Як захистити свій будинок від підключення пристроїв IoT та їх використання для DDoS-атак?

13

Я намагаюся зрозуміти вразливість моїх домашніх пристроїв IoT. Як я розумію, великий DDoS минулого року був спричинений компрометованими пристроями IoT із загальними або типовими іменами користувачів та паролями.

Всі мої пристрої IoT знаходяться позаду мого брандмауера (як і мої термостати - Honeywell).

Вони підключаються до Інтернету, але лише вихідні. У мене немає налаштування переадресації портів.

Якщо всі мої пристрої IoT стоять за брандмауером мого маршрутизатора, і я не маю жодного переадресації порту на ці пристрої, де ризик мати імена користувача та паролі за замовчуванням?

smart-home  security  routers 
ренді
джерело

Відповіді:

7

Вірус, про який ви чули, мабуть, Мірай .

Нещодавно у нас виникло кілька питань, які можуть бути корисними для читання в контексті, оскільки ваше питання охоплює декілька аспектів:

Теоретично, якщо ваш маршрутизатор перешкоджає всім вхідним з'єднанням, Міраї значно ускладнює проникнення та зараження ваших пристроїв. Загальнодоступний вихідний код Міраї, схоже, дозволяє припустити, що він просто надсилає пакети стільки IP-адрес, скільки може, і якщо є відповідь, він випадково намагається встановити паролі за замовчуванням, які він знає. Раніше я писав відповідь про це , якщо вам цікаво.

Моє занепокоєння буде в тому, що якщо Міраї вдасться увійти у вашу домашню мережу - за допомогою лише одного неправильно налаштованого або незахищеного пристрою - це зробить всі ваші брандмауэры та безпеку марними. Один з IP-діапазонів Mirai для перевірки - це 192.168.0.0/16( приватна мережа вашого маршрутизатора ), тому Mirai майже напевно пошириться на всі ваші вразливі пристрої.

Рішення відмовити Mirai від можливості атакувати вашу мережу є простим - змінити пароль кожного пристрою з його за замовчуванням та перезапустити пристрій . Якщо ви це зробите, Mirai не може атакувати, навіть якщо ваш пристрій доступний через Інтернет (не кажучи, що це гарна ідея зробити речі доступними, якщо не потрібно!).

Тут є список вразливих пристроїв , або ви можете запустити сканер Incapsula . Зауважте, що вони перевірять лише вразливість до Міраї - інші віруси можуть діяти по-різному, і дотримуватися пропозицій у розділі " Забезпечення налаштування малої домашньої автоматизації " - це, мабуть, найкраща пропозиція.

Aurora0001
джерело
6

@ Aurora0001 вже вирішив великі речі: безсумнівно, про атаку Мірая, про яку ви чули.

За його словами, змініть свої паролі за замовчуванням - і не на щось очевидне. Ось перелік майже 60 імен користувачів та паролів, на які Мірай прагне потрапити:

666666  666666
888888  888888
admin   (none)
admin   1111
admin   1111111
admin   1234
admin   12345
admin   123456
admin   54321
admin   7ujMko0admin
admin   admin
admin   admin1234
admin   meinsm
admin   pass
admin   password
admin   smcadmin
admin1  password
administrator   1234
Administrator   admin
guest   12345
guest   guest
root    (none)
root    00000000
root    1111
root    1234
root    12345
root    123456
root    54321
root    666666
root    7ujMko0admin
root    7ujMko0vizxv
root    888888
root    admin
root    anko
root    default
root    dreambox
root    hi3518
root    ikwb
root    juantech
root    jvbzd
root    klv123
root    klv1234
root    pass
root    password
root    realtek
root    root
root    system
root    user
root    vizxv
root    xc3511
root    xmhdipc
root    zlxx.
root    Zte521
service service
supervisor  supervisor
support support
tech    tech
ubnt    ubnt
user    user

(Джерело)

Тож абсолютно змініть свої імена користувачів та паролі на всіх своїх пристроях - на щось безпечне!

анонімний2
джерело
4

Проблема з IoT полягає в тому, що часто ви не можете або не отримаєте оновлення на пристрої, або не зможете внести значні зміни в безпеку пристрою. Забезпечення вашої мережі - це тривала дискусія з великою кількістю варіантів. Професія називається InfoSec (Інформаційна безпека). Це процвітаюча професія, або я так чую.

Стів Гібсон з GRC рекомендує " 3 тупий маршрутизатор " (PDF) підхід ( в епізоді 545 його подкасту ) для забезпечення вашої мережі. якщо ви не професіонал або любитель InfoSec, тоді слід почати з цього.

Якщо ви професіонал або любитель InfoSec, ви можете розглянути більш складні заходи. Ось кілька випадкових, щоб розпочати:

  1. Вимкнути UPnP ( GRC , HowToGeek , MakeUseOf )
  2. Запустіть брандмауер pfSense (або подібний )
  3. Покладіть пристрої IoT в окрему VLAN (аналогічний підхід до 3 німих маршрутизаторів)
  4. Налаштуйте поле pfSense для маршрутизації всього вашого трафіку через комерційний VPN ( Nord VPN , PIA , pfSense ). Якщо ви використовуєте для цього маршрутизатор SOHO, у вас виникнуть проблеми з більш ніж декількома легкими користувачами.
  5. Налаштуйте брандмауер, щоб заборонити доступ до Інтернету для ваших речей IoT. Хоча це може зламати "Я" в "IoT".
  6. Використовуйте DNS-сервери VPN. ( Версія Torrentfreak 2017 )
  7. Використовуйте OpenDNS
І все-таки, інший випадковий користувач
джерело
1

  1. На додаток до дуже приємного обговорення вище, ви можете бути власним експертом з безпеки, починаючи з nmap , флагманського інструменту від Insecure.Org, щоб ви могли виконати базове сканування цільового пристрою (192.168.1.1) за допомогою простої команди:

    [nmap -A -T4 192.168.1.1]

    Детальніше, приклади та підказки, як сканувати вашу мережу, можна знайти на сторінках Nmap Cheat Sheet .

  2. Однак скануйте кожен окремий пристрій IoT у вашій мережі та перевірте кожен пристрій із відкритими підозрілими портами.

Аміт Вуйчич
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.