Küçük ev otomasyonu kurulumunu sağlama


52

Küçük bir ev otomasyon laboratuarım var (genişleyeceğimi söyleyip durmadığımı söylüyorum). Bu kurulumda, ışıkları (x10 protokolünü kullanarak), panjurları, bir Nest termostatını ve iki web kamerasını kontrol etmek için bir kontrol sistemim var.

Yeni kayıt ayarı DDoS saldırıları, güvenli olmayan IoT cihazlarını kullanarak küçük kurulumumu biraz güven altına almak istiyorum.

Bir ev kullanıcısı pazarlamanın büyük bir parçası olan "herhangi bir yerden bağlan" özelliğini korurken ağlarını korumak için ne yapabilir?


Yanıtlar:


24

IoT cihazlarında en sık karşılaşılan sorun varsayılan şifrelerdir. Yani tüm şifreleri değiştirin . Her cihaz için benzersiz, rastgele bir şifre seçin ve kağıda yazın (kağıt, uzaktan saldırganlardan ve sabit sürücü arızalarından güvenlidir). 12 rasgele (yani bilgisayar tarafından oluşturulan) küçük harfler, güvenlik ve yazılması zor olmak arasında iyi bir uzlaşmayı temsil eder. Her cihazın farklı bir parolası olması gerekir; bu nedenle, birini kırmak, saldırganın hepsini kırmasına izin vermez. Şifreleri bir şifre yöneticisine girin ve bu şifre yöneticisini cihazları kontrol etmek için kullandığınız bilgisayarlarda kullanın.

Cihazın farklı yetkilendirme kanalları varsa, örneğin bir yönetim şifresi ve günlük kullanım şifresi varsa, her ikisi için de farklı şifreler kullanın ve yalnızca seçilen cihazlara yönetim şifresini kaydedin.

İkinci genel güvenlik önlemi, tüm cihazlarınızın bir güvenlik duvarının arkasında veya en azından bir NAT cihazında olmasını sağlamaktır. Tipik bir ev yönlendirici yeterlidir, ancak yanlışlıkla geri kanalların dışarıdan çıkmasına izin verebilecek UPnP'yi kapatmalısınız. Amaç, İnternet'ten cihaza doğrudan bir şekilde bağlanmanın mümkün olmamasını sağlamaktır. Bağlantılar her zaman kendisinin geçmesi için kimlik doğrulaması gerektiren ve herhangi bir güvenlik güncellemesiyle izlemeye devam ettiğiniz bir ağ geçidinden geçmelidir.

Güvenlik güncelleştirmelerini tüm aygıtlara da uygulamalısınız… eğer varsa, bu bir sorun olabilir.


1
Her ne kadar güvenli olmasa da, tüm şifrelerinizi ilk adınıza koymak bile fabrika güvenliğinden oldukça güvenli ve daha iyidir (daha uzun ve karmaşık olsa bile). Bunun nedeni çoğu zaman IoT cihazlarının saldırıya uğramaması değil, yalnızca varsayılan değerlerle giriş yapmasıdır.
Helmar


1
@Tensibai Bu burada gerçekten geçerli değil. Bu çizgi unutulmaz şifrelerle ilgili. IoT cihazında unutulmaz bir şifreye ihtiyacınız yoktur, şifre normalde her zaman bilgisayarınızın / telefonunuzun şifre yöneticisinde saklanır.
Gilles 'SO- kötülük yapmayı bırak'

2
@Tensibai 12 rasgele küçük harf, entropinin 56 bitidir. Bu, xkcd sözlüğüyle 5 kelimelik bir paroladan çok az daha fazlasıdır ve geçmek zorunda olduğunuz zamanlar için yazmanız çok daha kolaydır. Rastgele harfler hatırlanabilirlik için kötüdür, ancak hatırlamanız gerekmeyen bir şifre için bu en iyi seçimdir.
Gilles 'SO- kötülük yapmayı bırak'

21

Her zamanki gibi, "herhangi bir yerden bağlan" ayarlarının büyük bir kısmı, hesap bilgilerinizin güvenliğini sağlamaktır. Genel kurallar geçerlidir:

  • Şifrenizi paylaşmayın
  • Şifreleri kaydetmek için çerezler kullanmaktan kaçının (çerezler her zaman direnmek zor olsa da)
  • Şifreleri düzenli olarak değiştir
  • Güvenilir şirket sistemlerindeki ihlaller dahil e-posta yoluyla yapılan diğer ihlallerin (kimlik avı, dolandırıcılık vb.) Farkında olun. Örneğin, Target'in müşteri veritabanı ihlal edilirse, lütfen şifrelerinizi değiştirin.
  • Benzersiz şifreler kullanın (teşekkürler @ Gilles)
  • ... Diğer birçok internet güvenlik temelleri ...

Bu TomsGuide makalesinde açıklandığı gibi ağınıza yapabileceğiniz şeylerin listesi :

  • WEP kullanmayın! bunun yerine ağınızda WPA2 (PSK) veya daha iyisini kullanın ve hangi protokollerin en güçlü olduğu konusunda güncel kalın.
  • Yönelticinizi / modeminizi güncel tutun. Çoğu yönlendiricinin (özellikle eski modellerin) kendi kendini güncellemediğine ve çoğu kişinin yönlendiricisine en son üretici yazılımı güncellemelerini kontrol etmeyi / yüklemeyi unuttuğuna inanıyorum.
  • IoT cihazlarınız için ayrı bir Wi-Fi ağı oluşturun. Alternatif olarak, IoT cihazlarınızı bağlamak için ağınıza bir alt ağ kurun.
  • Yönlendiricinize bir güvenlik duvarı kurun / kurun.
  • Herhangi bir konuk ağını devre dışı bırakın veya güvenlik protokolünü yükseltin.

Ne yazık ki, güvenlik uygulamaları, web sitelerini ve teknik olarak ham verilerinizi içeren tüketici seviyesinden çoğunlukla sizin kontrolünüz dışında. Neredeyse her tür ağ üzerinden yapılan tüm veri işlemleri uygunsuz veya istenmeyen kullanımlara açıktır.

Yapabileceğiniz en iyi şey, çevrimiçi kullanımınızı korumak ve yerel ağınızı saldırılara karşı korumaktır.


3
Bazıları iyi, bazıları kötü, ama iyiden daha kötü. “Çerez kullanmaktan kaçının”: verimsiz. “Düzenli olarak şifreleri değiştir”: anlamsız, genellikle üretken. Eksik anahtar nokta: varsayılan şifreleri kullanmayın.
Gilles 'SO- kötülük' dur

2
Gilles ile aynı fikirdeyim, bu genel ipuçlarının çoğu IoT cihazlarına ve hatta onları bağlayan yönlendiricilere yarı yarıya uygulanır. En iyi durumda, herhangi bir kontrol panosunun veya benzerinin web kullanıcı arayüzüne uygulanır.
Helmar

13

En temel IoT güvenlik kuralı Gilles ayrıntılarına ek olarak, evdeki ilk güvenlik kuralı giriş kapınızı uygun şekilde korumaktır. Yönlendiricideki doğru ayarlar, saldırıların çoğunun izinde durmasını sağlar. Yönlendiriciniz düzgün şekilde yapılandırılmamışsa, arkasındaki aygıtları güvenceye alır Ödün vermeyen bir yönlendirici , kendi evinizde ortadaki adam saldırıları olasılığına sahip olacağınız anlamına gelir .

Böylece, yönlendiricinizi güvenceye almaya başlayın, daha sonra IoT cihazlarına kendi yolunuzu çalıştırın.


10

Evrensel Tak ve Kullan özelliğini devre dışı bırakın

İhtiyacınız yoksa, güvenlik riski de doğurabilir.

Yerel ağınızdaki bir bilgisayara bulaşmayı başaran bir virüs, Truva atı, solucan veya başka bir kötü amaçlı program, UPnP'yi (meşru programlar gibi) kullanabilir. Bir yönlendirici normal olarak gelen bağlantıları engellerken, bazı kötü amaçlı erişimi engellerken, UPnP kötü amaçlı bir programın güvenlik duvarını tamamen atlamasına izin verebilir. Örneğin, bir Truva atı bilgisayarınıza bir uzaktan kumanda programı yükleyebilir ve yönlendiricinizin güvenlik duvarında bunun için bir delik açarak bilgisayarınıza 24/7 erişime izin verebilir. UPnP devre dışı bırakılmışsa, program bağlantı noktasını açamadı - güvenlik duvarını başka şekillerde ve telefon evinde atlatabilse de.

( Howtogeek.com adresinden: UPnP bir Güvenlik Riski midir? )


8

"Herhangi bir yerden bağlan" özelliği için, Nest ile etkileşime girmeniz için sağlanan yazılım istemcisinin insafına kalıyorsunuz. Güvenli bir istemci, yalnızca bağlantıyı şifrelemekle kalmayıp (gizli dinlemeyi önlemek için) SSH gibi bir şey kullanmalıdır. , ancak yalnızca müşteri özel anahtarı bildiğinde bir bağlantıya izin verir.

Bazı bankacılık uygulamaları, size bir şekilde sunucuya senkronize edilen bir numara veren bir gadget'ın bulunduğu bir sistem kullanır, böylece bir parola kullanmanın yanı sıra, yalnızca sunucu ve cihaz sahibi tarafından bilinen, sürekli değişen bir mücadele numarasına sahip olursunuz. Gadget’ın Benzer bir şey sunan bu ev sistemlerini bilmiyorum, ancak bu uzaktan kumandayı çok daha güvenli hale getirecektir.

Bazı sistemler uzak bir bağlantının izin verdiği IP adresi aralığını kilitlemenizi sağlar. Bu biraz saçmalık ama sanırım hiç yoktan iyidir.


1
Teorik olarak, hiçbir zaman AB veya Amerika dışına çıkmayı düşünmüyorsanız (veya oradan domotika'yı kontrol etmek istemiyorsanız), sadece bağlantıları engellemelisiniz. Bu "tarama" nın çoğu olduğuna inandığım tesadüfi taramalara vb. Karşı yardımcı olur. Ancak cihazınıza gerçekten bağlanmak isteyen herhangi biri bir proxy ayarlayabilir veya yakınınızda yaşayabilir.
Paul

8

Olası bir çözüm, güvenliği artırmak için özel olarak oluşturulan aygıtların kullanılması olabilir. Otomatik bir ev olması durumunda, ilk engel yönlendiricidir ve özel biriyle bazı avantajlar elde edebiliriz.

Örneğin, Norton Core Router 1 aşağıdaki özellikleri sunar:

  1. Bilinen saldırılar için uygulanan tüm paketleri denetler.
  2. Sık güncellemeler. Böylece yeni keşfedilen güvenlik sorunları hızla ele alınmaktadır.
  3. Çoklu ağ En savunmasız cihazlara ayrı bir ağda sahip olabilirsiniz, böylece gerisini korur.
  4. Güvenlik puanı Olası güvenlik sorunlarının belirtilmesi ve sızıntı ve tek bir sayı olarak özetler.

Bunlar sadece bazı önemli noktalar. Daha fazla ayrıntı için bu daha ayrıntılı cevaptaki bağlantıları ziyaret edin .

1 Bu fikir, bu sorudan ve bu cevaptan ilham aldı, bu yüzden kredi @ Aurora0001 ve @bang'a gitmeli. Ayrıca, burada inşa ettiğimiz faydalı içeriğin iyi bir göstergesidir.


7

İşte symantec.com'dan alıntı yaptığım birkaç şey :

  • Satın almadan önce bir IoT cihazının yeteneklerini ve güvenlik özelliklerini araştırın
  • Ağınızda kullanılan IoT cihazlarının denetimini yapın.
  • Aygıtlardaki varsayılan kimlik bilgilerini değiştirin. Cihaz hesapları ve Wi-Fi ağları için güçlü ve benzersiz şifreler kullanın
  • Wi-Fi ağ erişimini (WPA) kurarken güçlü bir şifreleme yöntemi kullanın
  • Gerekli olmayan özellikleri ve hizmetleri devre dışı bırakın
  • Telnet girişini devre dışı bırakın ve mümkünse SSH kullanın
  • Kesinlikle gerekmedikçe yönlendiricilerdeki Evrensel Tak ve Çalıştır'ı (UPnP) devre dışı bırakın
  • IoT cihazlarının varsayılan gizlilik ve güvenlik ayarlarını gereksinimlerinize ve güvenlik politikanıza göre değiştirin
  • Gerekmediğinde IoT cihazlarına uzaktan erişimi devre dışı bırakın veya koruyun
  • Mümkün olduğunda kablosuz yerine kablolu bağlantılar kullanın
  • Üretici yazılımı güncellemeleri için üreticinin web sitesini düzenli olarak kontrol edin
  • Bir donanım kesintisinin cihazın güvenli olmayan bir duruma neden olmadığından emin olun

Kesinlikle özellikle destekleyen 3 rd ve 6 inci noktaları - varsayılan şifreleri ve Telnet oturum açma basitçe soruyorsunuz saldırıya uğrayacaktır.


5

Ağınızda bile bulunmayan yükseltebileceğiniz başka bir engel var. Dışarıdan adreslenebilir bir IPv4 adresine gerçekten ihtiyacınız yoksa, İnternet sağlayıcınızın Dual Stack Lite kullanıp kullanmadığını kontrol edebilirsiniz . Genellikle İnternet sağlayıcıları IPv4 adreslerini kaydetmek için bu standarda geçtiler, ancak bazıları IPv4 seçeneklerini sunuyor.

Dual-Stack Lite'a sahip olan şey, size taşıyıcı tabanlı bir NAT'ın avantaj ve dezavantajlarını sunmasıdır . O DynDNS'nin gibi hizmetleri kullanmak mümkün değildir ve demek iken olamaz dışarıya IPv4 tabanlı açık port kullanmak da tamamen internetten beklenmedik gelip herhangi bir IPv4 istekleri için ulaşılamaz olduğu anlamına gelir. NAT operatörü bu çağrıları yönlendirmez. Size ulaşamayan çağrılar kurulumunuzu tehlikeye atamaz.

Milyonlarca son müşteri zaten bu gelişmiş korumanın keyfini sürüyor, ancak etkinleştirilmiş bir IPv4 seçeneğiniz varsa, gerçekten gerekmediğinde devre dışı bırakmayı düşünebilirsiniz.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.