- ブランド
-
ユニフィ
- 範囲
-
1,750平方フィート
優れたルーターを使用することは、安全なネットワークを構築する上で非常に重要です。 UniFi Dream Router 7 は、How-To Geek のお気に入りの 1 つです。
しっかりとしたルーターを選択し、実際の管理者パスワードを設定し、メッシュ システムや VPN サブスクリプションに散財したこともあります。ホーム ネットワークがロックダウンされているように感じますが、正直に言って、おそらくそうでしょう。そんなある日、オフィスからセキュリティ カメラをチェックしたいと思い、それを実現するために無邪気な小さな設定を 1 つオンにします。
その設定はポートフォワーディングですが、面倒な場合があります。ポート転送が悪いからではなく、それがまさに 1 つのことを非常にうまく機能させるからです。それは、インターネットを家から遮断していた壁に永久的な穴を開けるということです。
ルーターは用心棒であり、ポート転送はバックステージパスを渡します
ネットワーク セキュリティに関するすべての良いことは、ドアを閉めることから始まります
デフォルトでは、ルーターは NAT と呼ばれるものを使用し、外部からの一方的なノックをすべて拒否するファイアウォールのように機能します。インターネット上の誰かが家の中のデバイスにアクセスしようとすると、ルーターはリクエストの送信先がわからないため、肩をすくめてリクエストをドロップします。この「私はあなたのことを知りません、去ってください」という行動が、見知らぬ人があなたのネットワークに簡単に侵入できない最大の理由です。これは素晴らしいセキュリティ機能であり、無料です。
ポート転送とは、用心棒に近づき、「実際には、この特定のトラフィックを毎回、永久に通過させてください」と言うようなものです。特定のポートに到達したものはすべて、家の中のデバイスに直接送信されるようにルーターに指示していることになります。問題は、インターネットは礼儀正しい場所ではないということであり、そのドアが一度開かれると、あなただけでなく誰にでも開かれてしまうのです。
ユニフィ
1,750平方フィート
優れたルーターを使用することは、安全なネットワークを構築する上で非常に重要です。 UniFi Dream Router 7 は、How-To Geek のお気に入りの 1 つです。
インターネットは思っているよりも早く開いているポートを見つけます
誰もあなたを手動で探していません、それがまさに問題です
自分は何者でもないから安全だと思っている人が多いと思います。私のランダムなホーム ネットワークをわざわざターゲットにする人はいないでしょう?しかし、これはどれもうまくいきません。
攻撃者は、IP アドレスを推測してポートを 1 つずつ試したりはしません。彼らは自動スキャナを使用してインターネット全体を絶えずスキャンし、応答するすべてのデバイスをカタログ化します。 Shodan のような、インターネットに接続されたデバイスとその背後にある開いているポートのインデックス作成に特化した検索エンジン全体が存在します。 Web に目を向けると、何千もの露出したカメラ、ルーター、サーバーが見つかります。
これがどれほど早く起こるかを示す本当に恐ろしい例が必要な場合は、ソフォスのセキュリティ担当者が、サーバーを立ち上げ、リモート デスクトップをインターネットに公開し、その後立ち去る実験を実行しました。
ログイン試行は 1 分以内に開始されました。 15 日間にわたって、約 1,000 の異なる IP アドレスからの 200 万回を超えるログイン試行の失敗を記録しました。
「誰も見つけられないように、変なポート番号を使おう」と考える前に、彼らもそれをテストしました。スキャナーは、どのポートに隠されているかに関係なく、開いているサービスを識別します。これらの安全でないデフォルト ルーター設定の一部は、単一のポートを転送する前に確認する価値があります。
1 つの露出したデバイスが家全体への出入り口になる
カメラが賞品ではなく、ネットワークが賞品です
たとえば、ポートを安価な IP カメラに転送して、外出中にポーチを監視できるようにするとします。最悪の場合、誰かにベランダを見られてしまいますよね?私は望む。
本当の危険は、露出したデバイスが足がかりになることです。攻撃者がその 1 台のカメラを侵害すると、ネットワーク内に侵入し、他のすべてのカメラに横移動できるようになります。セキュリティ業界では、これをラテラル ムーブメントと呼びます。これが、脆弱で露出した 1 台のデバイスが非常に重大な問題となる理由です。
これは、家庭用デバイスがボットネットに引き込まれる方法でもあります。 2016 年の悪名高い Mirai 攻撃は、これを大規模に実行し、カメラなどの IoT ガジェットをハイジャックし、インターネットがこれまでに経験したことのない最大規模のサービス拒否攻撃を開始するために使用しました。
デバイスが侵害されると、危険にさらされるだけではありません。それは知らず知らずのうちに他人の軍隊の兵士になってしまう可能性がある。そして、ランサムウェアのチームは、公開されたストレージを好みます。
インターネットを特別にスキャンして、外部からアクセス可能な NAS ボックスを探すランサムウェア ファミリが存在します。そもそも、NAS をインターネットに公開するのをやめるべきというアドバイスが存在するのはまさにこのためです。 1 つのポートが開いていると、最も重要なファイルがターゲットになります。
ほぼ確実にポートを転送する必要はまったくありません
どこからでも自分のものにアクセスできる安全な方法があります
人々がポートを転送する理由のほとんどは、現在より安全な代替手段を持っていることです。ポート転送の要点は通常、「外出中に自宅のデバイスにアクセスしたい」ということです。公共のインターネットに何も公開せずにそれを行うことができます。ほとんどの人にとって最もクリーンなオプションは、VPN またはオーバーレイ ネットワークです。特定のデバイスへのドアを開ける代わりに、自分だけが入ることができるプライベートな暗号化トンネルを作成します。一度中に入ると、すべてが自宅にいる場合と同じように動作します。
Tailscale や WireGuard などのツールを使用すると、これが驚くほど簡単になります。特に、Tailscale は、WireGuard プロトコルを使用してデバイス間にプライベート メッシュを構築します。重要なのは、ポートを開く必要がまったくないことです。アプリをインストールしてサインインすると、デバイスは世界中のどこからでも安全に相互に通信できるようになります。自己ホストする場合、これはポート転送のより安全な代替手段であり、設定する価値があります。もう少し詳しい設定に慣れている場合は、リバース プロキシを使用することもできます。重要なのは、古い「ポートを転送するだけ」というアドバイスは、ほとんどの家庭での使用例にとっては完全に時代遅れだということです。
したがって、転送する前に、実際に転送する必要があるかどうかを自問してください。
次回、アプリやガイドでポートを転送するように指示されたら、少し立ち止まって、ネットワークを地球全体に開かずに転送する方法があるかどうかを考えてください。ほとんどの場合、それはあります。まず VPN またはオーバーレイ ネットワークにアクセスし、UPnP のスイッチをオフにして、背後でポートを転送しないようにします。また、何かを転送する場合は、転送を最小限に抑え、しっかりと保護します。セキュリティスタックは玄関ドアが閉まっている場合にのみ機能するため、ちょっとした便宜のためにドアを支えて開けないようにしてください。
このテーマについてさらに詳しく知りたい方は以下をご覧ください