Tôi có một phòng thí nghiệm tự động hóa nhà nhỏ (mà tôi cứ nói tôi sẽ mở rộng, nhưng không có). Trong thiết lập này, tôi có một hệ thống điều khiển để điều khiển đèn (sử dụng giao thức x10), rèm, bộ điều nhiệt Nest và hai máy quay web.

Với các thiết lập bản ghi tấn công DDoS gần đây sử dụng các thiết bị IoT không bảo mật, tôi muốn bảo mật thiết lập nhỏ của mình một chút.

Người dùng gia đình có thể làm gì để bảo mật mạng của họ trong khi vẫn duy trì khía cạnh "kết nối từ mọi nơi", một phần quan trọng của tiếp thị?

Vấn đề tuyệt đối phổ biến nhất với các thiết bị IoT là mật khẩu mặc định. Vì vậy, thay đổi tất cả các mật khẩu . Chọn một mật khẩu ngẫu nhiên, duy nhất cho mọi thiết bị và viết nó ra giấy (giấy an toàn trước những kẻ tấn công từ xa và lỗi ổ cứng). 12 chữ cái viết thường ngẫu nhiên (tức là do máy tính tạo ra) thể hiện sự thỏa hiệp tốt giữa bảo mật và khó gõ. Mỗi thiết bị nên có một mật khẩu khác nhau để phá vỡ một thiết bị không cho phép kẻ tấn công phá vỡ tất cả chúng. Nhập mật khẩu vào trình quản lý mật khẩu và sử dụng trình quản lý mật khẩu đó trong các máy tính bạn sử dụng để điều khiển thiết bị.

Nếu thiết bị có các kênh ủy quyền khác nhau, ví dụ mật khẩu quản trị và mật khẩu sử dụng hàng ngày, hãy sử dụng các mật khẩu khác nhau cho cả hai và chỉ ghi lại mật khẩu quản trị trên các thiết bị được chọn.

Biện pháp bảo mật chung thứ hai là đảm bảo rằng tất cả các thiết bị của bạn nằm sau tường lửa hoặc ít nhất là thiết bị NAT. Một bộ định tuyến gia đình thông thường là đủ, nhưng bạn nên tắt UPnP có thể cho phép các kênh quay lại vô tình từ bên ngoài. Mục tiêu là để đảm bảo rằng không có cách trực tiếp nào để kết nối từ Internet với thiết bị. Các kết nối phải luôn đi qua một cổng mà chính nó yêu cầu xác thực để vượt qua và bạn luôn được vá với bất kỳ cập nhật bảo mật nào.

Bạn cũng nên áp dụng các bản cập nhật bảo mật trên tất cả các thiết bị, nếu chúng tồn tại, đây có thể là một vấn đề.

Như mọi khi, một phần lớn bảo mật với thiết lập "kết nối từ bất cứ đâu" là đảm bảo bảo mật thông tin tài khoản của bạn. Các quy tắc thông thường được áp dụng:

• Đừng chia sẻ mật khẩu của bạn
• Tránh sử dụng cookie để lưu mật khẩu (mặc dù cookie luôn khó cưỡng lại)
• Thường xuyên thay đổi mật khẩu
• Hãy nhận biết các vi phạm khác qua email (lừa đảo, lừa đảo, v.v.) bao gồm các vi phạm trong các hệ thống công ty đáng tin cậy. Ví dụ: nếu cơ sở dữ liệu khách hàng của Target bị vi phạm, vui lòng thay đổi mật khẩu của bạn.
• Sử dụng mật khẩu duy nhất (cảm ơn @Gilles)
• ... Nhiều điều cơ bản về bảo mật internet khác ...

Đây là một danh sách tốt những điều bạn có thể làm với mạng của mình như được giải thích trong bài viết này của TomsGuide :

• Đừng sử dụng WEP! , thay vào đó sử dụng WPA2 (PSK) hoặc tốt hơn trên mạng của bạn và cập nhật những giao thức nào mạnh nhất.
• Giữ cho bộ định tuyến / modem của bạn được cập nhật. Tôi tin rằng hầu hết các bộ định tuyến (đặc biệt là các mẫu cũ hơn) không tự cập nhật và nhiều người quên kiểm tra / cài đặt các bản cập nhật firmware mới nhất cho bộ định tuyến của họ.
• Tạo một mạng Wi-Fi riêng cho các thiết bị IoT của bạn. Hoặc, thiết lập một mạng con trong mạng của bạn để kết nối các thiết bị IoT của bạn.
• Cài đặt / thiết lập tường lửa trên bộ định tuyến của bạn.
• Vô hiệu hóa bất kỳ mạng khách hoặc nâng cao giao thức bảo mật.

Thật không may, bảo mật chủ yếu nằm ngoài tầm kiểm soát của bạn từ cấp độ người tiêu dùng với các ứng dụng, trang web và về mặt kỹ thuật dữ liệu thô của bạn. Tất cả các giao dịch dữ liệu thông qua hầu như bất kỳ loại mạng nào đều dễ bị sử dụng không đúng cách hoặc ngoài ý muốn.

Điều tốt nhất bạn có thể làm là bảo vệ việc sử dụng trực tuyến của bạn và bảo vệ mạng cục bộ của bạn khỏi các cuộc tấn công.

Thêm vào các chi tiết Gilles quy tắc bảo mật IoT cơ bản nhất, quy tắc bảo mật đầu tiên tại nhà là bảo mật cổng vào của bạn đầy đủ. Cài đặt đúng trên bộ định tuyến của bạn sẽ ngăn chặn hầu hết các cuộc tấn công trong các bài hát của họ. Nếu bộ định tuyến của bạn không được cấu hình đúng cách, bảo vệ các thiết bị phía sau nó là moot. Một bộ định tuyến bị xâm nhập có nghĩa là bạn có khả năng cho các cuộc tấn công trung gian trong chính ngôi nhà của mình.

Do đó, hãy bắt đầu với việc bảo vệ bộ định tuyến của bạn, sau đó tự tìm đến các thiết bị IoT.

Vô hiệu hóa Universal Plug and Play

Nếu bạn không cần nó, nó cũng có thể gây rủi ro bảo mật.

Một virus, ngựa Trojan, sâu hoặc chương trình độc hại khác có thể lây nhiễm máy tính trên mạng cục bộ của bạn có thể sử dụng UPnP, giống như các chương trình hợp pháp có thể. Mặc dù bộ định tuyến thường chặn các kết nối đến, ngăn chặn một số truy cập độc hại, UPnP có thể cho phép một chương trình độc hại vượt qua tường lửa hoàn toàn. Ví dụ, một con ngựa thành Troia có thể cài đặt chương trình điều khiển từ xa trên máy tính của bạn và mở một lỗ hổng cho nó trong tường lửa của bộ định tuyến, cho phép truy cập 24/7 vào máy tính của bạn từ Internet. Nếu UPnP bị vô hiệu hóa, chương trình không thể mở cổng - mặc dù nó có thể vượt qua tường lửa theo những cách khác và gọi điện về nhà.

(Từ howtogeek.com: UPnP có rủi ro bảo mật không? )

Đối với khía cạnh "kết nối từ bất cứ đâu", bạn rất hài lòng với ứng dụng khách phần mềm mà bạn được cung cấp để tương tác với Nest, v.v. Một khách hàng an toàn nên sử dụng một cái gì đó như SSH, không chỉ mã hóa kết nối (để tránh nghe lén) , nhưng cũng chỉ cho phép kết nối khi máy khách biết khóa riêng.

Một số ứng dụng ngân hàng sử dụng một hệ thống trong đó bạn có một tiện ích cung cấp cho bạn một số được đồng bộ hóa với máy chủ theo cách nào đó, cũng như sử dụng mật khẩu bạn có một số thách thức luôn thay đổi chỉ được biết đến với máy chủ và chủ sở hữu của các tiện ích. Tôi không biết bất kỳ hệ thống gia đình nào cung cấp một cái gì đó tương tự, nhưng điều này sẽ giúp điều khiển từ xa an toàn hơn nhiều.

Một số hệ thống cho phép bạn khóa phạm vi địa chỉ IP được phép kết nối từ xa. Đây là một chút rác rưởi, nhưng tôi cho rằng tốt hơn là không có gì.

Một giải pháp khả thi có thể là việc sử dụng các thiết bị được tạo ra đặc biệt để cải thiện bảo mật. Trong trường hợp nhà tự động, rào cản đầu tiên là bộ định tuyến và với một thiết bị đặc biệt chúng ta có thể đạt được một số lợi ích.

Ví dụ: Norton Core Router ¹ cung cấp các tính năng sau:

1. Nó kiểm tra tất cả các gói đi qua cho các cuộc tấn công đã biết.
2. Cập nhật thường xuyên. Vì vậy, các vấn đề bảo mật mới được phát hiện được xử lý nhanh chóng.
3. Nhiều mạng. Bạn có thể có các thiết bị dễ bị tổn thương nhất trong một mạng riêng do đó bảo vệ phần còn lại.
4. Điểm an ninh. Xác định các vấn đề bảo mật có thể có và rò rỉ và tổng hợp thành một số.

Đây chỉ là một số điểm nổi bật. Để biết thêm chi tiết truy cập các liên kết trong câu trả lời chi tiết hơn này .

_{1 Ý tưởng này được lấy cảm hứng từ câu hỏi này và câu trả lời này , vì vậy tín dụng nên được chuyển đến @ Aurora0001 và @bang. Ngoài ra, nó là một minh chứng tốt về nội dung hữu ích mà chúng tôi đang xây dựng ở đây.}

Dưới đây là một vài điều mà tôi trích dẫn từ symantec.com :

• Nghiên cứu khả năng và tính năng bảo mật của thiết bị IoT trước khi mua
• Thực hiện kiểm toán các thiết bị IoT được sử dụng trên mạng của bạn
• Thay đổi thông tin đăng nhập mặc định trên thiết bị. Sử dụng mật khẩu mạnh và duy nhất cho tài khoản thiết bị và mạng Wi-Fi
• Sử dụng phương thức mã hóa mạnh khi thiết lập truy cập mạng Wi-Fi (WPA)
• Vô hiệu hóa các tính năng và dịch vụ không bắt buộc
• Vô hiệu hóa đăng nhập Telnet và sử dụng SSH khi có thể
• Vô hiệu hóa Universal Plug and Play (UPnP) trên các bộ định tuyến trừ khi thực sự cần thiết
• Sửa đổi cài đặt bảo mật và quyền riêng tư mặc định của thiết bị IoT theo yêu cầu và chính sách bảo mật của bạn
• Vô hiệu hóa hoặc bảo vệ quyền truy cập từ xa vào các thiết bị IoT khi không cần thiết
• Sử dụng kết nối có dây thay vì không dây nếu có thể
• Thường xuyên kiểm tra trang web của nhà sản xuất để cập nhật firmware
• Đảm bảo rằng sự cố ngừng phần cứng không dẫn đến trạng thái không an toàn của thiết bị

Tôi ủng hộ mạnh mẽ đặc biệt là 3 ^thứ và 6 ^thứ điểm - mật khẩu mặc định và đăng nhập Telnet chỉ đơn giản là đang yêu cầu bị tấn công.

Có một rào cản khác mà bạn có thể nêu ra đó là ngay cả trong mạng của bạn. Trừ khi bạn thực sự cần một địa chỉ IPv4 có thể định địa chỉ bên ngoài, bạn có thể kiểm tra xem nhà cung cấp Internet của bạn có sử dụng Dual Stack Lite hay không . Thông thường các nhà cung cấp Internet chuyển sang tiêu chuẩn đó để lưu địa chỉ IPv4, tuy nhiên một số cung cấp tùy chọn IPv4.

Điều đặc biệt với Dual-Stack Lite là nó cung cấp cho bạn những ưu điểm và nhược điểm của NAT dựa trên tàu sân bay . Mặc dù điều đó có nghĩa là bạn không thể sử dụng các dịch vụ như DynDNS và không thể sử dụng cổng mở dựa trên IPv4 ra bên ngoài, điều đó cũng có nghĩa là bạn hoàn toàn không thể truy cập được đối với bất kỳ yêu cầu IPv4 nào đến từ Internet. Hãng vận tải NAT đơn giản sẽ không chuyển tiếp các cuộc gọi đó. Các cuộc gọi không liên lạc với bạn không thể thỏa hiệp thiết lập của bạn.

Hàng triệu khách hàng cuối cùng đã được hưởng sự bảo vệ nâng cao đó nhưng nếu bạn có tùy chọn IPv4 được kích hoạt, bạn có thể xem xét tắt nó, nếu bạn không thực sự cần nó.