昔は「nuroの無線LANルーターは危険な初期設定がされている」と言われていたようなので初期設定を調べました

前提条件

危なそうなところ

  • 無線LANでWPAとWPA2(TKIP)が有効になっている
  • WPAを切る方法が結構つらい
    • トップ画面から[LAN]タブ->[無線LAN]->[無線LAN SSIDの設定]->[暗号化タイプ]を変更
    • 選択肢は以下の5個。どれを選ぶべきかパッと判断させるのは厳しい
      1. セキュリティなし
      2. WPA2-PSK-AES
      3. WPA/WPA2-PSK-TKIP/AES <- これがデフォルト
      4. WPA3(SAE)
      5. WPA2-PSK(TKIP/AES)/WPA3(SAE)
    • この設定はSSID単位なので、上記を正しく選んだ上で[無線LAN SSIDの設定]->[SSID5 (5GHz)]->[暗号化タイプ]も同様に変える必要がある
  • WebGUIのIDはadmin固定、デフォルトパスワードは無線LANのパスワードと同じ
    • WebGUIパスワードを変えていない場合「WPAのパスワードを奪われる=WebGUIのパスワードを奪われる」になる
    • とはいえWebGUI初回ログイン時にパスワード更新を強制されるため、ONT所有者が1度もログインしていないことが前提とはなる

良かったところ

  • WPA3に対応している
    • ただデフォルトで無効なのが悲しい
  • ファイアウォールはデフォルトで「高」が有効
    • 高・低・無効があり、高と低の違いはすぐ近くのヘルプに書いてある
    • 日本語と英語で言っている事が違う。英語が正しそう 
        High: WAN host can neither directly access to LAN hosts, nor to the device itself. LAN host accessing to WAN hosts is also limited except for a few specific ports.
  Low: WAN host can directly access to LAN hosts, but can not directly access to the device itself (except for echo-request).
  Off: The firewall is shut down, it might make your home network more vulnerable to viruses and hacker attacks. Please avoid enabling this item.

        高:PINGリクエストを含め、外部からの不正アクセスを防ぎます。 
  低:外部からの不正アクセスを防ぎます。ただし、PINGリクエストは許可します。 
  オフ:ファイアウォールをシャットダウンすると、ホームネットワークがウイルスやハッカーの攻撃を受けやすくなります。このアイテムを選択しないでください。

微妙なところ

  • 1つのSSIDで「WPA3とWPA2(AES)」のみを有効化する方法が無い
    • WPA3のみ有効なSSIDを作り、別でWPA2(AES)のみ有効なSSIDを作る必要がある
    • SSIDは2.4GHzで4個、5GHzで4個作れるので何とかなる
  • 配られているIPv6のprefixが/56であることがステータスページに出ない
    • ググって偶然知る以外の方法がないのは悲しい
  • デフォルトのSSIDがF660P-で始まるので機器情報が予想できてしまう
  • UPnPはデフォルトで有効
  • スタティックルーティングが書けない
  • ログの保存はデフォルトで無効
    • 有効にする場合はログレベルを指定できるのでWarningぐらいは保存した方がいいと思う
    • syslog転送できるのは嬉しい
  • DMZ機能にヘルプが無く挙動がよく分からない
    • 今後検証したい
    • ポートフォワードだとTCPとUDPしか選べないので、ESPなど他のプロトコルを通す場合はDMZを使うしかない感じがする

まとめ

  • 昔のような「デフォルトでファイアウォール無効」という状況は改善された
  • ただ無線のWPAは有効なので、電波が届く範囲に攻撃者がいたら厳しそう
    • 1度もWebGUIにログインしていなかった場合、WPAと一緒にWebGUIまで入られる
  • 家庭用だしこんなもんかな…という印象