Ho un piccolo laboratorio di automazione domestica (che continuo a dire che mi espanderò, ma non l'ho fatto). In questa configurazione, ho un sistema di controllo per il controllo delle luci (utilizzando il protocollo x10), persiane, un termostato Nest e due web cam.

Con la recente impostazione record DDoS attacca utilizzando dispositivi IoT non garantiti, mi piacerebbe proteggere un po 'la mia piccola configurazione.

Cosa può fare un utente domestico per proteggere la propria rete pur mantenendo l'aspetto "connettersi da qualsiasi luogo" che è una parte importante del marketing?

Il problema più comune in assoluto con i dispositivi IoT sono le password predefinite. Quindi cambia tutte le password . Scegli una password univoca e casuale per ogni dispositivo e scrivila su carta (la carta è al sicuro da attacchi remoti e guasti del disco rigido). 12 lettere minuscole casuali (generate al computer) rappresentano un buon compromesso tra sicurezza ed essere difficili da scrivere. Ogni dispositivo dovrebbe avere una password diversa in modo che una violazione non permetta all'attaccante di romperle tutte. Immettere le password in un gestore password e utilizzare tale gestore password nei computer utilizzati per controllare i dispositivi.

Se il dispositivo ha canali di autorizzazione diversi, ad esempio una password di amministrazione e una password di utilizzo giornaliera, utilizzare password diverse per entrambi e registrare la password di amministrazione solo su dispositivi selezionati.

La seconda misura di sicurezza generica è garantire che tutti i dispositivi siano protetti da un firewall o almeno da un dispositivo NAT. Un tipico router domestico è sufficiente, ma è necessario disattivare UPnP che può consentire canali posteriori involontari dall'esterno. L'obiettivo è garantire che non ci sia modo diretto per connettersi da Internet al dispositivo. Le connessioni devono sempre passare attraverso un gateway che a sua volta richiede l'autenticazione per l'attraversamento e che viene mantenuto aggiornato con eventuali aggiornamenti di sicurezza.

Dovresti anche applicare gli aggiornamenti di sicurezza su tutti i dispositivi ... se esistono, il che può essere un problema.

Come sempre, gran parte della sicurezza con configurazioni "connettiti da qualsiasi luogo" sta garantendo la sicurezza delle informazioni del tuo account. Si applicano le solite regole:

• Non condividere la tua password
• Evita di usare i cookie per salvare le password (anche se i cookie sono sempre difficili da resistere)
• Cambia regolarmente le password
• Essere consapevoli di altre violazioni via e-mail (phishing, truffe, ecc.), Comprese le violazioni nei sistemi credibili dell'azienda. Ad esempio, se il database dei clienti di Target viene violato, si prega di modificare le password.
• Usa password uniche (grazie @Gilles)
• ... Molte altre nozioni di base sulla sicurezza di Internet ...

Ecco un buon elenco di cose che puoi fare sulla tua rete come spiegato in questo articolo di TomsGuide :

• Non usare WEP! , invece usa WPA2 (PSK) o meglio sulla tua rete e tieniti aggiornato con quali protocolli sono i più potenti.
• Mantieni il tuo router / modem aggiornato. Credo che la maggior parte dei router (in particolare i modelli precedenti) non si auto-aggiornino e molte persone dimenticano di controllare / installare gli ultimi aggiornamenti del firmware sul proprio router.
• Crea una rete Wi-Fi separata per i tuoi dispositivi IoT. In alternativa, imposta una sottorete nella tua rete per connettere i tuoi dispositivi IoT.
• Installa / imposta un firewall sul tuo router.
• Disabilita qualsiasi rete ospite o eleva il protocollo di sicurezza.

Sfortunatamente, la sicurezza è per lo più fuori dal tuo controllo a livello di consumatore con app, siti Web e tecnicamente i tuoi dati non elaborati. Tutte le transazioni di dati attraverso praticamente qualsiasi tipo di rete sono suscettibili di uso improprio o non intenzionale.

Il meglio che puoi fare è proteggere il tuo utilizzo online e proteggere la tua rete locale dagli attacchi.

Aggiungendo alla regola di sicurezza IoT di base i dettagli di Gilles, la prima regola di sicurezza a casa è quella di proteggere adeguatamente il gate d'ingresso. Le impostazioni corrette sul router fermeranno la maggior parte degli attacchi nelle loro tracce. Se il router non è configurato correttamente, proteggere i dispositivi dietro di esso è controverso. Un router compromesso significa che hai la possibilità di attacchi man-in-the-middle a casa tua.

Quindi, inizia con la protezione del router, quindi procedi verso i dispositivi IoT stessi.

Disabilita Universal Plug and Play

Se non ne hai bisogno, può anche rappresentare un rischio per la sicurezza.

Un virus, un cavallo di Troia, un worm o un altro programma dannoso che riesce a infettare un computer sulla rete locale può utilizzare UPnP, proprio come i programmi legittimi. Mentre un router normalmente blocca le connessioni in entrata, impedendo l'accesso dannoso, UPnP potrebbe consentire a un programma dannoso di bypassare del tutto il firewall. Ad esempio, un cavallo di Troia potrebbe installare un programma di controllo remoto sul computer e aprire un buco nel firewall del router, consentendo l'accesso 24/7 al computer da Internet. Se UPnP fosse disabilitato, il programma non poteva aprire la porta, sebbene potesse bypassare il firewall in altri modi e telefonare a casa.

(Da howtogeek.com: UPnP è un rischio per la sicurezza? )

Per l'aspetto "connettiti da qualsiasi luogo", sei praticamente in balia del client software che ti viene fornito per interagire con Nest, ecc. Un client sicuro dovrebbe usare qualcosa come SSH, che non solo crittografa la connessione (per evitare intercettazioni) , ma consente anche una connessione solo quando il client conosce la chiave privata.

Alcune app bancarie utilizzano un sistema in cui hai un gadget che ti fornisce un numero che è in qualche modo sincronizzato con il server, quindi oltre a utilizzare una password hai un numero di sfida in continua evoluzione noto solo al server e al titolare del gadget. Non conosco nessuno di questi sistemi domestici che offrono qualcosa di simile, ma ciò renderebbe il controllo remoto molto più sicuro.

Alcuni sistemi consentono di bloccare l'intervallo di indirizzi IP da cui è consentita una connessione remota. È un po 'spazzatura, ma suppongo che meglio di niente.

Una possibile soluzione potrebbe essere l'uso di dispositivi creati appositamente per migliorare la sicurezza. Nel caso di una casa automatizzata, la prima barriera è il router e con uno speciale possiamo ottenere alcuni vantaggi.

Ad esempio, Norton Core Router ¹ offre le seguenti funzionalità:

1. Ispeziona tutti i pacchetti che attraversano per attacchi noti.
2. Aggiornamenti frequenti. Quindi i problemi di sicurezza appena scoperti vengono gestiti rapidamente.
3. Rete multipla. Puoi avere i dispositivi più vulnerabili in una rete separata proteggendo così il resto.
4. Punteggio di sicurezza. Identificazione di possibili problemi di sicurezza e perdite e la somma in un numero.

Questi sono solo alcuni punti salienti. Per maggiori dettagli visita i link in questa risposta più dettagliata .

_{1 Questa idea è stata ispirata da questa domanda e questa risposta , quindi il merito dovrebbe andare a @ Aurora0001 e @bang. Inoltre, è una buona dimostrazione del contenuto utile che stiamo costruendo qui.}

Ecco alcune cose che cito da symantec.com :

• Ricerca le funzionalità e le funzionalità di sicurezza di un dispositivo IoT prima dell'acquisto
• Esegui un controllo dei dispositivi IoT utilizzati sulla tua rete
• Modifica le credenziali predefinite sui dispositivi. Utilizza password complesse e uniche per gli account dei dispositivi e le reti Wi-Fi
• Utilizzare un metodo di crittografia avanzato quando si configura l'accesso alla rete Wi-Fi (WPA)
• Disabilita funzionalità e servizi non richiesti
• Disabilita l'accesso Telnet e utilizza SSH ove possibile
• Disabilita Universal Plug and Play (UPnP) sui router a meno che non sia assolutamente necessario
• Modifica le impostazioni predefinite di privacy e sicurezza dei dispositivi IoT in base ai tuoi requisiti e alla tua politica di sicurezza
• Disabilitare o proteggere l'accesso remoto ai dispositivi IoT quando non necessario
• Utilizzare le connessioni cablate anziché wireless, ove possibile
• Controllare regolarmente il sito Web del produttore per gli aggiornamenti del firmware
• Assicurarsi che un'interruzione dell'hardware non provochi uno stato non sicuro del dispositivo

Sostengo fortemente soprattutto il 3 ^° e il 6 ^° punto: password predefinite e accessi Telnet chiedono semplicemente di essere hackerati.

C'è un'altra barriera che puoi sollevare che non è nemmeno nella tua rete. A meno che tu non abbia davvero bisogno di un indirizzo IPv4 indirizzabile esternamente, puoi verificare se il tuo provider Internet utilizza Dual Stack Lite . Spesso i provider di servizi Internet passano a quello standard per salvare gli indirizzi IPv4, alcuni tuttavia offrono opzioni IPv4.

Il vantaggio di Dual-Stack Lite è che ti offre i vantaggi e gli svantaggi di un NAT basato sul vettore . Ciò significa che non è possibile utilizzare servizi come DynDNS e non è possibile utilizzare la porta aperta basata su IPv4 all'esterno ma significa anche che si è completamente irraggiungibili per eventuali richieste IPv4 che arrivano inaspettatamente da Internet. Il gestore telefonico NAT semplicemente non inoltrerà tali chiamate. Le chiamate che non ti raggiungono non possono compromettere la tua configurazione.

Milioni di clienti finali godono già di tale protezione avanzata, ma se si dispone di un'opzione IPv4 attivata, è possibile considerare di disattivarla, se in realtà non è necessaria.