Mengamankan pengaturan otomatisasi rumah kecil


52

Saya memiliki laboratorium otomatisasi rumah kecil (yang saya katakan terus-menerus akan diperluas, tetapi belum). Dalam pengaturan ini, saya memiliki sistem kontrol untuk mengontrol lampu (menggunakan protokol x10), blinds, termostat Nest, dan dua kamera web.

Dengan pengaturan catatan terbaru serangan DDoS menggunakan perangkat IoT yang tidak aman, saya ingin sedikit mengamankan pengaturan kecil saya.

Apa yang dapat dilakukan pengguna rumahan untuk mengamankan jaringan mereka sambil tetap mempertahankan aspek "terhubung dari mana saja" yang merupakan bagian besar dari pemasaran?


Jawaban:


24

Masalah absolut yang paling umum dengan perangkat IoT adalah kata sandi default. Jadi ubah semua kata sandi . Pilih kata sandi acak unik untuk setiap perangkat dan tuliskan di atas kertas (kertas aman dari penyerang jarak jauh dan kegagalan hard drive). 12 huruf kecil acak (yaitu yang dihasilkan komputer) mewakili kompromi yang baik antara keamanan dan sulit untuk mengetik. Setiap perangkat harus memiliki kata sandi yang berbeda sehingga melanggar satu tidak membiarkan penyerang merusak semuanya. Masukkan kata sandi dalam pengelola kata sandi dan gunakan kata sandi itu di komputer yang Anda gunakan untuk mengontrol perangkat.

Jika perangkat memiliki saluran otorisasi yang berbeda, misalnya kata sandi administrasi dan kata sandi penggunaan sehari-hari, gunakan kata sandi yang berbeda untuk keduanya dan hanya catat kata sandi administrasi pada perangkat yang dipilih.

Langkah keamanan umum kedua adalah memastikan bahwa semua perangkat Anda berada di belakang firewall atau setidaknya perangkat NAT. Perute rumah biasa sudah mencukupi, tetapi Anda harus mematikan UPnP yang dapat memungkinkan saluran kembali secara tidak sengaja dari luar. Tujuannya adalah untuk memastikan bahwa tidak ada cara langsung untuk terhubung dari Internet ke perangkat. Koneksi harus selalu melalui gateway yang memerlukan otentikasi untuk dilewati, dan Anda tetap ditambal dengan pembaruan keamanan apa pun.

Anda juga harus menerapkan pembaruan keamanan di semua perangkat ... jika ada, yang bisa menjadi masalah.


1
Meskipun tidak seaman, bahkan mengatur semua kata sandi Anda sendiri ke nama depan Anda cukup aman dan lebih baik daripada standar pabrik (bahkan jika itu lebih panjang dan kompleks). Alasannya adalah bahwa sebagian besar waktu perangkat IoT tidak diretas tetapi hanya masuk dengan nilai default.
Helmar

1
Diperlukan xkcd pada kata sandi: imgs.xkcd.com/comics/password_strength.png
Tensibai

1
@Tensibai Itu tidak berlaku di sini. Komik itu tentang kata sandi yang mudah diingat . Anda tidak memerlukan kata sandi yang mudah diingat pada perangkat IoT, kata sandi biasanya akan selalu disimpan di pengelola kata sandi komputer / telepon Anda.
Gilles 'SO- stop being evil'

2
@Tensibai 12 huruf kecil acak adalah 56 bit entropi. Itu sedikit lebih banyak daripada frasa sandi 5 kata dengan kamus xkcd, dan jauh lebih mudah untuk mengetik pada waktu-waktu tertentu ketika Anda harus melewatinya. Huruf acak buruk untuk diingat, tetapi untuk kata sandi yang tidak perlu Anda ingat, itu adalah pilihan terbaik.
Gilles 'SO- stop being evil'

21

Seperti biasa, sebagian besar keamanan dengan pengaturan "sambungkan dari mana saja" memastikan keamanan informasi akun Anda. Aturan yang biasa berlaku:

  • Jangan bagikan kata sandi Anda
  • Hindari menggunakan cookie untuk menyimpan kata sandi (meskipun cookie selalu sulit ditolak)
  • Ubah kata sandi secara teratur
  • Waspadai pelanggaran lain melalui email (phishing, penipuan, dll.) Termasuk pelanggaran dalam sistem perusahaan yang kredibel. Misalnya, jika basis data pelanggan Target dilanggar, ubah kata sandi Anda.
  • Gunakan kata sandi unik (terima kasih @Gilles)
  • ... Banyak dasar-dasar keamanan internet lainnya ...

Berikut daftar hal-hal yang dapat Anda lakukan untuk jaringan Anda seperti yang dijelaskan dalam artikel TomsGuide ini :

  • Jangan gunakan WEP! , alih-alih gunakan WPA2 (PSK) atau yang lebih baik di jaringan Anda dan tetap up-to-date dengan protokol mana yang paling kuat.
  • Selalu perbarui router / modem Anda. Saya percaya bahwa sebagian besar router (terutama model lama) tidak melakukan pembaruan sendiri dan banyak orang lupa untuk memeriksa / menginstal pembaruan firmware terbaru ke router mereka.
  • Buat jaringan Wi-Fi terpisah untuk perangkat IoT Anda. Atau, atur subnet di jaringan Anda untuk menghubungkan perangkat IoT Anda.
  • Instal / setup firewall pada router Anda.
  • Nonaktifkan semua jaringan tamu atau tinggikan protokol keamanan.

Sayangnya, keamanan sebagian besar di luar kendali Anda dari tingkat konsumen dengan aplikasi, situs web, dan secara teknis data mentah Anda. Semua transaksi data melalui hampir semua jenis jaringan rentan terhadap penggunaan yang tidak tepat atau tidak sengaja.

Yang terbaik yang dapat Anda lakukan adalah melindungi penggunaan online Anda dan melindungi jaringan lokal Anda dari serangan.


3
Ada yang baik, ada yang buruk di sini, tapi lebih buruk daripada bagus. “Hindari menggunakan cookie”: kontraproduktif. “Ubah kata sandi secara teratur”: tidak ada gunanya, biasanya kontraproduktif. Titik kunci tidak ada: jangan gunakan kata sandi standar.
Gilles 'SO- berhenti bersikap jahat'

2
Saya harus setuju dengan Gilles, sebagian besar tip generik itu hanya berlaku setengah untuk perangkat IoT dan bahkan router yang menghubungkannya. Paling-paling mereka berlaku untuk UI web dari dashboard kontrol atau sejenisnya.
Helmar

13

Menambah detail aturan keamanan IOT IoT paling dasar, aturan keamanan pertama di rumah adalah untuk mengamankan gerbang masuk Anda secara memadai. Pengaturan yang tepat pada router Anda akan menghentikan sebagian besar serangan di trek mereka. Jika router Anda tidak dikonfigurasi dengan benar, pengamanan perangkat di belakangnya masih bisa diperdebatkan. Router yang dikompromikan berarti Anda memiliki kemungkinan untuk melakukan serangan man-in-the-middle di rumah Anda sendiri.

Jadi, mulailah dengan mengamankan router Anda, kemudian lanjutkan ke perangkat IoT itu sendiri.


10

Nonaktifkan Universal Plug and Play

Jika Anda tidak membutuhkannya, itu juga dapat menimbulkan risiko keamanan.

Virus, Trojan horse, worm, atau program jahat lainnya yang berhasil menginfeksi komputer di jaringan lokal Anda dapat menggunakan UPnP, seperti halnya program yang sah. Sementara router biasanya memblokir koneksi masuk, mencegah beberapa akses jahat, UPnP dapat memungkinkan program jahat untuk mem-bypass firewall sama sekali. Misalnya, kuda Troya dapat menginstal program remote control di komputer Anda dan membuka lubang untuk itu di firewall router Anda, memungkinkan akses 24/7 ke komputer Anda dari Internet. Jika UPnP dinonaktifkan, program tidak dapat membuka port - meskipun bisa melewati firewall dengan cara lain dan telepon rumah.

(Dari howtogeek.com: Apakah UPnP merupakan Risiko Keamanan? )


8

Untuk aspek "terhubung dari mana saja", Anda cukup bergantung pada klien perangkat lunak yang Anda sediakan untuk berinteraksi dengan Nest dll. Klien yang aman harus menggunakan sesuatu seperti SSH, yang tidak hanya mengenkripsi koneksi (untuk menghindari penyadapan) , tetapi juga hanya memungkinkan koneksi ketika klien mengetahui kunci privat.

Beberapa aplikasi perbankan menggunakan sistem di mana Anda memiliki gadget yang memberi Anda nomor yang disinkronkan ke server dalam beberapa cara, jadi serta menggunakan kata sandi Anda memiliki nomor tantangan yang selalu berubah yang hanya diketahui oleh server dan pemegangnya. gadget. Saya tidak tahu ada sistem rumah yang menawarkan sesuatu yang serupa, tetapi ini akan membuat kendali jarak jauh lebih aman.

Beberapa sistem memungkinkan Anda untuk mengunci rentang alamat IP tempat koneksi jarak jauh diizinkan. Ini sedikit sampah, tapi saya kira lebih baik daripada tidak sama sekali.


1
Secara teori, jika Anda tidak pernah berencana untuk pergi ke luar Uni Eropa atau Amerika (atau tidak ingin mengontrol domotika dari sana), Anda hanya perlu memblokir koneksi. Ini membantu terhadap scan insidental dll, yang saya percaya adalah sebagian besar "peretasan". Tetapi siapa pun yang benar-benar ingin terhubung ke perangkat Anda, dapat membuat proxy atau tinggal di dekat Anda.
Paul

8

Solusi yang mungkin bisa berupa penggunaan perangkat yang dibuat khusus untuk meningkatkan keamanan. Dalam hal rumah otomatis, penghalang pertama adalah router, dan dengan yang khusus kita bisa mendapatkan beberapa manfaat.

Sebagai contoh, Norton Core Router 1 menawarkan fitur-fitur berikut:

  1. Itu memeriksa semua paket melalui serangan yang diketahui.
  2. Pembaruan yang sering. Jadi masalah keamanan yang baru ditemukan ditangani dengan cepat.
  3. Banyak jaringan. Anda dapat memiliki perangkat yang paling rentan di jaringan terpisah sehingga melindungi sisanya.
  4. Skor keamanan. Indentifikasi kemungkinan masalah keamanan dan kebocoran dan merangkumnya dalam satu nomor.

Ini hanya beberapa hal penting. Untuk detail lebih lanjut, kunjungi tautan dalam jawaban yang lebih terperinci ini .

1 Ide ini terinspirasi oleh pertanyaan ini dan jawaban ini , jadi kreditnya harus ke @ Aurora0001 dan @bang. Juga, ini adalah demonstrasi yang baik dari konten berguna yang kami buat di sini.


7

Berikut adalah beberapa hal yang saya kutip dari symantec.com :

  • Teliti kemampuan dan fitur keamanan perangkat IoT sebelum membeli
  • Lakukan audit perangkat IoT yang digunakan di jaringan Anda
  • Ubah kredensial default pada perangkat. Gunakan kata sandi yang kuat dan unik untuk akun perangkat dan jaringan Wi-Fi
  • Gunakan metode enkripsi yang kuat ketika mengatur akses jaringan Wi-Fi (WPA)
  • Nonaktifkan fitur dan layanan yang tidak diperlukan
  • Nonaktifkan login Telnet dan gunakan SSH jika memungkinkan
  • Nonaktifkan Universal Plug and Play (UPnP) pada router kecuali benar-benar diperlukan
  • Ubah pengaturan privasi dan keamanan default perangkat IoT sesuai dengan persyaratan dan kebijakan keamanan Anda
  • Nonaktifkan atau lindungi akses jarak jauh ke perangkat IoT bila tidak diperlukan
  • Gunakan koneksi kabel alih-alih nirkabel jika memungkinkan
  • Secara teratur periksa situs web produsen untuk pembaruan firmware
  • Pastikan pemadaman perangkat keras tidak menghasilkan kondisi perangkat yang tidak aman

Saya sangat mendukung terutama 3 rd dan 6 th poin - password default dan login Telnet hanya meminta untuk hacked.


5

Ada penghalang lain yang dapat Anda tingkatkan yang bahkan tidak ada di jaringan Anda. Kecuali Anda benar-benar membutuhkan alamat IPv4 yang dapat dialamatkan secara eksternal, Anda dapat memeriksa apakah penyedia Internet Anda menggunakan Dual Stack Lite . Seringkali penyedia internet beralih ke standar itu untuk menyimpan alamat IPv4, namun beberapa menawarkan opsi IPv4.

Masalahnya dengan Dual-Stack Lite adalah ia menawarkan Anda kelebihan dan kekurangan dari NAT berbasis operator . Meskipun itu berarti bahwa Anda tidak dapat menggunakan layanan seperti DynDNS dan tidak dapat menggunakan port terbuka berbasis IPv4 ke luar, itu juga berarti bahwa Anda benar-benar tidak dapat dijangkau untuk permintaan IPv4 yang datang secara tak terduga dari Internet. NAT pembawa tidak akan meneruskan panggilan itu. Panggilan yang tidak mencapai Anda tidak dapat mengganggu pengaturan Anda.

Jutaan pelanggan akhir sudah menikmati perlindungan yang ditingkatkan itu, tetapi jika Anda memiliki opsi IPv4 yang diaktifkan, Anda dapat mempertimbangkan untuk menonaktifkannya, jika Anda tidak benar-benar membutuhkannya.

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.