小さなホームオートメーションのセットアップを保護する


52

私には小さなホームオートメーションラボがあります(拡大すると言い続けますが、拡大しません)。このセットアップでは、ライト(x10プロトコルを使用)、ブラインド、Nestサーモスタット、2つのWebカムを制御する制御システムがあります。

セキュリティで保護されていないIoTデバイスを利用した最近の記録的なDDoS攻撃により、小規模なセットアップを少し保護したいと思います。

ホームユーザーは、マーケティングの大きな部分である「どこからでも接続」の側面を維持しながら、ネットワークを保護するために何ができますか?


回答:


24

IoTデバイスで最も一般的な問題は、デフォルトのパスワードです。したがって、すべてのパスワードを変更します。すべてのデバイスに固有のランダムなパスワードを選択し、紙に書き留めます(紙はリモートの攻撃者やハードドライブの障害から安全です)。12個のランダムな(つまり、コンピューターで生成された)小文字は、セキュリティと入力が難しいことの間の適切な妥協点を表します。パスワードを破っても攻撃者がそれらすべてを破らないように、各デバイスには異なるパスワードが必要です。パスワードマネージャーにパスワードを入力し、デバイスの制御に使用するコンピューターでそのパスワードマネージャーを使用します。

デバイスに異なる管理チャネル(管理パスワードと日々の使用パスワードなど)がある場合、両方に異なるパスワードを使用し、選択したデバイスにのみ管理パスワードを記録します。

2番目の一般的なセキュリティ対策は、すべてのデバイスがファイアウォールまたは少なくともNATデバイスの背後にあることを確認することです。一般的なホームルーターで十分ですが、外部からの不注意なバックチャネルを許可するUPnPをオフにする必要があります。目標は、インターネットからデバイスに直接接続する方法がないことを保証することです。接続は常に、通過するために認証を必要とするゲートウェイを通過する必要があり、セキュリティ更新プログラムが適用されます。

また、すべてのデバイスにセキュリティ更新プログラムを適用する必要があります。それらが存在する場合は、問題になる可能性があります。


1
それほど安全ではありませんが、自分のパスワードをすべて名前に設定しても、かなり安全であり、工場出荷時のデフォルトよりも優れています(たとえ長くて複雑な場合でも)。その理由は、ほとんどの場合、IoTデバイスはハッキングされず、デフォルト値でログインするだけだからです。
ヘルマー

1
パスワードに必要なxkcd: imgs.xkcd.com/comics/password_strength.png
テンシバイ

1
@Tensibaiここではあまり当てはまりません。そのコミックは記憶に残るパスワードに関するものです。IoTデバイスに覚えやすいパスワードは必要ありません。通常、パスワードは常にコンピューター/電話のパスワードマネージャーに保存されます。
ジル「SO-悪であるのをやめる」

2
@Tensibai 12のランダムな小文字は56ビットのエントロピーです。これは、xkcd辞書を使用した5ワードのパスフレーズよりもわずかに多く、パスする必要があるときどき入力するのがはるかに簡単です。ランダムな文字は記憶に悪いですが、覚えておく必要のないパスワードにとっては、これが最良の選択です。
ジル 'SO-悪であるのをやめる'

21

いつものように、「どこからでも接続」設定のセキュリティの大部分は、アカウント情報のセキュリティを確保することです。通常の規則が適用されます。

  • パスワードを共有しないでください
  • Cookieを使用してパスワードを保存することは避けてください(ただし、Cookieは常に抵抗するのが困難です)
  • パスワードを定期的に変更する
  • 信頼できる企業システムの侵害を含む、電子メールによるその他の侵害(フィッシング、詐欺など)に注意してください。たとえば、ターゲットの顧客データベースが侵害された場合、パスワードを変更してください。
  • 一意のパスワードを使用(@Gillesに感謝)
  • ...他の多くのインターネットセキュリティの基本...

このTomsGuideの記事で説明されているように、ネットワークでできることの良いリストを以下に示します

  • WEPを使用しないでください!代わりに、ネットワークでWPA2(PSK)以上を使用し、どのプロトコルが最も強力かを最新に保ちます。
  • ルーター/モデムを最新の状態に保ちます。ほとんどのルーター(特に古いモデル)は自己更新を行わず、多くの人がルーターの最新のファームウェアアップデートを確認/インストールすることを忘れていると思います。
  • IoTデバイス用に個別のWi-Fiネットワークを作成します。または、ネットワークにサブネットを設定して、IoTデバイスを接続します。
  • ルーターにファイアウォールをインストール/セットアップします。
  • ゲストネットワークを無効にするか、セキュリティプロトコルを上げます。

残念ながら、セキュリティは、アプリ、ウェブサイト、技術的には生データを使用する消費者レベルからはほとんど制御できません。実質的にあらゆるタイプのネットワークを介したすべてのデータトランザクションは、不適切または意図しない使用の影響を受けやすくなります。

最善の方法は、オンライン使用を保護し、ローカルネットワークを攻撃から保護することです。


3
ここでは良いものもあれば、悪いものもありますが、良いというよりは悪いものです。「Cookieの使用を避ける」:逆効果。「定期的にパスワードを変更する」:無意味で、通常は逆効果です。キーポイントがない:デフォルトのパスワードを使用しないでください。
ジル 'SO-悪であるのをやめる'

2
Gillesに同意する必要があります。これらの一般的なヒントのほとんどは、IoTデバイス、およびそれらを接続するルーターにも当てはまります。せいぜい、コントロールダッシュボードなどのWeb UIに適用されるだけです。
ヘルマー

13

最も基本的なIoTセキュリティルールのGillesの詳細に加えて、自宅でのセキュリティの最初のルールは、入場ゲートを適切に保護することです。ルーターを適切に設定すると、ほとんどの攻撃を阻止できます。ルーターが適切に構成されていない場合、ルーターの背後にあるデバイスを保護しても意味がありません。ルーターのセキュリティが侵害されると、自宅で中間者攻撃が行われる可能性があります。

したがって、まずルーターのセキュリティを確保し、次にIoTデバイス自体に進みます。


10

ユニバーサルプラグアンドプレイを無効にする

必要ない場合は、セキュリティリスクももたらす可能性があります。

ローカルネットワーク上のコンピューターに感染するウイルス、トロイの木馬、ワーム、またはその他の悪意のあるプログラムは、正当なプログラムと同様にUPnPを使用できます。ルーターは通常、着信接続をブロックし、悪意のあるアクセスを防止しますが、UPnPは悪意のあるプログラムがファイアウォールを完全にバイパスできるようにする可能性があります。たとえば、トロイの木馬はコンピューターにリモートコントロールプログラムをインストールし、ルーターのファイアウォールにそのプログラム用の穴を開けて、インターネットからコンピューターへの24時間年中無休のアクセスを許可します。UPnPが無効になっている場合、プログラムはポートを開くことができませんでした。ただし、他の方法でファイアウォールを迂回し、自宅に電話することもできます。

howtogeek.comから:UPnPはセキュリティリスクですか?


8

「どこからでも接続する」という観点では、Nestなどとやり取りするために提供されるソフトウェアクライアントのおかげです。安全なクライアントは、接続を暗号化するだけでなく(盗聴を避けるために)SSHのようなものを使用する必要があります、ただしクライアントが秘密鍵を知っている場合にのみ接続を許可します。

一部の銀行アプリは、何らかの方法でサーバーに同期する番号を提供するガジェットを備えたシステムを使用します。また、パスワードを使用すると、サーバーと所有者だけが知っている刻々と変化するチャレンジ番号を持っています。ガジェットの。同様の機能を提供するこれらのホームシステムは知りませんが、これによりリモートコントロールの安全性が格段に向上します。

一部のシステムでは、リモート接続が許可されているIPアドレスの範囲をロックダウンできます。これは少しゴミですが、何もないよりはましだと思います。


1
理論的には、EUやアメリカ以外に行く予定がない場合(または、そこからdomoticaを制御したくない場合)、接続をブロックする必要があります。偶発的なスキャンなどに役立ちますが、これはほとんどの「ハッキング」だと思います。しかし、本当にあなたのデバイスに接続したい人は誰でも、プロキシをセットアップするか、あなたの近くに住んでいるかもしれません。
ポール

8

考えられる解決策は、セキュリティを改善するために特別に作成されたデバイスの使用です。自動化された家の場合、最初の障壁はルーターであり、特別な障壁を使用するといくつかの利点が得られます。

たとえば、Norton Core Router 1は次の機能を提供します。

  1. 既知の攻撃を通過するすべてのパケットを検査します。
  2. 頻繁な更新。したがって、新たに発見されたセキュリティ問題は迅速に処理されます。
  3. 複数のネットワーク。最も脆弱なデバイスを別のネットワークに配置して、残りを保護できます。
  4. セキュリティスコア。潜在的なセキュリティの問題とリークを特定し、1つの数字にまとめます。

これらはほんの一部のハイライトです。詳細については、この詳細な回答のリンクをご覧ください。

1このアイデアは、この質問とこの回答に触発されたので、クレジットは@ Aurora0001と@bangに割り当てられます。また、ここで作成している有用なコンテンツの優れたデモでもあります。


7

symantec.comから引用したいくつかのことを以下に示します。

  • 購入前にIoTデバイスの機能とセキュリティ機能を調査する
  • ネットワークで使用されているIoTデバイスの監査を実行する
  • デバイスのデフォルトの資格情報を変更します。デバイスアカウントとWi-Fiネットワークに強力で一意のパスワードを使用する
  • Wi-Fiネットワークアクセス(WPA)のセットアップ時に強力な暗号化方法を使用する
  • 不要な機能とサービスを無効にする
  • Telnetログインを無効にし、可能な場合はSSHを使用します
  • どうしても必要な場合を除き、ルーターでユニバーサルプラグアンドプレイ(UPnP)を無効にする
  • 要件とセキュリティポリシーに従って、IoTデバイスのデフォルトのプライバシーとセキュリティ設定を変更します
  • 不要な場合にIoTデバイスへのリモートアクセスを無効または保護する
  • 可能な場合は、ワイヤレスの代わりに有線接続を使用します
  • ファームウェアの更新については、製造元のWebサイトを定期的に確認してください
  • ハードウェアの停止がデバイスの安全でない状態にならないようにします

特に3 番目と6 番目のポイントを強くサポートします。デフォルトのパスワードとTelnetログインは、単にハッキングされることを求めています。


5

ネットワーク内にも存在しない障壁をもう1つ上げることができます。外部アドレス可能なIPv4アドレスが本当に必要でない限り、インターネットプロバイダーがDual Stack Liteを使用しているかどうかを確認できます。多くの場合、インターネットプロバイダーはIPv4アドレスを保存するためにその標準に切り替えましたが、一部のプロバイダーはIPv4オプションを提供しています。

Dual-Stack Liteの利点は、キャリアベースのNATの利点と欠点を提供することです。これは、DynDNSなどのサービスを使用できず、外部へのIPv4ベースのオープンポートを使用できないことを意味しますが、インターネットから予期せず送信されるIPv4リクエストに完全に到達できないことも意味します。キャリアNATは、単にこれらのコールを転送しません。電話が届かないと、セットアップが損なわれません。

数百万のエンドカスタマーがすでにその強化された保護を享受していますが、IPv4オプションをアクティブにした場合は、実際に必要ない場合は非アクティブにすることを検討できます。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.