web-dev-qa-db-ja.com

wifiネットワークへの接続が許可されているコンピューターの名前を制限すると、セキュリティが確保されますか

MACアドレスフィルタリングはWi-Fiネットワークを保護するのに本質的に役に立たないという、ネットワーク攻撃ツールからは無難であるという別の場所での声明に応えて、Macアドレスとコンピューター名が必要な組み合わせ(例: "Dan-Laptop")を尋ねられました)機能します。

これが他の場所で推奨されているのを見たことがないので、答えはノーだと思います。しかし、WiFiプロトコルに精通していないため、どちらかを知ることができません。

短縮版

いいえ。必要なのはWPA2-AEScustom SSIDとstrongパスフレーズのみです。これはすべて、APとクライアントがPSK(事前共有キー)を使用している「ホーム」シナリオを想定しています。エンタープライズ設定には他にもいくつかの攻撃ベクトルがありますが、PSKの良い点の1つは、攻撃対象を大幅に簡略化できることです。 ほとんどの場合、攻撃者はキーを推測できるか、できないかを推測できます。

やや長いバージョン

まず、実際にコンピュータ名に基づいてフィルタリングするコンピュータ名フィルタリングを見たことがありません。あなたが見ているものは、MACフィルタリングを有効にするより消費者にやさしい方法であると確信しています。設定で「Dan-Laptop」を許可すると、APは「Dan-Laptop」のMACアドレスをACLに追加します。

お使いのルーターがMACアドレスとは独立して機能するホスト名フィルタリングを実装していても、答えは変わりません。 MACアドレスよりもスプーフィングが簡単なのはホスト名だけです。コンピュータ名を変更する機能は、基盤となるオペレーティングシステムの一部です。

暗号システムは、キー以外のシステムに関するすべてが公開知識であっても、安全でなければなりません。

クライアントのMACアドレスとホスト名は公開されています。 LAN上のシステムのIPアドレス割り当て(静的、または制限付きDHCP)は、一般に知られています。 SSID、チャネルの使用状況、周波数、さらにはAP無線の存在さえも公開されています。はい、いわゆる「隠し」SSIDもセキュリティ上の目的で機能しません。また、セキュリティ機能として意図されたものではありません。攻撃者がその情報をすべて知っていると想定します。公開されていないことが1つあります。それはPSK(パスフレーズ)であるため、セキュリティ全体は強力な暗号システム(WPA2)と推測できないパスフレーズに要約されます。

もっと何かを欲しがっているのは、セキュリティがいかに難しいか、そして防御を重ねるべきかという話に耳を傾けることに関連していると思います。多くの場合、すべての潜在的なリスクをモデル化することは難しいため、複雑なシナリオでは、複数の変数を使用する必要があります。ただし、この場合、認証は簡単で、リスクモデルは単純です。 WPA2-AESは現在「壊れていません」。つまり、攻撃者がパスフレーズを推測できるように、APのセキュリティ全体が低下します。彼らはあなたが失うことができる場合。それは本当にシンプルで、強力な暗号化が機能する方法です。攻撃者がシークレット(キー)以外のシステムに関するすべてを知っていても、システムは安全です。

23
Gerald Davis