先日、Wi-Fi ルーターの挙動が怪しい日があったので、アクセス制限を行った話。

Wi-Fi ルーターのパスワードは変更しておくべき

色々調べてみた結果、Wi-Fi ルーターのパスワードには規則性がある事が分かった。

これの何が悪いかと言うと、ハッキングがしやすいって事なんですよね。

例えば家で使っている Bufflo だと、英数小文字しか使っていないし文字数も決まっているらしい。

勿論、近所に悪人が住んでいるとは思いたく無いが、電波が届く範囲からならハッキングし放題なのでマズいと思った。

パスワードには大文字や記号だって指定出来るので、少し長めのパスワードを使った方が良いだろう。

考えるのが面倒な場合は、日本語をアルファベットで表現するのも良いかも。

例： KyouNoKionWa,18DoDeshita.

簡単な文章に見えるかもしれないが、パスワード強度は結構高めです。

無線通信と有線接続は別のゾーンと考える

家のネットワークは、有線接続と無線接続で行っている。ここで、Wi-Fi ルーターが割り当てる IPアドレスは DHCP 方式で、「192.168.11.0/24」であることが分かった。（IPV6は無視できる）

LAN 環境内では多数のマシンが起動しており、ローカルＩＰからのアクセスにはパケットフィルタリングなどは行っていなかった。

そこで、Wi-Fi ルーターがハッキングされた場合を考えて、サーバーにはアクセス制限を設定する事にした。

だが、Linux が起動しているマシンからも Wi-Fi 接続しているのが悩みの種になった。

そこで「192.168.11.0/24」からのサービスに対するアクセス制限を行う事とした。

firewall-cmd のリッチルールで対処する

「192.168.11.0/24」からの SSH 接続を禁止する。

これは SSH は単純な端末接続だけではなく、SFTP などの Over SSH なども含む事になる。

# firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="192.168.11.0/24" service name=ssh drop'

次はデータベースへのアクセス制限。

「192.168.11.0/24」からの MySQL 接続を禁止する。（MariaDB も含まれる）

# firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="192.168.11.0/24" service name=mysql drop'

これで Wi-Fi ルーターがハッキングされた場合でも被害は抑えられると思う。

ただし、ノートPC など Wi-Fi のグループに加える場合は MAC アドレスから DHCP で固定のアドレスを設定する事として、許可リストに加えることで対応しようと思う。