Как защитить свой дом от взломанных IoT-устройств и их использования для DDoS-атак?

Я пытаюсь понять уязвимость своих домашних устройств IoT. Из того, что я понимаю, большой DDoS в прошлом году был вызван скомпрометированными устройствами IoT с именами пользователей и паролями по умолчанию или по умолчанию.

Все мои IoT-устройства находятся за моим брандмауэром (как и мои термостаты - Honeywell).

Они подключаются к интернету, но только исходящие. У меня нет настройки переадресации портов.

Если все мои IoT-устройства находятся за брандмауэром моего маршрутизатора, и у меня нет переадресации портов на эти устройства, то каков риск использования имен пользователей и паролей по умолчанию?

Вирус, о котором вы слышали, вероятно, Мирай .

У нас недавно было несколько вопросов, которые можно было бы прочитать для контекста, потому что ваш вопрос охватывает несколько аспектов:

• Как проверить, заражены ли мои устройства IoT червем Mirai?

• Обеспечение малой домашней автоматизации

Теоретически, если ваш маршрутизатор предотвращает все входящие соединения, Mirai значительно усложняет доступ и заражение ваших устройств. Публично доступный исходный код Mirai, похоже, предполагает, что он просто отправляет пакеты как можно большему количеству IP-адресов, а если есть ответ, то он случайным образом пытается использовать пароли по умолчанию, которые он знает. Я написал ответ об этом ранее , если вам интересно.

Меня беспокоит то, что если Mirai удастся войти в вашу домашнюю сеть - через одно неправильно настроенное или небезопасное устройство - это сделает все ваши брандмауэры и систему безопасности бесполезными. Один из диапазонов IP-адресов Mirai, который нужно проверить, - это 192.168.0.0/16( частная сеть вашего маршрутизатора ), поэтому Mirai почти наверняка распространится на все ваши уязвимые устройства.

Решение помешать Mirai атаковать вашу сеть очень просто: измените пароль каждого устройства по умолчанию и перезагрузите устройство . Если вы сделаете это, Mirai не сможет атаковать, даже если ваше устройство доступно через Интернет ( хотя нельзя сказать, что это хорошая идея, сделать вещи доступными, если в этом нет необходимости!).

Здесь есть список уязвимых устройств , или вы можете запустить сканер Incapsula . Обратите внимание, что они будут проверять только уязвимость для Mirai - другие вирусы могут работать по-другому, и, вероятно, вам лучше всего следовать рекомендациям в разделе « Настройка безопасности для малого дома ».

@ Aurora0001 уже обратилась к важным вещам: несомненно, атака Mirai, о которой вы слышали.

По его словам, смените свои пароли по умолчанию - а не на что-то очевидное. Вот список из почти 60 имен пользователей и паролей, которые Mirai намеревается использовать:

666666  666666
888888  888888
admin   (none)
admin   1111
admin   1111111
admin   1234
admin   12345
admin   123456
admin   54321
admin   7ujMko0admin
admin   admin
admin   admin1234
admin   meinsm
admin   pass
admin   password
admin   smcadmin
admin1  password
administrator   1234
Administrator   admin
guest   12345
guest   guest
root    (none)
root    00000000
root    1111
root    1234
root    12345
root    123456
root    54321
root    666666
root    7ujMko0admin
root    7ujMko0vizxv
root    888888
root    admin
root    anko
root    default
root    dreambox
root    hi3518
root    ikwb
root    juantech
root    jvbzd
root    klv123
root    klv1234
root    pass
root    password
root    realtek
root    root
root    system
root    user
root    vizxv
root    xc3511
root    xmhdipc
root    zlxx.
root    Zte521
service service
supervisor  supervisor
support support
tech    tech
ubnt    ubnt
user    user

(Источник)

Так что, безусловно, измените ваши имена пользователей и пароли на всех ваших устройствах - на что-то безопасное!

Проблема с IoT заключается в том, что часто вы не можете или не будете получать обновления для устройства, или не можете внести существенные изменения в устройство безопасности. Защита вашей сети - это длительное обсуждение с множеством вариантов. Профессия называется InfoSec (информационная безопасность). Это растущая профессия, или я так слышу.

Стив Гибсон из GRC рекомендует подход « 3 тупых маршрутизатора » (PDF) ( в эпизоде ​​545 его подкаста ) для защиты вашей сети. если вы не профессионал или любитель InfoSec, то вам следует начать с этого.

Если вы профессионал InfoSec или любитель, вы можете рассмотреть более сложные меры. Вот несколько случайных для начала:

1. Отключить UPnP ( GRC , HowToGeek , MakeUseOf )
2. Запустите брандмауэр pfSense (или аналогичный )
3. Поместите устройства IoT в отдельную VLAN (аналогично 3 тупым маршрутизаторам)
4. Настройте ваш ящик pfSense для маршрутизации всего вашего трафика через коммерческий VPN ( Nord VPN , PIA , pfSense ). Если вы используете для этого маршрутизатор SOHO, вы столкнетесь с проблемами более чем с несколькими пользователями.
5. Настройте брандмауэр так, чтобы запретить доступ в Интернет для ваших вещей IoT. Хотя, это может сломать «я» в «IoT».
6. Используйте DNS-серверы вашего VPN. ( Torrentfreak 2017 версия )
7. Используйте OpenDNS

1. В дополнение к очень хорошему обсуждению выше, вы можете быть собственным экспертом по безопасности, начиная с nmap , флагманского инструмента из Insecure.Org, так что вы можете выполнить базовое сканирование целевого устройства (192.168.1.1) с помощью простой команды:

   [nmap -A -T4 192.168.1.1]

   Более подробную информацию, примеры и советы о том, как сканировать вашу сеть, можно найти на страницах Nmap Cheat Sheet .

2. Однако просканируйте каждое устройство IoT в вашей сети и перепроверьте каждое устройство с открытыми подозрительными портами / портами.