無線LAN(※WiFi)のセキュリティ [セキュリティ]
先日PWGenの記事を書いたが、そもそもPWGenを使おうと思ったのは無線LANのセキュリティ向上のためだった。
というわけで今日は無線LANのセキュリティについて。
無線LANのセキュリティといえば、普通は通信の暗号化が常識だ。
暗号化はまず“WEP”という規格が登場し、その後“WPA”、“WPA2”と進化して現在に至る。
現在市販される無線LAN製品は全てこれらに対応し、かつ標準で※※“WPA2”が有効になっていて、通常は“暗号が解読されなければ安心”して無線LANを利用する事が出来る。
暗号が解読されなければというのは、WEPは数秒で、WPAは数十秒、WPA2でも条件によっては1日前後で解読する方法があるから。
とはいえWPA2に限っては暗号化に必要な鍵(暗号化キーとかパスワードなどと言われる)が十分に長く複雑なものであれば解読にとても時間がかかるので、「12345678」とか「Password」のような単純もの、或いは辞書攻撃で簡単に判明するフレーズ等でない限りそう簡単に解読される事はない。
ちなみに現在私の所有する無線LANアクセスポイント(CWR-GN150S)は13桁のアルファベット小文字+数字がデフォルトの設定になっている。他の製品の場合これが16進数だったりする場合もあるが、いずれにしても初期値のままではこの程度なので暗号が解読される恐れがあるのだ。
そこでパスフレーズの桁数を最大値(63桁)まで使い、使用する文字もアルファベット大文字と特殊記号を加えて作成したものを使う。これならばスーパーコンピューターでも簡単には破れないはず・・・
以下、CWR-GN150Sのセキュリティ強化設定の仕方。(アクセスポイントモードの場合)
まずは仮想APのSSIDを無効にする
1.ブラウザのアドレスに192.168.x.100 と入れて設定画面を呼び出す。
(xは環境によって違うのでipconfig等で調べる)
2.最初の画面で「無線LAN」のメニューを選ぶ
3.「基本設定」を選ぶ
4.マルチセキュリティの設定ボタンをクリック
5.「SSID1」が有効になっているのでチェックを外す
6.「適用」ボタンを押すと画面が切り替わるので「継続」を押し、再度
画面が切り替わるので「閉じる」を押す
仮想APのSSIDを無効にしたら次は暗号化キー(パスワード、パスフレーズ)を設定し直す。
1.「セキュリティ」を選ぶ
2.「共有キーフォーマット」をパスフレーズにする
3.PWGenの特殊記号を以下のように再定義してパスフレーズを63桁の長さで生成する
拡張設定を開いて「特殊記号を再定義」の欄に !#$%&<>? の8文字を
入力。これはパスフレーズに使用不可能な記号を省くために必要
4.生成したパスフレーズを「WPA-PSK(事前共有キー)」の欄にコピペで
入力する(パスフレーズは今後必要になるのでメモ帳などで保存)
5.「適用」ボタンを押すと画面が切り替わるので「継続」を押す
6.CWR-GN150Sの再起動が始まるので2~3分後に無線LANで接続している
機器の設定を変更、63桁のパスフレーズを設定して無線LANを接続
以上。
他の無線ブロードバンドルーター等でもやる事は基本同じなので、手順は違えど要領は同じってことで。
普通に考えてめんどくさい事をやっているなあと思う人がほとんどだと思うが、たしかにこんな事を心配する必要はあまり無いかもしれない。
だがもし自分の契約するインターネット回線が無線LAN経由で犯罪に利用された場合、遠隔操作で4人もの誤認逮捕者が出た事件のように犯人として逮捕される可能性もゼロではないので、この程度の対策はやっておいて損は無い。
それに、仮に悪用された場合初期設定のセキュリティが機能していたとすれば自分に法的な責任が無いと判断されると思うが、それでも間接的に犯罪に加担した事実が消えるわけではない。
ちなみにアクセスポイントの機能として存在する「ステルスSSID」や「MACアドレス制限」などのセキュリティ機能は、回避する方法が存在するので過信すると痛い目に遭うと思う。
※WiFiを無線LANと違うものだと思っている人がたまに居るが事実上同一である。
以下WikiPediaからの引用。
Wi-Fi(ワイファイ、Wireless Fidelity)は、無線LANの規格のひとつ。Wi-Fi Alliance(米国に本拠を置く業界団体)によって、国際標準規格であるIEEE 802.11規格を使用したデバイス間の相互接続が認められたことを示す名称。
※※機種によってはセカンダリSSID(他にゲストSSIDや仮想APなど違う呼称もある)というものが設定されていて、これにWEPを設定されている場合がある。これはNintendo DS等一部の携帯ゲーム端末でWEPしか対応してないためにパソコン等で利用するネットワークとゲーム機で利用するネットワークを隔離しているのだが、WEPでは暗号化の意味がほとんどないために特に必要が無ければメインで使うSSID以外は全て無効にした方が良い。
というわけで今日は無線LANのセキュリティについて。
無線LANのセキュリティといえば、普通は通信の暗号化が常識だ。
暗号化はまず“WEP”という規格が登場し、その後“WPA”、“WPA2”と進化して現在に至る。
現在市販される無線LAN製品は全てこれらに対応し、かつ標準で※※“WPA2”が有効になっていて、通常は“暗号が解読されなければ安心”して無線LANを利用する事が出来る。
暗号が解読されなければというのは、WEPは数秒で、WPAは数十秒、WPA2でも条件によっては1日前後で解読する方法があるから。
とはいえWPA2に限っては暗号化に必要な鍵(暗号化キーとかパスワードなどと言われる)が十分に長く複雑なものであれば解読にとても時間がかかるので、「12345678」とか「Password」のような単純もの、或いは辞書攻撃で簡単に判明するフレーズ等でない限りそう簡単に解読される事はない。
ちなみに現在私の所有する無線LANアクセスポイント(CWR-GN150S)は13桁のアルファベット小文字+数字がデフォルトの設定になっている。他の製品の場合これが16進数だったりする場合もあるが、いずれにしても初期値のままではこの程度なので暗号が解読される恐れがあるのだ。
そこでパスフレーズの桁数を最大値(63桁)まで使い、使用する文字もアルファベット大文字と特殊記号を加えて作成したものを使う。これならばスーパーコンピューターでも簡単には破れないはず・・・
以下、CWR-GN150Sのセキュリティ強化設定の仕方。(アクセスポイントモードの場合)
まずは仮想APのSSIDを無効にする
1.ブラウザのアドレスに192.168.x.100 と入れて設定画面を呼び出す。
(xは環境によって違うのでipconfig等で調べる)
2.最初の画面で「無線LAN」のメニューを選ぶ
3.「基本設定」を選ぶ
4.マルチセキュリティの設定ボタンをクリック
5.「SSID1」が有効になっているのでチェックを外す
6.「適用」ボタンを押すと画面が切り替わるので「継続」を押し、再度
画面が切り替わるので「閉じる」を押す
仮想APのSSIDを無効にしたら次は暗号化キー(パスワード、パスフレーズ)を設定し直す。
1.「セキュリティ」を選ぶ
2.「共有キーフォーマット」をパスフレーズにする
3.PWGenの特殊記号を以下のように再定義してパスフレーズを63桁の長さで生成する
拡張設定を開いて「特殊記号を再定義」の欄に !#$%&<>? の8文字を
入力。これはパスフレーズに使用不可能な記号を省くために必要
4.生成したパスフレーズを「WPA-PSK(事前共有キー)」の欄にコピペで
入力する(パスフレーズは今後必要になるのでメモ帳などで保存)
5.「適用」ボタンを押すと画面が切り替わるので「継続」を押す
6.CWR-GN150Sの再起動が始まるので2~3分後に無線LANで接続している
機器の設定を変更、63桁のパスフレーズを設定して無線LANを接続
以上。
他の無線ブロードバンドルーター等でもやる事は基本同じなので、手順は違えど要領は同じってことで。
普通に考えてめんどくさい事をやっているなあと思う人がほとんどだと思うが、たしかにこんな事を心配する必要はあまり無いかもしれない。
だがもし自分の契約するインターネット回線が無線LAN経由で犯罪に利用された場合、遠隔操作で4人もの誤認逮捕者が出た事件のように犯人として逮捕される可能性もゼロではないので、この程度の対策はやっておいて損は無い。
それに、仮に悪用された場合初期設定のセキュリティが機能していたとすれば自分に法的な責任が無いと判断されると思うが、それでも間接的に犯罪に加担した事実が消えるわけではない。
ちなみにアクセスポイントの機能として存在する「ステルスSSID」や「MACアドレス制限」などのセキュリティ機能は、回避する方法が存在するので過信すると痛い目に遭うと思う。
※WiFiを無線LANと違うものだと思っている人がたまに居るが事実上同一である。
以下WikiPediaからの引用。
Wi-Fi(ワイファイ、Wireless Fidelity)は、無線LANの規格のひとつ。Wi-Fi Alliance(米国に本拠を置く業界団体)によって、国際標準規格であるIEEE 802.11規格を使用したデバイス間の相互接続が認められたことを示す名称。
※※機種によってはセカンダリSSID(他にゲストSSIDや仮想APなど違う呼称もある)というものが設定されていて、これにWEPを設定されている場合がある。これはNintendo DS等一部の携帯ゲーム端末でWEPしか対応してないためにパソコン等で利用するネットワークとゲーム機で利用するネットワークを隔離しているのだが、WEPでは暗号化の意味がほとんどないために特に必要が無ければメインで使うSSID以外は全て無効にした方が良い。
コメント 0