У мене є невелика лабораторія домашньої автоматизації (яку я постійно кажу, я розширюватимусь, але не маю). У цій установці у мене є система управління для керування світлами (з використанням протоколу x10), жалюзі, термостат Nest та дві веб-камери.

Завдяки останнім налаштуванням DDoS-атак, що використовують незахищені пристрої IoT, я хотів би трохи захистити свою маленьку настройку.

Що може зробити домашній користувач, щоб захистити свою мережу, зберігаючи при цьому аспект "підключення з будь-якого місця", який є великою частиною маркетингу?

Абсолютна найпоширеніша проблема пристроїв IoT - це паролі за замовчуванням. Тому змініть всі паролі . Підберіть унікальний, випадковий пароль для кожного пристрою і запишіть його на папері (папір захищений від віддалених зловмисників та збоїв на жорсткому диску). 12 випадкових (тобто згенерованих на комп'ютері) малих букв є хорошим компромісом між безпекою та важким набором тексту. Кожен пристрій повинен мати інший пароль, щоб зламати його не дозволить зловмиснику зламати їх усіх. Введіть паролі в диспетчері паролів і використовуйте цей менеджер паролів на комп'ютерах, якими ви керуєте пристроями.

Якщо пристрій має різні канали авторизації, наприклад, пароль адміністратора та пароль щоденного використання, використовуйте різні паролі для обох і записуйте лише пароль адміністрації на вибраних пристроях.

Другий загальний захід безпеки - це забезпечити, щоб усі ваші пристрої стояли за брандмауером або принаймні пристроєм NAT. Типового домашнього маршрутизатора достатньо, але вам слід вимкнути UPnP, що може дозволяти ненавмисні зворотні канали ззовні. Мета полягає в тому, щоб не було прямого способу підключення з Інтернету до пристрою. З'єднання завжди повинні проходити через шлюз, який сам по собі вимагає аутентифікації для перетину, і ви залишаєтесь виправленими будь-якими оновленнями безпеки.

Також слід застосувати оновлення безпеки на всіх пристроях… якщо вони взагалі існують, що може бути проблемою.

Як завжди, велика частина безпеки із налаштуваннями "підключитися з будь-якого місця" забезпечує безпеку інформації вашого облікового запису. Звичайні правила застосовуються:

• Не діліться своїм паролем
• Уникайте використання файлів cookie для збереження паролів (хоча cookie завжди важко протистояти)
• Регулярно міняйте паролі
• Будьте в курсі інших порушень електронною поштою (фішинг, афери тощо), включаючи порушення в надійних системах компанії. Наприклад, якщо база даних клієнтів Target порушена, будь ласка, змініть свої паролі.
• Використовуйте унікальні паролі (спасибі @Gilles)
• ... Багато інших основ безпеки в Інтернеті ...

Ось хороший перелік речей, які ви можете зробити для своєї мережі, як це пояснено в цій статті TomsGuide :

• Не використовуйте WEP! , замість цього використовуйте WPA2 (PSK) або вище у вашій мережі та постійно інформуйте про те, які протоколи є найсильнішими.
• Постійно оновлюйте маршрутизатор / модем. Я вважаю, що більшість маршрутизаторів (особливо старих моделей) не оновлюються, і багато людей забувають перевірити / встановити останні маршрутизатори оновлень на свій роутер.
• Створіть окрему мережу Wi-Fi для своїх пристроїв IoT. Крім того, встановіть підмережу у вашій мережі для підключення пристроїв IoT.
• Встановіть / встановіть на маршрутизаторі брандмауер.
• Вимкнути будь-яку гостьову мережу або підвищити протокол безпеки.

На жаль, безпека здебільшого перебуває під вашим контролем з боку споживачів за допомогою програм, веб-сайтів та технічно ваших необроблених даних. Усі транзакції даних практично через будь-який тип мережі піддаються неправильному чи ненавмисному використанню.

Найкраще, що ви можете зробити, це захистити ваше Інтернет-використання та захистити локальну мережу від атак.

Додаючи до найосновніших правил безпеки IoT відомості про Жилла, перше правило безпеки в домашніх умовах - належним чином закріпити вхідні ворота. Правильні налаштування вашого маршрутизатора зупинять більшість атак у їхніх треках. Якщо ваш маршрутизатор не налаштований належним чином, захист пристроїв, що знаходяться за ним, суперечить. Компрометований маршрутизатор означає, що у вас є можливість здійснити атаки людиною посередині у власному будинку.

Таким чином, почніть із забезпечення маршрутизатора, а потім працюйте на самих пристроях IoT.

Вимкнути Universal Plug and Play

Якщо вона вам не потрібна, це також може становити загрозу безпеці.

Вірус, троянський кінь, черв'як або інша шкідлива програма, яка вдається заразити комп'ютер у вашій локальній мережі, може використовувати UPnP, як і законні програми. Хоча маршрутизатор зазвичай блокує вхідні з'єднання, запобігаючи деякому шкідливому доступу, UPnP може дозволити шкідливій програмі повністю обійти брандмауер. Наприклад, троянський кінь може встановити програму дистанційного керування на комп’ютер і відкрити отвір для неї в брандмауері маршрутизатора, що дозволяє 24/7 отримати доступ до комп'ютера з Інтернету. Якщо UPnP було відключено, програма не могла б відкрити порт - хоча він міг обходити брандмауер іншими способами та телефонувати додому.

(З howtogeek.com: Чи є UPnP ризиком для безпеки? )

Що стосується аспекту "підключення з будь-якого місця", то ви в значній мірі налагоджені клієнтом програмного забезпечення, який вам надається для взаємодії з Nest і т.д. , але також дозволяє з'єднання лише тоді, коли клієнт знає приватний ключ.

Деякі банківські програми використовують систему, де у вас є гаджет, який дає вам номер, який певним чином синхронізований із сервером, а також, використовуючи пароль, ви маєте постійно змінюється номер виклику, відомий лише серверу та власнику гаджета. Я не знаю жодної з цих домашніх систем, які пропонують щось подібне, але це зробило б дистанційне управління набагато безпечнішим.

Деякі системи дозволяють блокувати діапазон IP-адрес, з яких дозволено віддалене з'єднання. Це трохи сміття, але я вважаю, що краще, ніж нічого.

Можливим рішенням може бути використання пристроїв, створених спеціально для підвищення безпеки. У випадку автоматизованого будинку перший бар’єр - це маршрутизатор, а за допомогою спеціального ми можемо отримати певні переваги.

Наприклад, маршрутизатор Norton Core ¹ пропонує такі функції:

1. Він перевіряє всі пакети, що проходять, на предмет відомих атак.
2. Часті оновлення. Тож щойно виявлені проблеми безпеки вирішуються швидко.
3. Кілька мереж. Ви можете мати вразливі пристрої в окремій мережі, захищаючи решту.
4. Оцінка безпеки Ідентифікація можливих проблем із безпекою та витоків та підсумовується в одне число.

Це лише деякі основні моменти. Для більш детальної інформації відвідайте посилання в цій більш детальній відповіді .

_{1 Ця ідея була натхненна цим питанням та цією відповіддю , тож заслуга повинна надходити до @ Aurora0001 та @bang. Крім того, це хороша демонстрація корисного змісту, який ми будуємо тут.}

Ось кілька речей, які я цитую з symantec.com :

• Вивчіть можливості та функції безпеки пристрою IoT перед покупкою
• Проведіть аудит пристроїв IoT, які використовуються у вашій мережі
• Змінення облікових даних за замовчуванням на пристроях. Використовуйте надійні та унікальні паролі для облікових записів пристроїв та мереж Wi-Fi
• Використовуйте сильний метод шифрування під час налаштування доступу до мережі Wi-Fi (WPA)
• Вимкнути функції та послуги, які не потрібні
• Вимкніть вхід у Telnet та використовуйте SSH, де це можливо
• Вимкніть універсальний Plug and Play (UPnP) на маршрутизаторах, якщо це абсолютно не потрібно
• Змініть налаштування конфіденційності та безпеки пристроїв IoT за замовчуванням відповідно до ваших вимог та політики безпеки
• Вимкнути або захистити віддалений доступ до пристроїв IoT, коли це не потрібно
• Використовуйте дротові з'єднання замість бездротового, де це можливо
• Регулярно перевіряйте веб-сайт виробника на наявність оновлень прошивки
• Переконайтесь, що відключення обладнання не призведе до незахищеного стану пристрою

Я наполегливо підтримую особливо 3- ^й та 6- ^й пункти - паролі за замовчуванням та входи в систему Telnet просто просять бути взломаними.

Є ще один бар'єр, який ви можете підняти, якого немає навіть у вашій мережі. Якщо вам справді не потрібна зовнішня адреса IPv4, ви можете перевірити, чи використовує ваш Інтернет-провайдер Dual Stack Lite . Часто Інтернет-провайдери переходять на цей стандарт, щоб зберегти IPv4 адреси, деякі з них пропонують варіанти IPv4.

Річ у Dual-Stack Lite полягає в тому, що він пропонує вам переваги та недоліки NAT на основі носія . Хоча це означає, що ви не можете використовувати такі сервіси, як DynDNS і не можете використовувати відкритий порт на базі IPv4 зовні, це також означає, що ви абсолютно недоступні для будь-яких запитів IPv4, які несподівано надходять з Інтернету. Перевізник NAT просто не перенаправить ці дзвінки. Дзвінки, які не доходять до вас, не можуть поставити під загрозу налаштування.

Мільйони кінцевих клієнтів вже користуються цим посиленим захистом, але якщо у вас активована опція IPv4, ви можете розглянути можливість її деактивації, якщо вона вам насправді не потрібна.