最近、セキュリティ研究者が多くのD-Linkルーターにバックドアを発見し、ユーザー名やパスワードを知らなくても誰でもルーターにアクセスできるようにしました。これはルーターのセキュリティに関する最初の問題ではなく、最後の問題でもありません。
身を守るために、ルーターが安全に構成されていることを確認する必要があります。これは、Wi-Fi暗号化を有効にするだけではありません。 オープンWi-Fiネットワークをホストしていない 。
リモートアクセスを無効にする
ルーターはWebインターフェースを提供し、ブラウザーを介してルーターを構成できるようにします。ルーターはウェブサーバーを実行し、ルーターのローカルネットワークに接続しているときにこのウェブページを利用できるようにします。
ただし、ほとんどのルーターには、世界中のどこからでもこのWebインターフェイスにアクセスできる「リモートアクセス」機能があります。ユーザー名とパスワードを設定した場合でも、この脆弱性の影響を受けるD-Linkルーターを使用している場合は、資格情報がなくても誰でもログインできます。リモートアクセスを無効にしている場合は、ルーターにリモートアクセスして改ざんされないようにすることができます。
これを行うには、ルーターのWebインターフェイスを開き、「リモートアクセス」、「リモート管理」、または「リモート管理」機能を探します。無効になっていることを確認します。ほとんどのルーターではデフォルトで無効になっているはずですが、確認することをお勧めします。
ファームウェアを更新します
オペレーティングシステム、ウェブブラウザ、その他すべてのソフトウェアと同様に、ルーターソフトウェアは完璧ではありません。ルーターのファームウェア(基本的にはルーターで実行されているソフトウェア)にセキュリティ上の欠陥がある可能性があります。ルーターの製造元は、このようなセキュリティホールを修正するファームウェアの更新をリリースする場合がありますが、ほとんどのルーターのサポートはすぐに中止され、次のモデルに移行します。
残念ながら、ほとんどのルーターにはWindowsのような自動更新機能がなく、ウェブブラウザにはあります。ルーターの製造元のウェブサイトでファームウェアの更新を確認し、ルーターのウェブインターフェースから手動でインストールする必要があります。ルーターに利用可能な最新のファームウェアがインストールされていることを確認してください。
デフォルトのログイン資格情報を変更する
多くのルーターには、パスワード「admin」など、かなり明白なデフォルトのログイン資格情報があります。誰かが何らかの脆弱性を介して、またはWi-Fiネットワークにログオンするだけでルーターのウェブインターフェースにアクセスした場合、ログインしてルーターの設定を改ざんするのは簡単です。
これを回避するには、ルーターのパスワードを、攻撃者が簡単に推測できないデフォルト以外のパスワードに変更します。一部のルーターでは、ルーターへのログインに使用するユーザー名を変更することもできます。
Wi-Fiアクセスをロックダウンする
関連: 誤った安心感を持ってはいけません:Wi-Fiを保護するための5つの安全でない方法
誰かがあなたのWi-Fiネットワークにアクセスすると、ルーターを改ざんしようとする可能性があります。または、ローカルファイル共有をスヌープしたり、接続を使用してダウンロードした著作権で保護されたコンテンツを使用したりして、問題を引き起こす可能性があります。オープンWi-Fiネットワークの実行は危険な場合があります。
これを防ぐには、ルーターのWi-Fiが安全であることを確認してください。これは非常に簡単です。WPA2暗号化を使用するように設定し、適度に安全なパスフレーズを使用します。しないでください 弱いWEP暗号化を使用するか、「パスワード」のような明白なパスフレーズを設定します 。
UPnPを無効にする
コンシューマールーターには、さまざまなUPnPの欠陥が見つかりました。数千万のコンシューマールーターがインターネットからのUPnP要求に応答し、インターネット上の攻撃者がルーターをリモートで構成できるようにします。ブラウザのFlashアプレットは、UPnPを使用してポートを開き、コンピュータをより脆弱にする可能性があります。 UPnPはかなり安全ではありません さまざまな理由で。
UPnPベースの問題を回避するには、ルーターのWebインターフェイスを介してUPnPを無効にします。 BitTorrentクライアント、ゲームサーバー、通信プログラムなど、ポート転送が必要なソフトウェアを使用している場合 ルーターのポートを転送する必要があります UPnPに依存せずに。
ルーターの構成が完了したら、ルーターのWebインターフェイスからログアウトします。
一部のルーターでクロスサイトスクリプティング(XSS)の欠陥が見つかりました。このようなXSSの欠陥があるルーターは、悪意のあるWebページによって制御される可能性があり、ログイン中にWebページで設定を構成できます。ルーターがデフォルトのユーザー名とパスワードを使用している場合、悪意のあるWebページは簡単に使用できます。アクセスを取得します。
ルーターのパスワードを変更した場合でも、理論的には、ウェブサイトがログインしたセッションを使用してルーターにアクセスし、ルーターの設定を変更することは可能です。
これを防ぐには、ルーターの構成が完了したらルーターからログアウトします。それができない場合は、ブラウザのCookieをクリアすることをお勧めします。これはあまり偏執的なことではありませんが、ルーターを使い終わったらルーターからログアウトするのは、すばやく簡単に行えます。
ルーターのローカルIPアドレスを変更する
本当に妄想的な場合は、ルーターのローカルIPアドレスを変更できる可能性があります。たとえば、デフォルトのアドレスが192.168.0.1の場合、192.168.0.150に変更できます。ルーター自体が脆弱であり、Webブラウザー内のある種の悪意のあるスクリプトがクロスサイトスクリプティングの脆弱性を悪用して、ローカルIPアドレスで既知の脆弱なルーターにアクセスし、それらを改ざんしようとした場合、攻撃は失敗します。
この手順は完全に必要というわけではありません。特に、ローカルの攻撃者から保護されないためです。ネットワーク上に誰かがいたり、PCでソフトウェアが実行されていたりすると、ルーターのIPアドレスを特定して接続できるようになります。
サードパーティのファームウェアをインストールする
セキュリティについて本当に心配している場合は、 サードパーティのファームウェアをインストールする といった DD-WRT または OpenWRT 。これらの代替ファームウェアには、ルーターの製造元によって追加されたあいまいなバックドアはありません。
コンシューマールーターは、セキュリティ問題の完全な嵐になりつつあります。新しいセキュリティパッチで自動的に更新されることはなく、インターネットに直接接続され、メーカーはすぐにサポートを停止し、多くのコンシューマールーターは不良品でいっぱいのようです。 UPnPエクスプロイトと悪用しやすいバックドアにつながるコード。いくつかの基本的な予防策を講じることは賢明です。
画像クレジット: FlickrのNuscreen
