web-dev-qa-db-ja.com

MACアドレスフィルタリングはWi-Fiルーターで有効ですか?

自宅のWi-Fiのセキュリティを向上させたい。近所の人がくるみ割り人形で私のWi-Fiパスワードを解読したいと考えています。

MACアドレスによる保護を有効にしようとしましたが、私のラップトップとスマートフォンはボックスにアクセスできません。 MACアドレスフィルタリングは有効ですか?

Wi-Fiを他にどのように保護できますか?

4
Belin

MACアドレスフィルタリングは、非常に弱い形式のwifi保護です。

  • デバイスのMACアドレスは、wiresharkなどのツールを使用して簡単に盗聴できます。
  • デバイスのMACアドレスは簡単に変更できます(OSに依存しますが、通常はネットワーク設定のオプションです)。

  • MACアドレスフィルタリングは維持するのが面倒です。新しいデバイスが接続するたびにルーター構成にログインし、新しいデバイスの設定でMACアドレスを見つけ、ランダムに見える12桁の16進数(または接続試行のログからコピー)を入力し、さらに新しいデバイスの新しい強力なwifiパスワード。

Wi-Fiを保護するには、WPA(Wifi Protected Setup)を無効にして強力なパスフレーズ(例:6-8ランダムワード)でWPA2を使用していることを確認してください( WPSが壊れている )。また、ルーターに既知の backdoors がないことも確認してください。

強力な高エントロピーパスワードは非常に重要です。 Wi-Fiパスワードは、ハンドシェイクをキャプチャした後、1秒あたり数百万から数十億のパスワードを試行する速度で オフライン攻撃 で解読される可能性があります。ただし、10000 = 10の辞書からランダムに取得された8単語4 言葉、10があることを意味します32 攻撃者が試行する必要があるパスワード(攻撃者がパスワードを選択する方法を知っていると仮定すると、これを知らない場合、レートは低下します)。 100万台のコンピューターを搭載したコンピューターの1秒あたり10億のパスワードの割合で、8つのランダムなWordパスワードを解読するのに10億年以上かかります。 (よく知られている引用/フレーズを選択すると、8ワード長であってもはるかに弱くなることに注意してください。)ランダムな6ワードのパスフレーズは、1024 (たとえば、100万台のコンピューターが1秒あたり10億のパスフレーズを実行する場合、壊れるのに31年しかかかりません)。 4ワードのパスフレーズは1016 したがって、1秒間に10億回のパスフレーズを実行する1台のコンピュータでは、1か月から2か月で解読されます。 3ワードのパスフレーズは、1台のコンピューターで20分未満で破られる可能性があります。

ランダム文字ルートを選択した場合、大文字+小文字+数字からランダムに文字を選択した場合、3ワードのパスフレーズは約7文字のパスワードに等しく、4ワードのパスフレーズは約9に等しいことに注意してください。文字のパスワード、6ワードのパスフレーズは13文字のパスワードにほぼ等しく、8ワードのパスフレーズは18文字のパスワードにほぼ等しい。

22
dr jimbob

MACアドレスは簡単にスプーフィングされる可能性があるため、MAC保護はそれほど保護されていません。ワイヤレスを使用してネットワークに接続し、AirMon-NGなどのツールを使用してスニッフィングするとすぐにネットワークSSID(Service Set Identifier)ブロードキャストを非表示にしても、パッシブであるAP(アクセスポイント)のSSID名を取得します。握手を攻撃する。より積極的なアプローチは、認証解除パックを送信することです。そのため、再認証する必要があり、ルーターを危険にさらすことができます。

ただし、長いパスワードを持つルーターにワイヤレスをめったに接続しない場合、ルーターをブルート/辞書攻撃しようとすると、彼の仕事はかなり難しくなります。

やりたいことのリスト:

  1. LinuxGuts69のような強力なパスワードを推奨。
  2. MACフィルター(電話とその他のデバイスをホワイトリストに追加するだけです)。
  3. ワイヤレスクライアントをネットワークから分離します。
  4. LinuxGuts69のようにSSIDを非表示にします。
  5. ネットワークに接続されているデバイスの数を制限します。最大3台のデバイスを接続していて、ハッカーが4番目に接続しようとすると、接続するスペースがなくなります。これにより、成功したかどうかがわかります。
  6. ルーターで正常な接続ログを有効にします。
  7. 常にx時間に作業している場合は、時間ベースのネットワークアクセスを有効にしてから、x時間にブロードキャストしないようにルーターをスケジュールします。
  8. デフォルトの管理者パスワードを変更する
  9. デバイスの自動接続を無効にします。必要なときだけ接続してください。ハンドシェイクの潜在的な攻撃を減らします。
5
Paul

いくつかの考え...

  • 指摘したように、MACまたはSSIDに基づくセキュリティは、専用の攻撃者に対してはほとんど役に立ちません。 WEP暗号化も役に立ちません。
  • ルーターがサポートする最高のセキュリティメカニズムを使用してください。 WPA2は良いです。 WPAは、TKIPまたはEAPと組み合わせて使用​​する場合は問題ありません。提供されている最も長い暗号化キーを使用してください。
  • 許可されている最長のPSKを使用してください(通常は63文字)。これにより、ブルートフォース攻撃が阻止されます。 WLANに多くのアドホック追加がない限り、キーはランダムなシーケンスである必要があります。 FWIW ... "LinuxGuts69"はひどいまともなクラッカーがすぐに見つけるパスワードです(2つの辞書の単語+ "69"は、特定のパターンの種類です)。
  • ワイヤレスAPが「キーの再ネゴシエーション間隔」の変更をサポートしているかどうかを確認します。 300秒などの小さい値に変更します。これにより、APとクライアントは新しいセッションキーを計算する必要があり、1つのセッションキーで大量の暗号化データを収集することに依存する攻撃を無効にします。小さすぎるとパフォーマンスに影響を与えます。
  • WLANを使用する小さなエリアがある場合は、AP無線の送信電力を減らします。信号を受信できない場合、ハックすることはできません。同様に、APがそれをサポートしている場合、指向性アンテナを取得して、悪意のある人からほとんどすべての信号を放射する可能性があります。
  • 悪者のMACを見つけることができる場合は、Aircrack-ngなどを使用して、分離したパケットを送信し、APから繰り返し追い出すことができます。彼が好意を返し、あなたをキックオフできることにも注意してください。
  • 悪意のある人が802.11B/Gまたは2.4GHzのみの11N WLANカードしか持っていない場合、802.11Aまたは5GHz 11Nに移動すると、彼はあなたに見えません。また、WLANが機能するチャネルを、スペクトルの一方または他方の端に変更することもできます。彼が特に精通しておらず、彼が持っているギアに依存している場合、それは彼があなたに信号を受け取るのを難しくする可能性があります。

おそらく他にもできることがいくつかありますが、複雑さはかなり速くなります。

0
KJ Seefried

-また、小さなmd5passアプリケーションを使用して、より壊れやすく、より複雑で強力なパスワードを作成できます。このパスワードを使用して、ネットワークをより適切に保護できます。次に例を示します。

   md5pass keyword bit 

  -Would be something like:

   md5pass inviolable 4096

           $1$4096$NBmqXsDvKsMuHCXHMXAJK.

 -Since -> $1$4096$NBmqXsDvKsMuHCXHMXAJK.

(これは、生成されたキーをパスワードとして使用できるように、Wordの違反できないmd5passを使用して生成された結果です)。

これは、主にパスワードを生成したキーワードを別の場所に保存し、それを所有する人だけが使用できるように強力かつ適切に準備されたキーを使用できるため、ルーター、ワイヤレスルーターのユーザーグループにパスワードを設定するのに非常に役立ちます。 、ここの近所にいる私を信じてください。よく練られたパスワードを解読するのが非常に簡単なパスワードを備えたワイヤレスルーターがたくさんあるからといって、侵入から100%安全であるというわけではありませんが、攻撃者が仕事を妨害していると信じています。これにより、ワイヤレスルーターのWEP、WAP、またはWAP2のいずれかのシステムでパスワードのように使用できます。

0
Joke Sr. OK