我所有的IoT设备都位于防火墙后面(如恒温器-Honeywell)。
它们连接到Internet,但仅传出。我没有端口转发设置。
如果所有IoT设备都在路由器的防火墙后面,并且我没有任何端口转发到这些设备,那么使用默认用户名和密码会有什么风险?
#1 楼
您听说过的病毒可能是Mirai。我们最近遇到了一些问题,可能会有助于您阅读有关上下文的信息,因为您的问题涵盖了以下几个方面:
如何检查我的IoT设备是否感染了Mirai蠕虫?
确保小型家庭自动化设置的安全性
从理论上讲,如果路由器阻止了所有传入的连接,这使得Mirai进入和感染设备的难度大大增加。 Mirai公开可用的源代码似乎表明它只是将数据包发送到尽可能多的IP,如果有答复,它将随机尝试它知道的默认密码。如果您有兴趣,我会事先写一个答案。
我担心的是,如果Mirai确实设法通过一个配置错误或不安全的设备进入您的家庭网络,它将使所有您的防火墙和安全性毫无用处。 Mirai要检查的IP范围之一是
192.168.0.0/16
(路由器的专用网络),因此Mirai几乎可以肯定会传播到所有易受攻击的设备中。阻止Mirai攻击您的网络的解决方案很简单-将每个设备的密码更改为默认值,然后重新启动设备。如果这样做,即使您的设备可以通过Internet访问,Mirai也不会发起攻击(并不是说,如果不需要的话,使事物可访问是个好主意!)。
有一个此处列出易受攻击的设备,或者您可以运行Incapsula的扫描仪。请注意,这些将仅检查Mirai的漏洞-其他病毒的运行方式可能不同,遵循“保护小型家庭自动化设置”中的建议可能是最好的选择。
#2 楼
@ Aurora0001已经解决了大问题:毫无疑问,您听说过Mirai攻击。正如他所说,将您的密码更改为默认值-而不是显而易见的。下面列出了Mirai打算使用的近60个用户名和密码:
666666 666666
888888 888888
admin (none)
admin 1111
admin 1111111
admin 1234
admin 12345
admin 123456
admin 54321
admin 7ujMko0admin
admin admin
admin admin1234
admin meinsm
admin pass
admin password
admin smcadmin
admin1 password
administrator 1234
Administrator admin
guest 12345
guest guest
root (none)
root 00000000
root 1111
root 1234
root 12345
root 123456
root 54321
root 666666
root 7ujMko0admin
root 7ujMko0vizxv
root 888888
root admin
root anko
root default
root dreambox
root hi3518
root ikwb
root juantech
root jvbzd
root klv123
root klv1234
root pass
root password
root realtek
root root
root system
root user
root vizxv
root xc3511
root xmhdipc
root zlxx.
root Zte521
service service
supervisor supervisor
support support
tech tech
ubnt ubnt
user user
(源代码)
所以绝对要更改用户名您所有设备上的密码和密码-安全可靠!
#3 楼
物联网的问题是,您经常无法或不会获得设备更新,或者无法对设备进行有意义的安全更改。如何保护网络安全是一个冗长的讨论,涉及许多选择。该专业称为InfoSec(信息安全)。GRC的史蒂夫·吉布森(Steve Gibson)建议使用“ 3笨路由器”(PDF)方法(在他的播客的第545集中)来保护您的网络。如果您不是InfoSec专业人员或业余爱好者,则应从此入手。
如果您不是InfoSec专业人员或业余爱好者,则可以研究更复杂的方法。以下是一些随机的入门指南:
禁用UPnP(GRC,HowToGeek,MakeUseOf)
运行pfSense(或类似的)防火墙
放入IoT将设备连接到单独的VLAN(类似于3个哑路由器)
配置pfSense框,以通过商业VPN(Nord VPN,PIA,pfSense)路由所有流量。如果为此使用SOHO路由器,则会遇到多个轻量级用户的问题。
配置防火墙以禁止对物联网设备进行Internet访问。不过,这可能会破坏“ IoT”中的“ I”。
使用您的VPN的DNS服务器。 (Torrentfreak 2017版本)
使用OpenDNS
#4 楼
除了上面非常好的讨论之外,您还可以成为Insecure.Org的旗舰工具nmap开头的安全专家,从而可以使用简单的命令对目标设备(192.168.1.1)进行基本扫描:
[nmap -A -T4 192.168.1.1]
可以在Nmap备忘单页面上找到更多详细信息,示例和提示,以了解如何扫描网络。
但是,请扫描您网络中的每个IoT设备,并在打开了可疑端口的情况下重新检查每个设备。