web-dev-qa-db-ja.com

ルーターのバックドアから保護する方法は?

最近、無線ルーターを探し始めました。特定の製品を検討する前に、そのようなルーターを提供するさまざまなブランドに関する一般的な情報を調べました。残念なことに、ルーターメーカーの大多数が自社製品にバックドアが発見された歴史があることを知りました。

この新たに発見された知識に基づいて、バックドアを備えたルーターを回避することは実際には実現可能ではないかもしれません。ルーターを慎重に選択する代わりに(またはそれに加えて)、最終的にバックドアを備えた製品を入手する可能性に直面する必要があります。 。次に、ルーター機器に潜む潜在的なバックドアに関連するリスクをどのようにして軽減できるのでしょうか。

それは私が心配している政府機関ではありませんが、- この最近の質問 のように、ネットワーク機器に見られるセキュリティの脆弱性を悪用するハッカーです。そして、基本的にバックドアは誰かが発見して悪用することを懇願する意図的なセキュリティの脆弱性であり、その意図的な性質のために、ルーターのメーカーは修正をためらいます。

4
Zoltan

私が知っているルーターのバックドアのほとんどは、すぐに修正されました。信じられないかもしれませんが、ルーターの製造元は通常、「組織的なレベルではなく」「バックドア」を目的に置いていません。ほぼ間違いなく、それらはデバッグツールとしてそこに配置され、実動前に削除されることを意図しているか、悪意のある従業員によって配置されています。 (製造業者がバックドアを持っていることにはどのような利点がありますか?彼らが何かをしたい場合は、ファームウェアの更新を介してそれを行うことができます。また、ネットワークは彼らにとってそれほど興味深いものではありません。)

「大多数の大多数」が正確な説明であるかどうかもわかりませんが、セマンティクスを誤解しません。あなたは自分を守る方法を尋ねました、そしてここにいくつかのオプションがあります:

  1. 最も周囲のデバイス(つまり、インターネットからLANへの最初のホップ)を信頼できるものにします。境界にあるUnifi Security GatewayまたはNetgate SG-1000を検討してください。これらの会社はどちらも企業に販売していますが、家庭のパワーユーザーにとってリーズナブルな製品の価格も設定しています。彼らは維持すべき評判があり、その評判は現在かなり良いです。
  2. OpenWRTまたはDD-WRTを実行できるルーターを検討してください。これらのコードベースは脆弱性の影響を受けませんが、少なくともオープンであり、バックドアが配置されるリスクを軽減します。
  3. Webインターフェイスをインターネットに公開しないでください。バックドアであろうとなかろうと、これはバグの大部分が存在する場所です。インターネットからのnmapスキャンを使用して、現在の露出を確認します。
  4. デフォルト以外のサブネットを使用し、Webインターフェースのポートを変更します。わかりにくいことによるセキュリティはわかっていますが、DNSの再バインドや類似の手法を使用した悪用には役立ちます。 (これはonly自動化された悪用に対しては便利ですが、手動の攻撃者に対しては役立つとは思わないでください。)
  5. ネットワークを信頼しないでください。強力なセキュリティコントロールがある場合でも、徹底的な防御を実践してください。 TLSを使用し、証明書エラーをクリックしないでください。このようにして、ルーターがポップされた場合でも、重大な妥協ではなくサービス拒否のみになります。
7
David

最初の決定は、ISPが提供するルーターを使用しないことです。これらのルーターはバックドアに組み込まれる可能性が高いためです。

私の意見では、コンシューマールーターに関しては、ルーター管理者向けのすべてのクラウドサービスはバックドアです。一部のルーターはクラウドサービスを必要とし、一部はオプションサービスを備えており、まれに少数のルーターがクラウドサービスをサポートしていません。 AmpliFiメッシュルーターにはクラウドサービスがありません。 Peplinkにはオプションのクラウドサービスがあります。ほとんどすべてのメッシュルーターにはクラウドサービスが必要です。

ルーターへの直接リモートアクセスについては、すべてのルーターでデフォルトで無効になっていると思います。

安全なルーターとしては、個人的にはPepwave Surf SOHOが好きです。米国では約200ドルです。これが理由です https://www.routersecurity.org/pepwavesurfsofo.php

3
Michael

一般に、ベンダーを信頼するか、検証可能な部品を構築するかを選択する必要があります。これはまた、これを行うためのスキル、知識、時間がなければ、ある程度まで第三者を信頼する必要があることを意味します。

信頼できるブランド/ベンダーを見つけたい場合は、タイムリーな更新、デバイスの寿命にわたる更新、およびベンダーが欠陥、バグ、セキュリティの問題を伝達した方法、およびそれがどのように解決されたかを確認できます。ほとんどすべての一般消費者ブランドは、上記のすべてで完全に失敗します。その主な原因は、ビジネスの「売り忘れ」の性質と、ハードウェアとソフトウェアの両方を提供し、唯一の当事者になることができる実際のホワイトラベルメーカーへの依存にあります。エンジニアリングの更新が可能。

安全なソフトウェアを作成するためにベンダーを信頼することができない場合、openwrt、ddwrt、ledeのようなプロジェクトは、ワイヤレスアクセスポイントをチェックするためのものです(必要な場合は組み込みルーターですが、分割することをお勧めします)。 1つの場所が両方のタスクに最適です)。ルーティングはpfSenseのようなもので行うことができます。

1
John Keates