私には小さなホームオートメーションラボがあります(拡大すると言い続けますが、拡大しません)。このセットアップでは、ライト(x10プロトコルを使用)、ブラインド、Nestサーモスタット、2つのWebカムを制御する制御システムがあります。
セキュリティで保護されていないIoTデバイスを利用した最近の記録的なDDoS攻撃により、小規模なセットアップを少し保護したいと思います。
ホームユーザーは、マーケティングの大きな部分である「どこからでも接続」の側面を維持しながら、ネットワークを保護するために何ができますか?
回答:
IoTデバイスで最も一般的な問題は、デフォルトのパスワードです。したがって、すべてのパスワードを変更します。すべてのデバイスに固有のランダムなパスワードを選択し、紙に書き留めます(紙はリモートの攻撃者やハードドライブの障害から安全です)。12個のランダムな(つまり、コンピューターで生成された)小文字は、セキュリティと入力が難しいことの間の適切な妥協点を表します。パスワードを破っても攻撃者がそれらすべてを破らないように、各デバイスには異なるパスワードが必要です。パスワードマネージャーにパスワードを入力し、デバイスの制御に使用するコンピューターでそのパスワードマネージャーを使用します。
デバイスに異なる管理チャネル(管理パスワードと日々の使用パスワードなど)がある場合、両方に異なるパスワードを使用し、選択したデバイスにのみ管理パスワードを記録します。
2番目の一般的なセキュリティ対策は、すべてのデバイスがファイアウォールまたは少なくともNATデバイスの背後にあることを確認することです。一般的なホームルーターで十分ですが、外部からの不注意なバックチャネルを許可するUPnPをオフにする必要があります。目標は、インターネットからデバイスに直接接続する方法がないことを保証することです。接続は常に、通過するために認証を必要とするゲートウェイを通過する必要があり、セキュリティ更新プログラムが適用されます。
また、すべてのデバイスにセキュリティ更新プログラムを適用する必要があります。それらが存在する場合は、問題になる可能性があります。
いつものように、「どこからでも接続」設定のセキュリティの大部分は、アカウント情報のセキュリティを確保することです。通常の規則が適用されます。
このTomsGuideの記事で説明されているように、ネットワークでできることの良いリストを以下に示します。
残念ながら、セキュリティは、アプリ、ウェブサイト、技術的には生データを使用する消費者レベルからはほとんど制御できません。実質的にあらゆるタイプのネットワークを介したすべてのデータトランザクションは、不適切または意図しない使用の影響を受けやすくなります。
最善の方法は、オンライン使用を保護し、ローカルネットワークを攻撃から保護することです。
必要ない場合は、セキュリティリスクももたらす可能性があります。
ローカルネットワーク上のコンピューターに感染するウイルス、トロイの木馬、ワーム、またはその他の悪意のあるプログラムは、正当なプログラムと同様にUPnPを使用できます。ルーターは通常、着信接続をブロックし、悪意のあるアクセスを防止しますが、UPnPは悪意のあるプログラムがファイアウォールを完全にバイパスできるようにする可能性があります。たとえば、トロイの木馬はコンピューターにリモートコントロールプログラムをインストールし、ルーターのファイアウォールにそのプログラム用の穴を開けて、インターネットからコンピューターへの24時間年中無休のアクセスを許可します。UPnPが無効になっている場合、プログラムはポートを開くことができませんでした。ただし、他の方法でファイアウォールを迂回し、自宅に電話することもできます。
「どこからでも接続する」という観点では、Nestなどとやり取りするために提供されるソフトウェアクライアントのおかげです。安全なクライアントは、接続を暗号化するだけでなく(盗聴を避けるために)SSHのようなものを使用する必要があります、ただしクライアントが秘密鍵を知っている場合にのみ接続を許可します。
一部の銀行アプリは、何らかの方法でサーバーに同期する番号を提供するガジェットを備えたシステムを使用します。また、パスワードを使用すると、サーバーと所有者だけが知っている刻々と変化するチャレンジ番号を持っています。ガジェットの。同様の機能を提供するこれらのホームシステムは知りませんが、これによりリモートコントロールの安全性が格段に向上します。
一部のシステムでは、リモート接続が許可されているIPアドレスの範囲をロックダウンできます。これは少しゴミですが、何もないよりはましだと思います。
考えられる解決策は、セキュリティを改善するために特別に作成されたデバイスの使用です。自動化された家の場合、最初の障壁はルーターであり、特別な障壁を使用するといくつかの利点が得られます。
たとえば、Norton Core Router 1は次の機能を提供します。
これらはほんの一部のハイライトです。詳細については、この詳細な回答のリンクをご覧ください。
1このアイデアは、この質問とこの回答に触発されたので、クレジットは@ Aurora0001と@bangに割り当てられます。また、ここで作成している有用なコンテンツの優れたデモでもあります。
symantec.comから引用したいくつかのことを以下に示します。
- 購入前にIoTデバイスの機能とセキュリティ機能を調査する
- ネットワークで使用されているIoTデバイスの監査を実行する
- デバイスのデフォルトの資格情報を変更します。デバイスアカウントとWi-Fiネットワークに強力で一意のパスワードを使用する
- Wi-Fiネットワークアクセス(WPA)のセットアップ時に強力な暗号化方法を使用する
- 不要な機能とサービスを無効にする
- Telnetログインを無効にし、可能な場合はSSHを使用します
- どうしても必要な場合を除き、ルーターでユニバーサルプラグアンドプレイ(UPnP)を無効にする
- 要件とセキュリティポリシーに従って、IoTデバイスのデフォルトのプライバシーとセキュリティ設定を変更します
- 不要な場合にIoTデバイスへのリモートアクセスを無効または保護する
- 可能な場合は、ワイヤレスの代わりに有線接続を使用します
- ファームウェアの更新については、製造元のWebサイトを定期的に確認してください
- ハードウェアの停止がデバイスの安全でない状態にならないようにします
特に3 番目と6 番目のポイントを強くサポートします。デフォルトのパスワードとTelnetログインは、単にハッキングされることを求めています。
ネットワーク内にも存在しない障壁をもう1つ上げることができます。外部アドレス可能なIPv4アドレスが本当に必要でない限り、インターネットプロバイダーがDual Stack Liteを使用しているかどうかを確認できます。多くの場合、インターネットプロバイダーはIPv4アドレスを保存するためにその標準に切り替えましたが、一部のプロバイダーはIPv4オプションを提供しています。
Dual-Stack Liteの利点は、キャリアベースのNATの利点と欠点を提供することです。これは、DynDNSなどのサービスを使用できず、外部へのIPv4ベースのオープンポートを使用できないことを意味しますが、インターネットから予期せず送信されるIPv4リクエストに完全に到達できないことも意味します。キャリアNATは、単にこれらのコールを転送しません。電話が届かないと、セットアップが損なわれません。
数百万のエンドカスタマーがすでにその強化された保護を享受していますが、IPv4オプションをアクティブにした場合は、実際に必要ない場合は非アクティブにすることを検討できます。