Mam małe laboratorium automatyki domowej (które powtarzam, że powiększę się, ale nie mam). W tym ustawieniu mam system sterowania do sterowania oświetleniem (wykorzystujący protokół x10), rolety, termostat Nest i dwie kamery internetowe.

Biorąc pod uwagę ostatnie ustawienie rekordów ataki DDoS z wykorzystaniem niezabezpieczonych urządzeń IoT, chciałbym trochę zabezpieczyć moją małą konfigurację.

Co użytkownik domowy może zrobić, aby zabezpieczyć swoją sieć, zachowując przy tym aspekt „Połącz z dowolnego miejsca”, który jest dużą częścią marketingu?

Bezwzględnie najczęstszym problemem z urządzeniami IoT są hasła domyślne. Więc zmień wszystkie hasła . Wybierz unikalne, losowe hasło dla każdego urządzenia i zapisz je na papierze (papier jest bezpieczny przed zdalnymi atakującymi i awariami dysku twardego). 12 losowych (tj. Generowanych komputerowo) małych liter stanowi dobry kompromis między bezpieczeństwem a trudnością do wpisania. Każde urządzenie powinno mieć inne hasło, aby złamanie jednego nie pozwoliło atakującemu złamać je wszystkie. Wprowadź hasła w menedżerze haseł i użyj tego menedżera haseł na komputerach, których używasz do sterowania urządzeniami.

Jeśli urządzenie ma różne kanały autoryzacji, na przykład hasło administracyjne i hasło codziennego użytkowania, użyj różnych haseł dla obu i rejestruj tylko hasło administracyjne na wybranych urządzeniach.

Drugim ogólnym środkiem bezpieczeństwa jest upewnienie się, że wszystkie urządzenia znajdują się za zaporą ogniową lub przynajmniej urządzeniem NAT. Typowy router domowy jest wystarczający, ale należy wyłączyć UPnP, który może pozwolić na niezamierzone kanały tylne z zewnątrz. Celem jest upewnienie się, że nie ma bezpośredniego sposobu połączenia z Internetem do urządzenia. Połączenia powinny zawsze przechodzić przez bramę, która sama wymaga uwierzytelnienia, aby przejść, i która jest aktualizowana o wszelkie aktualizacje zabezpieczeń.

Powinieneś także zastosować aktualizacje zabezpieczeń na wszystkich urządzeniach… jeśli w ogóle istnieją, co może stanowić problem.

Jak zawsze, dużą część bezpieczeństwa dzięki konfiguracjom „połącz z dowolnego miejsca” zapewnia bezpieczeństwo informacji o koncie. Obowiązują zwykłe zasady:

• Nie udostępniaj swojego hasła
• Unikaj używania plików cookie do zapisywania haseł (chociaż ciasteczkom zawsze trudno się oprzeć)
• Regularnie zmieniaj hasła
• Bądź świadomy innych naruszeń za pośrednictwem poczty elektronicznej (phishing, oszustwa itp.), W tym naruszeń wiarygodnych systemów firmy. Na przykład, jeśli baza danych klientów Target zostanie naruszona, zmień hasło.
• Używaj unikalnych haseł (dzięki @Gilles)
• ... Wiele innych podstaw bezpieczeństwa w Internecie ...

Oto dobra lista rzeczy, które możesz zrobić w swojej sieci, jak wyjaśniono w tym artykule TomsGuide :

• Nie używaj WEP! , zamiast tego używaj WPA2 (PSK) lub lepszej w swojej sieci i bądź na bieżąco z najsilniejszymi protokołami.
• Aktualizuj router / modem. Uważam, że większość routerów (zwłaszcza starszych modeli) nie aktualizuje się automatycznie i wiele osób zapomina sprawdzić / zainstalować najnowsze aktualizacje oprogramowania układowego na swoim routerze.
• Utwórz osobną sieć Wi-Fi dla swoich urządzeń IoT. Alternatywnie skonfiguruj podsieć w sieci, aby podłączyć urządzenia IoT.
• Zainstaluj / skonfiguruj zaporę na routerze.
• Wyłącz dowolną sieć gościa lub podnieś protokół bezpieczeństwa.

Niestety, bezpieczeństwo jest głównie poza kontrolą użytkownika z poziomu aplikacji, stron internetowych i technicznie twoich surowych danych. Wszystkie transakcje danych za pośrednictwem praktycznie dowolnego rodzaju sieci są podatne na niewłaściwe lub niezamierzone użycie.

Najlepsze, co możesz zrobić, to chronić korzystanie z Internetu i chronić sieć lokalną przed atakami.

Dodając do najbardziej podstawowych zasad bezpieczeństwa IoT Gilles, pierwszą zasadą bezpieczeństwa w domu jest odpowiednie zabezpieczenie bramki wjazdowej. Prawidłowe ustawienia routera zatrzymają większość ataków na ich śladach. Jeśli router nie jest odpowiednio skonfigurowany, zabezpieczanie urządzeń znajdujących się za nim jest sporne. Zagrożony router oznacza, że ​​masz możliwość ataków typu man-in-the-middle we własnym domu.

Dlatego zacznij od zabezpieczenia routera, a następnie przejdź do samych urządzeń IoT.

Wyłącz Universal Plug and Play

Jeśli nie jest to potrzebne, może również stanowić zagrożenie bezpieczeństwa.

Wirus, koń trojański, robak lub inny złośliwy program, któremu udało się zainfekować komputer w sieci lokalnej, może korzystać z UPnP, podobnie jak legalne programy. Podczas gdy router zwykle blokuje połączenia przychodzące, zapobiegając złośliwemu dostępowi, UPnP może pozwolić złośliwemu programowi całkowicie ominąć zaporę. Na przykład koń trojański może zainstalować program zdalnego sterowania na komputerze i otworzyć dla niego dziurę w zaporze routera, umożliwiając dostęp do komputera 24/7 z Internetu. Gdyby UPnP był wyłączony, program nie mógłby otworzyć portu - chociaż mógłby ominąć zaporę ogniową na inne sposoby i zadzwonić do domu.

(From howtogeek.com: Czy UPnP stanowi zagrożenie bezpieczeństwa? )

Jeśli chodzi o aspekt „połącz z dowolnego miejsca”, jesteś prawie na łasce klienta oprogramowania, który zapewnia interakcję z gniazdem itp. Bezpieczny klient powinien używać czegoś takiego jak SSH, który nie tylko szyfruje połączenie (aby uniknąć podsłuchu) , ale zezwala również na połączenie tylko wtedy, gdy klient zna klucz prywatny.

Niektóre aplikacje bankowe korzystają z systemu, w którym masz gadżet, który daje ci numer, który jest w pewien sposób zsynchronizowany z serwerem, więc oprócz hasła masz ciągle zmieniający się numer wyzwania, znany tylko serwerowi i posiadaczowi gadżetu. Nie znam żadnych tych domowych systemów, które oferowałyby coś podobnego, ale dzięki temu zdalne sterowanie byłoby znacznie bezpieczniejsze.

Niektóre systemy pozwalają zablokować zakres adresów IP, z których dozwolone jest połączenie zdalne. To trochę śmieci, ale chyba lepsze niż nic.

Możliwym rozwiązaniem może być użycie urządzeń stworzonych specjalnie w celu poprawy bezpieczeństwa. W przypadku zautomatyzowanego domu pierwszą barierą jest router, a dzięki specjalnemu możemy uzyskać pewne korzyści.

Na przykład Norton Core Router ¹ oferuje następujące funkcje:

1. Sprawdza wszystkie przechodzące pakiety pod kątem znanych ataków.
2. Częste aktualizacje. Dlatego nowo odkryte problemy bezpieczeństwa są obsługiwane szybko.
3. Wiele sieci. Najbardziej narażone urządzenia możesz mieć w oddzielnej sieci, chroniąc w ten sposób resztę.
4. Wynik bezpieczeństwa. Wskazanie możliwych problemów bezpieczeństwa i wycieków i podsumowanie w jednym numerze.

To tylko niektóre atrakcje. Aby uzyskać więcej informacji, odwiedź łącza w tej bardziej szczegółowej odpowiedzi .

_{1 Pomysł ten został zainspirowany tym pytaniem i odpowiedzią , dlatego kredyt należy przypisać @ Aurora0001 i @bang. Jest to także dobra prezentacja przydatnej zawartości, którą tutaj tworzymy.}

Oto kilka rzeczy, które cytuję z symantec.com :

• Przed zakupem sprawdź możliwości i funkcje zabezpieczeń urządzenia IoT
• Przeprowadź audyt urządzeń IoT używanych w sieci
• Zmień domyślne poświadczenia na urządzeniach. Używaj silnych i unikalnych haseł do kont urządzeń i sieci Wi-Fi
• Użyj silnego szyfrowania podczas konfigurowania dostępu do sieci Wi-Fi (WPA)
• Wyłącz funkcje i usługi, które nie są wymagane
• Wyłącz logowanie Telnet i użyj SSH, jeśli to możliwe
• Wyłącz Universal Plug and Play (UPnP) na routerach, chyba że jest to absolutnie konieczne
• Zmodyfikuj domyślne ustawienia prywatności i zabezpieczeń urządzeń IoT zgodnie z wymaganiami i polityką bezpieczeństwa
• Wyłącz lub chroń zdalny dostęp do urządzeń IoT, gdy nie są potrzebne
• W miarę możliwości używaj połączeń przewodowych zamiast bezprzewodowych
• Regularnie sprawdzaj, czy w witrynie producenta nie ma aktualizacji oprogramowania układowego
• Upewnij się, że awaria sprzętu nie spowoduje niezabezpieczonego stanu urządzenia

Zdecydowanie popieram zwłaszcza 3 ^rd i 6 ^th punktów - domyślne hasła i loginy Telnet są po prostu proszą się włamał.

Istnieje jeszcze jedna bariera, którą możesz podnieść, której nie ma nawet w twojej sieci. O ile naprawdę nie potrzebujesz adresu IPv4 adresowalnego z zewnątrz, możesz sprawdzić, czy twój dostawca Internetu używa Dual Stack Lite . Często dostawcy Internetu przełączali się na ten standard, aby zapisać adresy IPv4, niektórzy jednak oferują opcje IPv4.

Zaletą Dual-Stack Lite jest to, że oferuje zalety i wady NAT opartego na nośniku . Chociaż oznacza to, że nie możesz korzystać z usług takich jak DynDNS i nie możesz używać otwartego portu opartego na IPv4 na zewnątrz, oznacza to również, że jesteś całkowicie nieosiągalny dla wszelkich żądań IPv4, które nieoczekiwanie przychodzą z Internetu. NAT operatora nie będzie po prostu przekazywał tych połączeń. Połączenia, które nie dochodzą, nie mogą zagrozić konfiguracji.

Miliony klientów końcowych już korzystają z tej ulepszonej ochrony, ale jeśli masz aktywowaną opcję IPv4, możesz rozważyć jej wyłączenie, jeśli tak naprawdę nie jest to potrzebne.