Обеспечение малой домашней автоматизации

52

У меня есть небольшая лаборатория домашней автоматизации (я постоянно говорю, что буду расширяться, но не буду). В этой настройке у меня есть система управления освещением (с использованием протокола x10), жалюзи, термостат Nest и две веб-камеры.

Учитывая недавние рекордные настройки DDoS-атак с использованием незащищенных IoT-устройств, я бы хотел немного защитить свою маленькую установку.

Что может сделать домашний пользователь для защиты своей сети, сохраняя при этом аспект «подключения из любого места», который является важной частью маркетинга?

Энди
источник
6
Связанный: security.stackexchange.com/questions/140760/…
Гуфалит

Ответы:

24

Абсолютно самая распространенная проблема с устройствами IoT - пароли по умолчанию. Так что смените все пароли . Выберите уникальный случайный пароль для каждого устройства и запишите его на бумаге (бумага защищена от удаленных атак и сбоев жесткого диска). 12 случайных (то есть сгенерированных компьютером) строчных букв представляют собой хороший компромисс между безопасностью и сложностью ввода. Каждое устройство должно иметь свой пароль, чтобы взломщик не позволил злоумышленнику взломать их все. Введите пароли в диспетчере паролей и используйте этот диспетчер паролей на компьютерах, которые вы используете для управления устройствами.

Если устройство имеет разные каналы авторизации, например пароль администратора и пароль для повседневного использования, используйте разные пароли для обоих и записывайте пароль администратора только на выбранных устройствах.

Вторая общая мера безопасности - убедиться, что все ваши устройства находятся за брандмауэром или хотя бы устройством NAT. Достаточно обычного домашнего маршрутизатора, но вы должны отключить UPnP, который может позволить непреднамеренные обратные каналы извне. Цель состоит в том, чтобы обеспечить отсутствие прямого способа подключения к Интернету из устройства. Соединения всегда должны проходить через шлюз, который сам требует аутентификации для прохождения, и что вы постоянно исправляете все обновления безопасности.

Вы также должны установить обновления безопасности на все устройства ... если они вообще существуют, что может быть проблемой.

Жиль "ТАК - перестань быть злым"
источник
1
Хотя это и не так безопасно, даже установка всех ваших паролей на ваше имя довольно безопасна и лучше, чем заводская настройка (даже если она длиннее и сложнее). Причина в том, что большую часть времени устройства IoT не взламываются, а просто входят в систему со значениями по умолчанию.
Хельмар
1
Необходим xkcd для паролей: imgs.xkcd.com/comics/password_strength.png
Tensibai
1
@Tensibai Это не совсем применимо здесь. Этот комикс о запоминающихся паролях. Вам не нужен запоминающийся пароль на устройстве IoT, пароль обычно всегда хранится в диспетчере паролей вашего компьютера / телефона.
Жиль "ТАК - перестань быть злым"
2
@Tensibai 12 случайных строчных букв - это 56 бит энтропии. Это немного больше, чем для парольной фразы из 5 слов с помощью словаря xkcd, и намного проще набирать текст в тех случаях, когда вам нужно его передать. Случайные буквы плохо запоминаются, но для пароля, который вам не нужно запоминать, это лучший выбор.
Жиль "ТАК - перестань быть злым"
21

Как всегда, большая часть безопасности с настройками «подключайся из любого места» - это обеспечение безопасности информации вашей учетной записи. Применяются обычные правила:

  • Не сообщайте свой пароль
  • Старайтесь не использовать куки для сохранения паролей (хотя куки всегда трудно устоять)
  • Регулярно меняйте пароли
  • Будьте в курсе других нарушений по электронной почте (фишинг, мошенничество и т. Д.), Включая нарушения в надежных системах компании. Например, если база данных клиентов Target взломана, измените свои пароли.
  • Используйте уникальные пароли (спасибо @Gilles)
  • ... Многие другие основы интернет-безопасности ...

Вот хороший список того, что вы можете сделать со своей сетью, как описано в этой статье TomsGuide :

  • Не используйте WEP! вместо этого используйте WPA2 (PSK) или лучше в своей сети и будьте в курсе, какие протоколы являются самыми сильными.
  • Держите ваш маршрутизатор / модем обновленным. Я считаю, что большинство маршрутизаторов (особенно старых моделей) не обновляются самостоятельно, и многие люди забывают проверить / установить последние обновления микропрограмм на своем маршрутизаторе.
  • Создайте отдельную сеть Wi-Fi для своих устройств IoT. Кроме того, настройте подсеть в своей сети для подключения устройств IoT.
  • Установите / настройте брандмауэр на своем маршрутизаторе.
  • Отключите любую гостевую сеть или увеличьте протокол безопасности.

К сожалению, безопасность в основном находится вне вашего контроля со стороны потребителей с приложениями, веб-сайтами и технически необработанными данными. Все транзакции данных через практически любые типы сетей подвержены ненадлежащему или непреднамеренному использованию.

Лучшее, что вы можете сделать, это защитить свое использование в Интернете и защитить вашу локальную сеть от атак.

tbm0115
источник
3
Некоторые хорошие, некоторые плохие здесь, но скорее плохие, чем хорошие. «Избегайте использования куки»: контрпродуктивно. «Регулярно меняйте пароли»: бессмысленно, обычно контрпродуктивно. Отсутствует ключевой момент: не используйте пароли по умолчанию.
Жиль "ТАК - перестань быть злым"
2
Я должен согласиться с Жилем, большинство из этих общих советов относятся только к половине IoT-устройств и даже к маршрутизаторам, их соединяющим. В лучшем случае они применяются к веб-интерфейсу любой панели управления или тому подобного.
Хельмар
13

В добавление к самому основному правилу безопасности IoT Gilles, первое правило безопасности дома - это адекватная защита ваших въездных ворот. Правильные настройки вашего роутера остановят большинство атак на их пути. Если маршрутизатор не настроен правильно крепления устройств за это спорный вопрос. Скомпрометированный маршрутизатор означает, что у вас есть возможность атак «человек посередине» в вашем собственном доме.

Таким образом, начните с защиты вашего маршрутизатора, затем перейдите к самим устройствам IoT.

Хельмар
источник
10

Отключить универсальный подключи и играй

Если вам это не нужно, это также может представлять угрозу безопасности.

Вирус, троянский конь, червь или другая вредоносная программа, которой удается заразить компьютер в локальной сети, может использовать UPnP, как и легальные программы. Хотя маршрутизатор обычно блокирует входящие соединения, предотвращая некоторый злонамеренный доступ, UPnP может позволить вредоносной программе полностью обойти брандмауэр. Например, троянский конь может установить программу удаленного управления на вашем компьютере и открыть для нее дыру в брандмауэре вашего маршрутизатора, предоставляя круглосуточный доступ к вашему компьютеру из Интернета. Если UPnP был отключен, программа не смогла бы открыть порт - хотя она могла обойти брандмауэр другими способами и позвонить домой.

(От howtogeek.com: UPnP - это угроза безопасности? )

anonymous2
источник
8

Что касается аспекта «подключение из любого места», вы в значительной степени зависите от программного клиента, который вам предоставляется для взаимодействия с Nest и т. Д. Безопасный клиент должен использовать что-то вроде SSH, которое не только шифрует соединение (чтобы избежать перехватывания) , но также разрешает соединение только тогда, когда клиент знает закрытый ключ.

Некоторые банковские приложения используют систему, в которой у вас есть гаджет, который дает вам номер, который каким-то образом синхронизирован с сервером, а также с помощью пароля у вас есть постоянно меняющийся номер вызова, который известен только серверу и владельцу. гаджета. Я не знаю ни одной из этих домашних систем, которые предлагают нечто подобное, но это сделало бы дистанционное управление намного более безопасным.

Некоторые системы позволяют заблокировать диапазон IP-адресов, с которых разрешено удаленное соединение. Это немного мусора, но я полагаю, лучше, чем ничего.

TheMagicCow
источник
1
Теоретически, если вы никогда не планируете выходить за пределы ЕС или Америки (или не хотите оттуда контролировать домотику), вам просто нужно заблокировать соединения. Это помогает против случайных сканирований и т. Д., Которые я считаю, большинство из "взломов". Но любой, кто действительно хочет подключиться к вашему устройству, может настроить прокси или жить рядом с вами.
Пол
8

Возможным решением может быть использование устройств, созданных специально для повышения безопасности. В случае автоматизированного дома первым барьером является маршрутизатор, а с помощью специального барьера мы можем получить некоторые преимущества.

Например, Norton Core Router 1 предлагает следующие функции:

  1. Он проверяет все пакеты, проходящие через известные атаки.
  2. Частые обновления. Таким образом, недавно обнаруженные проблемы безопасности решаются быстро.
  3. Несколько сетей. Вы можете иметь наиболее уязвимые устройства в отдельной сети, тем самым защищая остальные.
  4. Оценка безопасности. Выявление возможных проблем безопасности и утечки и суммирует его в одном номере.

Это только некоторые основные моменты. Для более подробной информации перейдите по ссылкам в этом более подробном ответе .

1 Эта идея была вдохновлена ​​этим вопросом и этим ответом , поэтому следует отдать должное @ Aurora0001 и @bang. Кроме того, это хорошая демонстрация полезного контента, который мы создаем здесь.

Бенс Кауликс
источник
7

Вот несколько вещей, которые я цитирую на сайте symantec.com :

  • Изучите возможности и функции безопасности устройства IoT перед покупкой
  • Проведите аудит устройств IoT, используемых в вашей сети
  • Изменить учетные данные по умолчанию на устройствах. Используйте надежные и уникальные пароли для учетных записей устройств и сетей Wi-Fi.
  • Используйте надежный метод шифрования при настройке доступа к сети Wi-Fi (WPA)
  • Отключить функции и услуги, которые не требуются
  • Отключите вход в Telnet и используйте SSH, где это возможно
  • Отключите универсальный подключи и играй (UPnP) на маршрутизаторах, если это абсолютно необходимо
  • Измените настройки конфиденциальности и безопасности по умолчанию для устройств IoT в соответствии с вашими требованиями и политикой безопасности.
  • Отключите или защитите удаленный доступ к устройствам IoT, когда он не нужен
  • По возможности используйте проводные соединения вместо беспроводных
  • Регулярно проверяйте сайт производителя на наличие обновлений прошивки.
  • Убедитесь, что сбой оборудования не приводит к небезопасному состоянию устройства

Я настоятельно поддерживаю особенно 3- й и 6- й пункты - пароли по умолчанию и логины Telnet просто просят взломать.

anonymous2
источник
5

Есть еще один барьер, который вы можете поднять, которого нет даже в вашей сети. Если вам действительно не нужен внешний IPv4-адрес, вы можете проверить, использует ли ваш интернет-провайдер Dual Stack Lite . Часто интернет-провайдеры переходят на этот стандарт для сохранения адресов IPv4, однако некоторые предлагают варианты IPv4.

Особенность Dual-Stack Lite в том, что он предлагает вам преимущества и недостатки NAT на основе оператора . Хотя это означает, что вы не можете использовать такие службы, как DynDNS, и не можете использовать открытый порт на основе IPv4, это также означает, что вы совершенно недоступны для любых запросов IPv4, которые неожиданно приходят из Интернета. Оператор NAT просто не будет переадресовывать эти вызовы. Звонки, которые не достигают вас, не могут поставить под угрозу ваши настройки.

Миллионы конечных клиентов уже пользуются этой улучшенной защитой, но если у вас есть активированная опция IPv4, вы можете рассмотреть возможность ее деактивации, если она вам на самом деле не нужна.

Хельмар
источник