Protegendo pequenas configurações de automação residencial

52

Eu tenho um pequeno laboratório de automação residencial (que continuo dizendo que vou expandir, mas não o fiz). Nesta configuração, eu tenho um sistema de controle para controlar luzes (utilizando o protocolo x10), persianas, um termostato Nest e duas webcams.

Com os recentes ataques DDoS de configuração de registro utilizando dispositivos IoT não seguros, eu gostaria de proteger um pouco minha pequena configuração.

O que um usuário doméstico pode fazer para proteger sua rede, mantendo o aspecto "conectar de qualquer lugar", que é uma grande parte do marketing?

Andy
fonte

Respostas:

24

O problema mais comum absoluto com dispositivos de IoT são as senhas padrão. Então mude todas as senhas . Escolha uma senha aleatória exclusiva para cada dispositivo e anote-a em papel (o papel está protegido contra invasores remotos e falhas no disco rígido). 12 letras minúsculas aleatórias (ou seja, geradas por computador) representam um bom compromisso entre segurança e dificuldade de digitação. Cada dispositivo deve ter uma senha diferente para que a quebra de uma não permita que o invasor quebre todas elas. Digite as senhas em um gerenciador de senhas e use-o nos computadores que você usa para controlar os dispositivos.

Se o dispositivo tiver canais de autorização diferentes, por exemplo, uma senha de administração e uma senha de uso diária, use senhas diferentes para ambos e grave apenas a senha de administração nos dispositivos selecionados.

A segunda medida de segurança genérica é garantir que todos os seus dispositivos estejam protegidos por um firewall ou pelo menos um dispositivo NAT. Um roteador doméstico típico é suficiente, mas você deve desativar o UPnP, o que pode permitir canais posteriores inadvertidos do lado de fora. O objetivo é garantir que não haja uma maneira direta de conectar-se da Internet ao dispositivo. As conexões sempre devem passar por um gateway que requer autenticação para atravessar e que você mantenha as atualizações de segurança.

Você também deve aplicar atualizações de segurança em todos os dispositivos ... se eles existirem, o que pode ser um problema.

Gilles 'SO- parar de ser mau'
fonte
11
Embora não seja tão seguro, mesmo definir todas as suas próprias senhas como seu primeiro nome é bastante seguro e melhor do que o padrão de fábrica (mesmo que seja mais longo e complexo). O motivo é que, na maioria das vezes, os dispositivos IoT não são invadidos, mas apenas são conectados com os valores padrão.
Helmar
11
Xkcd necessárias sobre senhas: imgs.xkcd.com/comics/password_strength.png
Tensibai
11
@ Tensibai Isso não é realmente aplicável aqui. Essa história em quadrinhos é sobre senhas memoráveis . Você não precisa de uma senha memorável em um dispositivo IoT; a senha normalmente sempre será armazenada no gerenciador de senhas do seu computador / telefone.
Gilles 'SO- stop be evil'
2
@Tensibai 12 letras minúsculas aleatórias são 56 bits de entropia. Isso é um pouco mais do que uma frase secreta de 5 palavras com o dicionário xkcd, e é muito mais fácil digitar nos momentos ocasionais em que você precisa passá-la. Letras aleatórias são ruins para memorização, mas para uma senha que você não precisa lembrar, essa é a melhor escolha.
Gilles 'SO- stop be evil'
21

Como sempre, grande parte da segurança com as configurações "conectar de qualquer lugar" é garantir a segurança das informações da sua conta. As regras usuais se aplicam:

  • Não compartilhe sua senha
  • Evite usar cookies para salvar senhas (embora os cookies sejam sempre difíceis de resistir)
  • Alterar senhas regularmente
  • Esteja ciente de outras violações por email (phishing, fraudes etc.), incluindo violações em sistemas credíveis da empresa. Por exemplo, se o banco de dados de clientes do Target for violado, altere suas senhas.
  • Use senhas exclusivas (obrigado @Gilles)
  • ... Muitos outros conceitos básicos de segurança na Internet ...

Aqui está uma boa lista de coisas que você pode fazer na sua rede, conforme explicado neste artigo do TomsGuide :

  • Não use WEP! , use WPA2 (PSK) ou melhor em sua rede e mantenha-se atualizado com os protocolos mais fortes.
  • Mantenha seu roteador / modem atualizado. Acredito que a maioria dos roteadores (especialmente modelos mais antigos) não se atualizam automaticamente e muitas pessoas esquecem de verificar / instalar as atualizações de firmware mais recentes no roteador.
  • Crie uma rede Wi-Fi separada para seus dispositivos IoT. Como alternativa, configure uma sub-rede na sua rede para conectar seus dispositivos IoT.
  • Instale / configure um firewall no seu roteador.
  • Desative qualquer rede de convidados ou eleve o protocolo de segurança.

Infelizmente, a segurança está fora de controle, principalmente do nível do consumidor, com aplicativos, sites e tecnicamente seus dados brutos. Todas as transações de dados através de praticamente qualquer tipo de rede são suscetíveis a uso impróprio ou não intencional.

O melhor que você pode fazer é proteger seu uso on-line e proteger sua rede local contra ataques.

tbm0115
fonte
3
Alguns bons, outros ruins aqui, mas mais ruins que bons. “Evite usar cookies”: contraproducente. “Altere senhas regularmente”: inútil, geralmente contraproducente. Ponto principal ausente: não use senhas padrão.
Gilles 'SO- stop be evil'
2
Eu tenho que concordar com Gilles, a maioria dessas dicas genéricas se aplica apenas metade aos dispositivos IoT e até aos roteadores que os conectam. Na melhor das hipóteses, eles se aplicam à interface do usuário da web de qualquer painel de controle ou similar.
Helmar
13

Adicionando aos detalhes mais básicos de Gilles da regra de segurança da IoT, a primeira regra de segurança em casa é proteger seu portão de entrada adequadamente. As configurações apropriadas no seu roteador interromperão a maioria dos ataques. Se o seu roteador não estiver configurado corretamente, a proteção dos dispositivos por trás dele é discutível. Um roteador comprometido significa que você tem a possibilidade de ataques man-in-the-middle em sua própria casa.

Portanto, comece protegendo seu roteador e trabalhe até os próprios dispositivos IoT.

Helmar
fonte
10

Desativar o Plug and Play universal

Se você não precisar, também pode representar um risco à segurança.

Um vírus, cavalo de Tróia, worm ou outro programa malicioso que consegue infectar um computador na rede local pode usar o UPnP, da mesma forma que programas legítimos. Enquanto um roteador normalmente bloqueia conexões de entrada, impedindo algum acesso malicioso, o UPnP pode permitir que um programa malicioso ignore completamente o firewall. Por exemplo, um cavalo de Tróia pode instalar um programa de controle remoto no seu computador e abrir um buraco no firewall do seu roteador, permitindo acesso 24/7 ao seu computador pela Internet. Se o UPnP estivesse desativado, o programa não conseguiria abrir a porta - embora pudesse ignorar o firewall de outras maneiras e telefonar para casa.

(Em howtogeek.com: o UPnP é um risco à segurança? )

anonymous2
fonte
8

Para o aspecto "conectar de qualquer lugar", você está à mercê do cliente de software fornecido para interagir com o Nest etc. Um cliente seguro deve usar algo como SSH, que não apenas criptografa a conexão (para evitar escutas) , mas também permite apenas uma conexão quando o cliente conhece a chave privada.

Alguns aplicativos bancários usam um sistema em que você possui um gadget que fornece um número sincronizado com o servidor de alguma forma, além de usar uma senha, você tem um número de desafio em constante mudança, conhecido apenas pelo servidor e pelo titular do gadget. Não conheço nenhum desses sistemas domésticos que oferecem algo semelhante, mas isso tornaria o controle remoto muito mais seguro.

Alguns sistemas permitem bloquear o intervalo de endereços IP dos quais uma conexão remota é permitida. Isso é um pouco ruim, mas suponho que seja melhor do que nada.

TheMagicCow
fonte
11
Bem, teoricamente, se você nunca planeja sair da UE ou da América (ou não deseja controlar a domótica a partir daí), basta bloquear as conexões. Ajuda contra varreduras acidentais, etc., que acredito serem a maioria dos "hacks". Mas qualquer pessoa que realmente queira se conectar ao seu dispositivo pode configurar um proxy ou morar perto de você.
Paul
8

Uma solução possível poderia ser o uso de dispositivos criados especialmente para melhorar a segurança. No caso de uma casa automatizada, a primeira barreira é o roteador e, com uma especial, podemos obter alguns benefícios.

Por exemplo, o Norton Core Router 1 oferece os seguintes recursos:

  1. Ele inspeciona todos os pacotes passando por ataques conhecidos.
  2. Atualizações frequentes. Portanto, os problemas de segurança recém-descobertos são tratados rapidamente.
  3. Rede múltipla. Você pode ter os dispositivos mais vulneráveis ​​em uma rede separada, protegendo o restante.
  4. Pontuação de segurança. Identificação de possíveis problemas de segurança e vazamentos e resume em um número.

Estes são apenas alguns destaques. Para mais detalhes, visite os links nesta resposta mais detalhada .

1 Essa idéia foi inspirada nesta pergunta e nesta resposta ; portanto, o crédito deve ir para @ Aurora0001 e @bang. Além disso, é uma boa demonstração do conteúdo útil que estamos construindo aqui.

Bence Kaulics
fonte
7

Aqui estão algumas coisas que cito em symantec.com :

  • Pesquise os recursos e os recursos de segurança de um dispositivo IoT antes da compra
  • Faça uma auditoria dos dispositivos IoT usados ​​na sua rede
  • Altere as credenciais padrão nos dispositivos. Use senhas fortes e exclusivas para contas de dispositivo e redes Wi-Fi
  • Use um método de criptografia forte ao configurar o acesso à rede Wi-Fi (WPA)
  • Desativar recursos e serviços que não são necessários
  • Desative o login do Telnet e use o SSH sempre que possível
  • Desative o Universal Plug and Play (UPnP) nos roteadores, a menos que seja absolutamente necessário
  • Modifique as configurações de privacidade e segurança padrão dos dispositivos IoT de acordo com seus requisitos e política de segurança
  • Desabilitar ou proteger o acesso remoto a dispositivos IoT quando não for necessário
  • Use conexões com fio em vez de sem fio sempre que possível
  • Verifique regularmente o site do fabricante para atualizações de firmware
  • Verifique se uma queda de hardware não resulta em um estado inseguro do dispositivo

Eu apoio fortemente, especialmente os e pontos - senhas padrão e logins do Telnet estão simplesmente pedindo para serem invadidos.

anonymous2
fonte
5

Há outra barreira que você pode levantar que nem está na sua rede. A menos que você realmente precise de um endereço IPv4 endereçável externamente, verifique se o seu provedor de Internet usa o Dual Stack Lite . Muitas vezes, os provedores de Internet mudam para esse padrão para salvar endereços IPv4, mas alguns oferecem opções IPv4.

O problema com o Dual-Stack Lite é que ele oferece as vantagens e desvantagens de um NAT baseado em operadora . Enquanto isso significa que você não pode usar serviços como o DynDNS e não pode usar a porta aberta baseada em IPv4 para o exterior, também significa que você está completamente inacessível para quaisquer solicitações IPv4 vindas inesperadamente da Internet. O NAT da operadora simplesmente não encaminhará essas chamadas. As chamadas que não chegam até você não podem comprometer sua configuração.

Milhões de clientes finais já desfrutam dessa proteção aprimorada, mas se você tiver uma opção IPv4 ativada, poderá desativá-la, se realmente não precisar dela.

Helmar
fonte