ログインなしでモデム/無線LANルーターを保護する方法は？

あなたの質問には実際には2つの異なる問題があります：

• ISPはパスワードなしでモデム/ルーターを提供し、
• ISPのWebサイトにあるお客様のページでは、ソースIPを唯一の認証として使用しています。

ISP提供のパスワードなしのモデム/ルーター

ISPボックスを保持するか、完全に置き換えるかによって、2つの可能性があります。

解決策1：ISPボックスを分離する

モデム/ルーターは信頼できない、自分のものではなくISPのネットワークの一部であると考え、この選択を想定してください。これは、ISPエンドユーザーライセンス契約（EULA）に完全に準拠しており、現在および将来のサービスまたはサービスアップグレードの恩恵を受けることができることを保証するため、私はこれをお勧めします。

さらに、それは優れた抽象化レイヤーを提供するため、ISPまたはテクノロジー（ADSL、ケーブル、ファイバー）の変更は、ISPボックスを交換して適切なIPに影響を与えるのと同じくらい簡単で、特に依存しない場合は、独自のネットワークに厳密に影響を与えませんISPのDNSサーバー。

これを実現するには、次のアクションを実行する必要があります。

• ISPボックスのWiFiを無効にし、WiFi機能が必要な場合は代わりに独自のWiFiルーターを使用します。
• ファイアウォール機能を備えたデバイス（上記のWiFiルーターや古いコンピューターなど）を、有線ネットワークとISPボックスの間に次のようなポリシーで配置します。
  • デフォルトでは、ISPのボックスIPとLAN間のすべての通信はあらゆる方向でブロックされます（ISPボックスはLANのコンピューターに接続する理由がありません。また、ISPボックスを経由してインターネットにアクセスするLANのコンピューターは通常、接続する理由がありません。ボックス自体）、
  • 上記のルールの1つの例外： OpenDNS または Google Public DNS などの代替DNSサーバーを使用している場合を除き、多くのISPがボックスにDNSサーバーを提供しています所有している！）LANコンピュータがドメイン（53 tcp/udp）ポートのISPボックスに接続できるようにすることもできます。
  • 必要なとき、必要なときだけ、LANのいずれかのコンピューターからISPボックスのHTTP（80 tcp）ポート（たとえば）へのアクセスを開くことができます。管理インターフェースにアクセスします。完了したら、このアクセスを無効にすることを忘れないでください。

これにより、基本的にISPボックスが分離され、単純なモデムの役割に委任されます。 ISPボックス（テレビなど）からいくつかの機能が必要な場合は、選択したポートで適切なLANデバイスからISPボックスへのアクセスを有効にできます（インターネットフォーラムで有効にするポートに関する情報が見つかります）。デフォルトで管理ポートを閉じたままにしてください（これらは通常HTTP-80、HTTPS-443、およびtelnet-23です。これを忘れないでください！）これらは危険なポートであるためです。

解決策2：ISPボックスをADSLモデムまたはブリッジモードのルーターに置き換える

良いことは、このソリューションはあなたのインターネット接続を最大限に制御できることです：

• インターネット接続のQoSを自分で処理し、ダウンロードに対する帯域幅消費アップロードの影響を軽減できます。
• ISPがVPI/VCIパラメータを使用して、インフラストラクチャ内のさまざまなネットワーク（インターネットアクセス、電話回線VoIP、テレビビデオストリーミング、メンテナンスの可能性など）にフローをルーティングすることを読みました。ブラックハットの観点からすると、モデムのVPI/VCIパラメータを手動で設定できるため、正規のISPのボックスを使用していた場合、通常はアクセスできない（おそらく安全性が低い）ISPのネットワークパーツを探索できます。

後者は、違法なことを勧めるのではなく、一部のISPが独自のボックスの使用をユーザーに課し、カスタムファームウェアを禁止する理由を理解させるためのものです。この点に関するISPの態度は大きく異なります。

• 一部のISPは、ユーザーが自分の行動から完全に解放され、ユーザーが提供したコンテンツをネットワークに接続することを公式に許可しています。彼らは、自分のボックスに対してのみサポートを提供することを発表しました。他のデバイスに対しては、使用する一般的なADSLパラメータを提供し、すべてを自分で構成するのはエンドユーザー次第です。これは、「トリプルプレイ」以前の時代には一般的でしたが、最近では悲しいことに（しかし、明らかに？）主要なISPが従う方法ではありません。
• 一部のISPは公式に独自のボックスの使用を義務付けていますが、技術的には何も制限していません。モデムに使用するパラメータはインターネットフォーラムで見つけることができ、機能します。ただし、モデムはインターネットアクセスのみを提供することに注意してください。通常、トリプルまたは4倍プレイのISPボックス（電話、テレビ）によって提供される他のすべてのサービスは、モデムでは利用できません。

• 一部のISPは、独自のボックスの使用を強く義務付けています。

  • まず、着信接続要求のMACアドレスをフィルタリングし、デバイスのMACがサブスクライバーに割り当てられたMACに対応していない場合は接続を拒否します（これの一般的な症状は、あるサブスクライバーのボックスが別のサブスクライバーの家に接続できないことです）。 。
  • 次に、ときどき、現在接続されているデバイスをスキャンして、準拠していないデバイスを検出します（このようなスキャンは、ボックスのファームウェアが最新かどうかをチェックするスクリプトに簡単にマージできると思いますが、接続できない場合でも警告なしに失敗することはありません）ボックスに）。

  準拠していないデバイスをISPネットワークに接続するためにMACチェックを故意にバイパスしたことが検出された場合、ISPはこれをEULAの違反と見なし、サブスクリプションに即時の条件を自由に置くことができます（ただし、このために刑務所に入ります...上記のブラックハットポイントに続いて内部のVoIPインフラストラクチャをさまよっていることを彼らが発見したことが判明しない限り、トラブルに備えてください...）。

ISPのWebサイトの顧客のページは、ソースIPを唯一の認証として使用します

おかしなことに、自宅でのインターネットアクセスのセキュリティは、昨年の研究における私の課題の1つであり、私は自分の目でそのような恐ろしい慣習を見ました。

誰かがあなたのWiFiにアクセスすると（家にアクセスできない見知らぬ人であるが、家の中の誰かがあなたのLANからもこれを行うことができる場合）、彼はあなたが電話したすべての番号を示す詳細な電話の請求書にアクセスできますメールボックスへのアクセス、およびISPが提供するその他のサービス（たとえば、電話のボイスメールへのWebアクセスを提供するもの）が無効になっているものをアクティブ化する可能性...さて、巨大なセキュリティは失敗し、幸いにもこのISPは最終的にこれをより伝統的で安全な認証システムに変更しました（あなたの場合、これはオプションだったようですが、私が分析した場合はそうではありませんでした...）。