必要があります。 一方ではWPAまたはWPA2、もう一方ではWPA-PSKを選択する際の主な要因は、WPAおよびWPA2がユーザーを認証するために必要なインフラストラクチャを展開できることです。 WPAとWPA2では、RADIUSサーバーと場合によっては公開キーインフラストラクチャ(PKI)を展開する必要があります。 WPA-PSKはWEPのように、ワイヤレスクライアントとAPに知られている公開鍵で動作します。 WPA-PSKはWEPの欠如(認証手順の解読によって暗号鍵を学習する能力)を持たないため、認証と暗号化に公開鍵WPA-PSKを安全に使用できます。
当然のことながら、異なるベンダーのアクセスノードは、独自のユーザーインターフェースと構成方法を使用するため、単一のリストを提供することは不可能です 詳細な手順 すべてのデバイスに対して しかし、上記の情報は、アクセスポイントを設定するときに役立ちます。
Windowsクライアントの設定
Windows Server 2003とWindows XPでは、ワイヤレスネットワーク、特にWEPを使用するネットワークでクライアントを簡単に設定できるようになりました。 マイクロソフトはXPでWireless Zero Configurationサービスを組織し、Windows 2003でWireless Configurationサービスと命名しました。このサービスはワイヤレスアダプタを監視し、アクセスポイントからSSIDブロードキャストを受信します。 既知のSSIDブロードキャストを受信し、設定するのに十分な情報がある場合、Windowsはネットワークに自動的に接続します(接続するように設定されている場合)。 サービス ワイヤレス設定 インストールされているワイヤレスアダプタに関係なく、ワイヤレスネットワーク設定を構成するための標準ダイアログボックスが表示されます。 残念ながら、このサービスはすべてのワイヤレスアダプタでは機能しません。 特定のカードで動作しない場合は、ロックして、ドライバとネットワークアダプタに付属のセットアップツールキットを使用する必要があります。
構成サービスを使用するには、コントロールパネルの[ネットワーク接続]ユーティリティを開き、[ 右クリック ワイヤレスアダプタアイコンをマウスでクリックし、[プロパティ]を選択して[ワイヤレスネットワーク]タブに移動します。 Windowsを使用してワイヤレスネットワーク設定を有効にしていることを確認し、[追加]ボタンをクリックしてワイヤレスネットワークを設定する必要があります。 図1は、ワイヤレスネットワーク設定を入力するためのダイアログボックスを示しています。 次に、接続するワイヤレスネットワークのSSIDを入力し、ネットワーク認証の方法を選択します。 [開く]または[共有]を選択した場合は、[データ暗号化]フィールドでWEPまたは無効のいずれかの値を指定できます。 WPAまたはWPA-PSKを選択した場合は、TKIPまたはAES暗号化アルゴリズムを適用できます。
| 画面1. XPでのワイヤレス設定の構成 |
認証または暗号化にWPAまたはWPA-PSKを使用する場合は、認証キーまたは暗号化キーを入力できます(NetworkキーフィールドおよびConfirm Networkキーフィールドを有効にするには、キーを自動的に解除する必要があります)。 複数のキーがある場合は、キー番号またはインデックスを選択します。 一部のアクセスノードとワイヤレスアダプタでは、最大4つのキーを格納して使用して柔軟性を高めることができます。 たとえば、毎週月曜日の朝にリストからキーを手動で選択して、キーを毎週変更することができます。
不正アクセスポイントの検出
上記のように、誤ったアクセスポイントは企業に大きな脅威を与える可能性があります。 しかし、APのインストールの利点と単純さのために(特にデフォルト設定を使用する場合)、誰かがエンタープライズネットワークにアクセスノードをある時点でインストールする可能性が非常に高いです。
不正アクセスノードを見つけることは困難ですが、信頼性の高い保護のために必要です。 Windows 2003には、ワイヤレスネットワークモニターと呼ばれる新しいMicrosoft管理コンソール(MMC)コンソールスナップインがあります。このスナップインにより、ネットワーククライアントの活動を記録し、アクセスポイントを特定できます。 ただし、Windows 2003をMMCスナップだけのためにラップトップにインストールすることは、不便で、高価で、必要ではありません。 ワイヤレスアダプタを内蔵したほとんどのラップトップやPDAには、不正なAPを検索するためのツールが用意されています。
ラップトップまたはPDAは、工具なしで供給される、または(アンテナ及び双方向コンパスと組み合わせた全地球測位システムは、不正APの位置を三角測量することによって計算することができ)、GPSなどの高度な機能を必要とする場合、好ましいものはNetStumblerなどの工具を含まなくてもよいです。 このアドレスには、Windows 2000以降のバージョンとWindows CEベースのデバイスの2つのバージョン、MiniStumblerがあります。 図2は、実行中のNetStumblerを示しています。 ラップトップデル NetStumblerと互換性のある多くのワイヤレスアダプターの1つであるXP Service Pack 2(SP2)とDell TrueMobile 1400というパッケージを使用しています。
NetStumblerを使用すると、ラップトップでプログラムを実行し、ラップトップで企業の領域を通過するだけで、不正なAPを検出できます。 検出されたアクセスノードが画面に表示されます。 このようにして、アクセスノードのMACアドレス、聴取チャネル、暗号化、およびプロバイダに関する情報を取得できます。 さらに、NetStumblerは無線信号の信号対雑音比を表示します。 数値が大きいほど、APとの距離は小さくなります。
不正アクセスポイントを検出するには、企業内の合法的にインストールされた各APのMACアドレスとSSIDを調べる必要があります。 アクセスノードを展開するときは、MACアドレス、SSID、および場所を記録する必要があります。 NetStumblerをトラバースする際には、SSIDが不明でMACアドレスが不明なアクセスノードを探す必要があります。 違法なデバイスを検出したら、その位置を記録し、次に異なる方向に進み、SNRインジケータが増加する方向に注意する必要があります。 あなたがこの方法を続ける場合は、遅かれ早かれ、それはAPを発見されたか、少なくとも将来的にはより良い研究にその場所のおおよその面積を概説しました。 APは床または天井に置くことができます。
経験豊かなハッカーが、ネットワーク上にある同じSSIDを持つAPをインストールできることに注意することは重要です。 許可されていないAPに接続すると、ユーザは次のようなネットワークリソースにアクセスしようとします。 メールサーバー Web上でホストされているアプリケーションなどです。 彼らはAPのクラッカーを介してリソースにアクセスすることはできませんが、それが判明している限り、彼らは自分のパスワードと名前を明らかにすることができます。 サポートスタッフは、不正なアクセスポイントを示す可能性のあるワイヤレスネットワークの問題に関連するコールを追跡し、ユーザーにその旨を報告するように指示する必要があります。 受信信号では、NetStumblerまたは他のツールを使用して調査を行い、そのエリア内のすべてのAPのMACアドレスを調べて、インストールの合法性を検証する必要があります。
あらゆる規模の企業や在宅ユーザーのワイヤレスセキュリティの詳細については、Joseph Davisの優れた本「Microsoft Windowsでのセキュア802.11ワイヤレスネットワークの展開」(Microsoft Press、2003年発行)を参照してください。 住所については、書籍に関する情報や購入方法、さらに追加資料へのリンクを見つけることができます。 優れたオンラインリソース。 このページは、MicrosoftのWebサイトのWindows 2003セクションにありますが、XPの情報へのリンクもあります。
