Zabezpieczanie małej automatyki domowej

52

Mam małe laboratorium automatyki domowej (które powtarzam, że powiększę się, ale nie mam). W tym ustawieniu mam system sterowania do sterowania oświetleniem (wykorzystujący protokół x10), rolety, termostat Nest i dwie kamery internetowe.

Biorąc pod uwagę ostatnie ustawienie rekordów ataki DDoS z wykorzystaniem niezabezpieczonych urządzeń IoT, chciałbym trochę zabezpieczyć moją małą konfigurację.

Co użytkownik domowy może zrobić, aby zabezpieczyć swoją sieć, zachowując przy tym aspekt „Połącz z dowolnego miejsca”, który jest dużą częścią marketingu?

Andy
źródło

Odpowiedzi:

24

Bezwzględnie najczęstszym problemem z urządzeniami IoT są hasła domyślne. Więc zmień wszystkie hasła . Wybierz unikalne, losowe hasło dla każdego urządzenia i zapisz je na papierze (papier jest bezpieczny przed zdalnymi atakującymi i awariami dysku twardego). 12 losowych (tj. Generowanych komputerowo) małych liter stanowi dobry kompromis między bezpieczeństwem a trudnością do wpisania. Każde urządzenie powinno mieć inne hasło, aby złamanie jednego nie pozwoliło atakującemu złamać je wszystkie. Wprowadź hasła w menedżerze haseł i użyj tego menedżera haseł na komputerach, których używasz do sterowania urządzeniami.

Jeśli urządzenie ma różne kanały autoryzacji, na przykład hasło administracyjne i hasło codziennego użytkowania, użyj różnych haseł dla obu i rejestruj tylko hasło administracyjne na wybranych urządzeniach.

Drugim ogólnym środkiem bezpieczeństwa jest upewnienie się, że wszystkie urządzenia znajdują się za zaporą ogniową lub przynajmniej urządzeniem NAT. Typowy router domowy jest wystarczający, ale należy wyłączyć UPnP, który może pozwolić na niezamierzone kanały tylne z zewnątrz. Celem jest upewnienie się, że nie ma bezpośredniego sposobu połączenia z Internetem do urządzenia. Połączenia powinny zawsze przechodzić przez bramę, która sama wymaga uwierzytelnienia, aby przejść, i która jest aktualizowana o wszelkie aktualizacje zabezpieczeń.

Powinieneś także zastosować aktualizacje zabezpieczeń na wszystkich urządzeniach… jeśli w ogóle istnieją, co może stanowić problem.

Gilles „SO- przestań być zły”
źródło
1
Chociaż nie jest tak bezpieczne, nawet ustawienie wszystkich własnych haseł na twoje imię jest dość bezpieczne i lepsze niż domyślne ustawienia fabryczne (nawet jeśli jest to dłuższe i bardziej złożone). Powodem jest to, że przez większość czasu urządzenia IoT nie są zhakowane, a jedynie zalogowane przy użyciu wartości domyślnych.
Helmar
1
Niezbędne xkcd na hasłach: imgs.xkcd.com/comics/password_strength.png
Tensibai 21.04.17
1
@Tensibai To tak naprawdę nie dotyczy tutaj. Ten komiks opowiada o niezapomnianych hasłach. Nie potrzebujesz pamiętnego hasła na urządzeniu IoT, zwykle hasło zawsze będzie przechowywane w menedżerze haseł komputera / telefonu.
Gilles „SO- przestań być zły”
2
@Tensibai 12 losowych małych liter to 56 bitów entropii. To bardzo niewiele więcej niż 5-wyrazowe hasło ze słownikiem xkcd i o wiele łatwiej jest je pisać od czasu do czasu, gdy trzeba je przekazać. Losowe litery są złe dla zapamiętywania, ale dla hasła, którego nie musisz pamiętać, to najlepszy wybór.
Gilles „SO- przestań być zły”
21

Jak zawsze, dużą część bezpieczeństwa dzięki konfiguracjom „połącz z dowolnego miejsca” zapewnia bezpieczeństwo informacji o koncie. Obowiązują zwykłe zasady:

  • Nie udostępniaj swojego hasła
  • Unikaj używania plików cookie do zapisywania haseł (chociaż ciasteczkom zawsze trudno się oprzeć)
  • Regularnie zmieniaj hasła
  • Bądź świadomy innych naruszeń za pośrednictwem poczty elektronicznej (phishing, oszustwa itp.), W tym naruszeń wiarygodnych systemów firmy. Na przykład, jeśli baza danych klientów Target zostanie naruszona, zmień hasło.
  • Używaj unikalnych haseł (dzięki @Gilles)
  • ... Wiele innych podstaw bezpieczeństwa w Internecie ...

Oto dobra lista rzeczy, które możesz zrobić w swojej sieci, jak wyjaśniono w tym artykule TomsGuide :

  • Nie używaj WEP! , zamiast tego używaj WPA2 (PSK) lub lepszej w swojej sieci i bądź na bieżąco z najsilniejszymi protokołami.
  • Aktualizuj router / modem. Uważam, że większość routerów (zwłaszcza starszych modeli) nie aktualizuje się automatycznie i wiele osób zapomina sprawdzić / zainstalować najnowsze aktualizacje oprogramowania układowego na swoim routerze.
  • Utwórz osobną sieć Wi-Fi dla swoich urządzeń IoT. Alternatywnie skonfiguruj podsieć w sieci, aby podłączyć urządzenia IoT.
  • Zainstaluj / skonfiguruj zaporę na routerze.
  • Wyłącz dowolną sieć gościa lub podnieś protokół bezpieczeństwa.

Niestety, bezpieczeństwo jest głównie poza kontrolą użytkownika z poziomu aplikacji, stron internetowych i technicznie twoich surowych danych. Wszystkie transakcje danych za pośrednictwem praktycznie dowolnego rodzaju sieci są podatne na niewłaściwe lub niezamierzone użycie.

Najlepsze, co możesz zrobić, to chronić korzystanie z Internetu i chronić sieć lokalną przed atakami.

tbm0115
źródło
3
Niektóre dobre, niektóre złe tutaj, ale bardziej złe niż dobre. „Unikaj używania plików cookie”: efekt przeciwny do zamierzonego. „Regularnie zmieniaj hasła”: bezcelowe, zwykle nieproduktywne. Brak kluczowego punktu: nie używaj domyślnych haseł.
Gilles „SO- przestań być zły”
2
Muszę się zgodzić z Gillesem, większość ogólnych wskazówek dotyczy tylko połowy urządzeń IoT, a nawet routerów łączących je. W najlepszym przypadku dotyczą interfejsu internetowego dowolnego kontrolnego pulpitu nawigacyjnego lub podobnego.
Helmar
13

Dodając do najbardziej podstawowych zasad bezpieczeństwa IoT Gilles, pierwszą zasadą bezpieczeństwa w domu jest odpowiednie zabezpieczenie bramki wjazdowej. Prawidłowe ustawienia routera zatrzymają większość ataków na ich śladach. Jeśli router nie jest odpowiednio skonfigurowany, zabezpieczanie urządzeń znajdujących się za nim jest sporne. Zagrożony router oznacza, że ​​masz możliwość ataków typu man-in-the-middle we własnym domu.

Dlatego zacznij od zabezpieczenia routera, a następnie przejdź do samych urządzeń IoT.

Helmar
źródło
10

Wyłącz Universal Plug and Play

Jeśli nie jest to potrzebne, może również stanowić zagrożenie bezpieczeństwa.

Wirus, koń trojański, robak lub inny złośliwy program, któremu udało się zainfekować komputer w sieci lokalnej, może korzystać z UPnP, podobnie jak legalne programy. Podczas gdy router zwykle blokuje połączenia przychodzące, zapobiegając złośliwemu dostępowi, UPnP może pozwolić złośliwemu programowi całkowicie ominąć zaporę. Na przykład koń trojański może zainstalować program zdalnego sterowania na komputerze i otworzyć dla niego dziurę w zaporze routera, umożliwiając dostęp do komputera 24/7 z Internetu. Gdyby UPnP był wyłączony, program nie mógłby otworzyć portu - chociaż mógłby ominąć zaporę ogniową na inne sposoby i zadzwonić do domu.

(From howtogeek.com: Czy UPnP stanowi zagrożenie bezpieczeństwa? )

anonimowy 2
źródło
8

Jeśli chodzi o aspekt „połącz z dowolnego miejsca”, jesteś prawie na łasce klienta oprogramowania, który zapewnia interakcję z gniazdem itp. Bezpieczny klient powinien używać czegoś takiego jak SSH, który nie tylko szyfruje połączenie (aby uniknąć podsłuchu) , ale zezwala również na połączenie tylko wtedy, gdy klient zna klucz prywatny.

Niektóre aplikacje bankowe korzystają z systemu, w którym masz gadżet, który daje ci numer, który jest w pewien sposób zsynchronizowany z serwerem, więc oprócz hasła masz ciągle zmieniający się numer wyzwania, znany tylko serwerowi i posiadaczowi gadżetu. Nie znam żadnych tych domowych systemów, które oferowałyby coś podobnego, ale dzięki temu zdalne sterowanie byłoby znacznie bezpieczniejsze.

Niektóre systemy pozwalają zablokować zakres adresów IP, z których dozwolone jest połączenie zdalne. To trochę śmieci, ale chyba lepsze niż nic.

TheMagicCow
źródło
1
Teoretycznie, jeśli nigdy nie planujesz wyjechać poza UE lub Amerykę (lub nie chcesz stamtąd kontrolować domotiki), powinieneś po prostu zablokować połączenia. Pomaga przed przypadkowymi skanowaniami itp., Które moim zdaniem są większością „hacków”. Ale każdy, kto naprawdę chce połączyć się z urządzeniem, może skonfigurować serwer proxy lub mieszkać w pobliżu.
Paul
8

Możliwym rozwiązaniem może być użycie urządzeń stworzonych specjalnie w celu poprawy bezpieczeństwa. W przypadku zautomatyzowanego domu pierwszą barierą jest router, a dzięki specjalnemu możemy uzyskać pewne korzyści.

Na przykład Norton Core Router 1 oferuje następujące funkcje:

  1. Sprawdza wszystkie przechodzące pakiety pod kątem znanych ataków.
  2. Częste aktualizacje. Dlatego nowo odkryte problemy bezpieczeństwa są obsługiwane szybko.
  3. Wiele sieci. Najbardziej narażone urządzenia możesz mieć w oddzielnej sieci, chroniąc w ten sposób resztę.
  4. Wynik bezpieczeństwa. Wskazanie możliwych problemów bezpieczeństwa i wycieków i podsumowanie w jednym numerze.

To tylko niektóre atrakcje. Aby uzyskać więcej informacji, odwiedź łącza w tej bardziej szczegółowej odpowiedzi .

1 Pomysł ten został zainspirowany tym pytaniem i odpowiedzią , dlatego kredyt należy przypisać @ Aurora0001 i @bang. Jest to także dobra prezentacja przydatnej zawartości, którą tutaj tworzymy.

Bence Kaulics
źródło
7

Oto kilka rzeczy, które cytuję z symantec.com :

  • Przed zakupem sprawdź możliwości i funkcje zabezpieczeń urządzenia IoT
  • Przeprowadź audyt urządzeń IoT używanych w sieci
  • Zmień domyślne poświadczenia na urządzeniach. Używaj silnych i unikalnych haseł do kont urządzeń i sieci Wi-Fi
  • Użyj silnego szyfrowania podczas konfigurowania dostępu do sieci Wi-Fi (WPA)
  • Wyłącz funkcje i usługi, które nie są wymagane
  • Wyłącz logowanie Telnet i użyj SSH, jeśli to możliwe
  • Wyłącz Universal Plug and Play (UPnP) na routerach, chyba że jest to absolutnie konieczne
  • Zmodyfikuj domyślne ustawienia prywatności i zabezpieczeń urządzeń IoT zgodnie z wymaganiami i polityką bezpieczeństwa
  • Wyłącz lub chroń zdalny dostęp do urządzeń IoT, gdy nie są potrzebne
  • W miarę możliwości używaj połączeń przewodowych zamiast bezprzewodowych
  • Regularnie sprawdzaj, czy w witrynie producenta nie ma aktualizacji oprogramowania układowego
  • Upewnij się, że awaria sprzętu nie spowoduje niezabezpieczonego stanu urządzenia

Zdecydowanie popieram zwłaszcza 3 rd i 6 th punktów - domyślne hasła i loginy Telnet są po prostu proszą się włamał.

anonimowy 2
źródło
5

Istnieje jeszcze jedna bariera, którą możesz podnieść, której nie ma nawet w twojej sieci. O ile naprawdę nie potrzebujesz adresu IPv4 adresowalnego z zewnątrz, możesz sprawdzić, czy twój dostawca Internetu używa Dual Stack Lite . Często dostawcy Internetu przełączali się na ten standard, aby zapisać adresy IPv4, niektórzy jednak oferują opcje IPv4.

Zaletą Dual-Stack Lite jest to, że oferuje zalety i wady NAT opartego na nośniku . Chociaż oznacza to, że nie możesz korzystać z usług takich jak DynDNS i nie możesz używać otwartego portu opartego na IPv4 na zewnątrz, oznacza to również, że jesteś całkowicie nieosiągalny dla wszelkich żądań IPv4, które nieoczekiwanie przychodzą z Internetu. NAT operatora nie będzie po prostu przekazywał tych połączeń. Połączenia, które nie dochodzą, nie mogą zagrozić konfiguracji.

Miliony klientów końcowych już korzystają z tej ulepszonej ochrony, ale jeśli masz aktywowaną opcję IPv4, możesz rozważyć jej wyłączenie, jeśli tak naprawdę nie jest to potrzebne.

Helmar
źródło