我有一个小型家庭自动化实验室(我一直说我会扩大,但没有扩大)。在此设置中,我有一个控制系统来控制灯光(利用x10协议),百叶窗,Nest温控器和两个网络摄像头。想稍微保护一下我的小设置。

家庭用户可以做些什么来保护他们的网络,同时又保持“随处连接”这一营销的重要组成部分?

评论

相关:security.stackexchange.com/questions/140760/…

#1 楼

IoT设备绝对最常见的问题是默认密码。因此,更改所有密码。为每个设备选择一个唯一的随机密码,并将其记录在纸上(纸张可以防止远程攻击者和硬盘故障)。 12个随机(即计算机生成的)小写字母代表安全性和难以键入之间的良好折衷。每台设备都应使用不同的密码,以便破解一个密码不会使攻击者破解所有密码。在密码管理器中输入密码,然后在用于控制设备的计算机中使用该密码管理器。

如果设备具有不同的授权渠道,例如管理密码和日常使用使用密码,两者都使用不同的密码,并且仅在选定设备上记录管理密码。一个典型的家用路由器就足够了,但是您应该关闭UPnP,这可能会导致外部的反向通道。目的是确保没有直接的方法可以从Internet连接到设备。连接应始终通过本身需要身份验证才能通过的网关,并且您要不断修补任何安全更新。可能是个问题。

评论


尽管不那么安全,但即使将您自己的所有密码都设置为您的名字也是相当安全的,并且比出厂默认设置还好(即使那又长又复杂)。原因是大多数时候IoT设备没有被黑客入侵,只是使用默认值登录。

– Helmar♦
16 Dec 8'在15:32



密码上必要的xkcd:imgs.xkcd.com/comics/password_strength.png

–滕西拜
17年4月21日在7:47

@Tensibai在这里不是真的适用。那漫画是关于难忘的密码。您在IoT设备上不需要难忘的密码,该密码通常总是存储在计算机/电话的密码管理器中。

–吉尔斯'所以-不再是邪恶的'
17年4月21日在8:29

@Tensibai 12个随机小写字母是56位的熵。这与xkcd词典中的5字密码短语相比要稍微多一点,而且在偶尔需要传递密码时,有时更容易键入。随机字母不利于记忆,但是对于不需要记住的密码,这是最佳选择。

–吉尔斯'所以-不再是邪恶的'
17年4月21日在8:47

#2 楼

与往常一样,“从任何地方连接”设置的安全性很大一部分是确保帐户信息的安全性。通常的规则适用于:


不共享密码
避免使用cookie来保存密码(尽管cookie总是难以抗拒)
定期更改密码br />通过电子邮件注意其他违规行为(网络钓鱼,诈骗等),包括在可靠的公司系统中的违规行为。例如,如果违反了Target的客户数据库,请更改您的密码。
使用唯一的密码(感谢@Gilles)
...许多其他Internet安全基础...如TomsGuide文章中所述,这是您可以对网络执行的一系列操作:



不要使用WEP !,而要使用WPA2(PSK)或更好的功能在您的网络上,并保持最新的协议最强。
保持路由器/调制解调器更新。我相信大多数路由器(尤其是较旧的路由器)不会自我更新,许多人会忘记为其路由器检查/安装最新的固件更新。
为物联网设备创建单独的Wi-Fi网络。或者,在网络中设置一个子网来连接IoT设备。
在路由器上安装/设置防火墙。
禁用任何访客网络或提升安全协议。

不幸的是, ,从应用程序,网站以及技术上来说,从消费者的角度来说,安全性几乎是您无法控制的。几乎任何类型的网络上的所有数据交易都容易受到不当使用或不当使用的影响。

评论


这里有些好,有些坏,但弊大于弊。 “避免使用Cookie”:适得其反。 “定期更改密码”:毫无意义,通常适得其反。缺少关键点:请勿使用默认密码。

–吉尔斯'所以-不再是邪恶的'
16 Dec 7'在0:48

我必须同意Gilles的观点,大多数这些通用技巧仅适用于IoT设备甚至连接它们的路由器。充其量它们可以应用于任何控制仪表板等的Web UI。

– Helmar♦
16 Dec 8'在15:31

#3 楼

除了最基本的物联网安全规则吉尔斯(Gilles)的细节外,家庭安全的第一条规则是充分保护您的入口门。路由器上的正确设置将阻止大多数攻击。如果路由器的配置不正确,则保护路由器后面的设备没有意义。路由器被破坏意味着您有可能在家中受到中间人的攻击。 />

#4 楼

禁用通用即插即用功能
,如果不需要,也可能带来安全风险。

病毒,特洛伊木马,蠕虫或其他恶意程序可以感染就像合法程序一样,本地网络上的计算机可以使用UPnP。虽然路由器通常会阻止传入连接,从而防止某些恶意访问,但UPnP可能允许恶意程序完全绕过防火墙。例如,特洛伊木马可以在您的计算机上安装一个远程控制程序,并在路由器的防火墙中为其打开一个漏洞,从而允许从Internet 24/7全天候访问您的计算机。如果UPnP被禁用,则该程序无法打开端口,尽管它可以通过其他方式绕过防火墙和电话回家。 />

#5 楼

对于“从任何地方连接”方面,您几乎只能依靠提供与Nest等进行交互的软件客户端。安全的客户端应使用SSH之类的东西,它不仅可以加密连接(避免窃听) ,但仅在客户端知道私钥时才允许连接。以及使用密码,您将拥有一个不断变化的挑战号,只有服务器和小工具所有者才能知道。我不知道这些提供类似功能的家用系统,但这会使远程控制更加安全。允许的。这有点垃圾,但我想总比没有好。

评论


从理论上讲,如果您从不打算离开欧盟或美国(或不想在那里控制多米尼加共和国),则应该阻止连接。它有助于防止偶然的扫描等,我认为这是大多数“黑客”。但是任何真正想连接到您的设备的人都可以设置代理或住在您附近。

– Paul
17年5月5日在15:55

#6 楼

一种可能的解决方案是使用专门为提高安全性而创建的设备。如果是自动化家庭,则第一个障碍就是路由器,而有了特殊的路由器,我们可以获得一些好处。例如,Norton Core Router1提供以下功能: br />
它检查所有经过已知攻击的数据包。
频繁更新。因此,新发现的安全问题可以得到快速处理。
多个网络。您可以将最易受攻击的设备放在单独的网络中,从而保护其余设备。
安全性得分。确定可能的安全问题和泄漏并将其汇总为一个数字。

这些只是一些要点。有关更多详细信息,请访问此更详细的答案中的链接。另外,它很好地展示了我们在这里构建的有用内容。

#7 楼

以下是我从symantec.com引用的一些信息:



购买前研究IoT设备的功能和安全性功能
对IoT进行审核网络上使用的设备
更改设备上的默认凭据。对设备帐户和Wi-Fi网络使用强而独特的密码
在设置Wi-Fi网络访问(WPA)时使用强加密方法
禁用不需要的功能和服务
禁用Telnet登录并在可能的情况下使用SSH
除非绝对必要,否则禁用路由器上的通用即插即用(UPnP)
根据您的要求和安全策略修改IoT设备的默认隐私和安全设置
禁用或在不需要时保护对IoT设备的远程访问
尽可能使用有线连接代替无线连接
定期检查制造商的网站以更新固件
确保硬件故障不会导致不安全状态设备的




我强烈支持特别是第3点和第6点-默认密码和Telnet登录仅要求被黑。

#8 楼

您可以提高的另一个障碍甚至不在您的网络中。除非您确实需要外部可寻址的IPv4地址,否则可以检查您的Internet提供商是否使用Dual Stack Lite。通常,Internet提供商会转而使用该标准来保存IPv4地址,但有些提供商却提供了IPv4选项。但这确实意味着您将无法使用DynDNS之类的服务,也无法使用基于IPv4的开放端口到外部,这也意味着对于Internet意外发出的任何IPv4请求,您都是完全无法访问的。运营商NAT不会转发这些呼叫。无法接通的电话不会损害您的设置。

数百万的最终客户已经享受了这种增强的保护,但是如果您拥有激活的IPv4选项,则可以取消激活它,如果您实际上不需要的话。它。