SOHOルーターの侵入
誰かがSOHOルーターへの違法なアクセスをなんとか取得したという架空のシナリオ(消費者向けwifiモデルのいずれかがうまく機能します)では、裁判所に証拠を提示するために、これを検証するためにどのような手順を実行できますか?
これらのデバイスには多くのロギングが組み込まれていないようです。たとえそれらが組み込まれていても、改ざんされていないことをどのように示すことができますか?そのようなデバイスからどのような信頼できる証拠を得ることができますか?
ロギングが少ないからといって、ロギングがないわけではないことを指摘しておきます。ログがロールオーバーされる前に侵入を認識したと仮定すると、ログが有効になっている場合、私が使用したほとんどのコンシューマーグレードのSOHOルーターで侵入の証拠が見られると思います。イベントの比較的近くでログを分析することにより、DLink、Linksys、およびNetgearからのルーターへの侵入(およびDoS)の試みを検出することができました。
さらに、デプロイメントの保護を検討している場合、dd-wrtを実行すると、syslogdを介して非常に堅牢なロギングメカニズムが提供され、ログのオフロードがサポートされて永続的なレコードが提供され、ロールオーバーの問題が回避されます。
ただし、上記で指摘したように、これらのデバイスではデフォルトでロギングがオフになっていることが多く、その結果、その場合、それらから多くを得ることができないことがわかります。
明確にするために、あなたは消費者向けグレードについて質問していると思います家庭用ブロードバンドルーターワイヤレス内蔵(802.11a/b/g/n)でしょ?
箱から出して、これらのデバイスを使用してあらゆる種類の侵入を証明するのは非常に困難です。有効なユーザーを認証するものは何もないという事実以外に。合法ユーザーと違法ユーザーをどのように区別しますか?
改ざんの場合は、改ざんされた後のデバイスと比較するために、セットアップ時にデバイスと構成のスナップショットを用意する必要があります。