确保小型家庭自动化设置

我有一个小型家庭自动化实验室(我一直说我会扩大,但没有)。在此设置中,我有一个控制系统来控制灯光(利用x10协议),百叶窗,Nest恒温器和两个网络摄像头。

随着最近使用不安全物联网设备的记录设置DDoS攻击,我想确保我的小设置稍微有点。

家庭用户可以做什么来保护他们的网络,同时仍然保持营销重要组成部分的“从任何地方连接”方面?


物联网设备绝对最常见的问题是默认密码。所以改变所有的密码。为每个设备选择一个独特的随机密码并将其写在纸上(纸张远离攻击者和硬盘故障是安全的)。12个随机(即计算机生成的)小写字母表示安全性和难以打字之间的良好折衷。每个设备应该有不同的密码,以便打破一个不会让攻击者破坏所有设备。在密码管理器中输入密码,并在用于控制设备的计算机中使用该密码管理器。

如果设备具有不同的授权频道(例如管理密码和日常使用密码),请为两者使用不同的密码,并仅在所选设备上记录管理密码。

第二种通用​​安全措施是确保所有设备位于防火墙或至少一个NAT设备之后。一个典型的家庭路由器就足够了,但是你应该关闭UPnP,这样可以允许从外面无意中返回通道。目标是确保没有直接的方式从互联网连接到设备。连接应该始终通过一个本身需要身份验证才能通过的网关,并且您可以使用任何安全更新进行修补。

您还应该在所有设备上应用安全更新……如果它们完全存在,这可能是一个问题。


与往常一样,“从任何地方连接”设置的安全性的很大一部分是确保您的帐户信息的安全。通常的规则适用于:

  • 不要分享你的密码
  • 避免使用cookie来保存密码(尽管cookie总是很难抵挡)
  • 定期更改密码
  • 通过电子邮件(网络钓鱼,诈骗等)了解其他违规行为,包括可信公司系统中的违规行为。例如,如果Target的客户数据库被破坏,请更改您的密码。
  • 使用唯一的密码(谢谢@Gilles)
  • …许多其他互联网安全基础知识…

这里有一个很好的列表,你可以对你的网络做一些事情,正如这篇TomsGuide文章所解释的:

  • 不要使用WEP!,而是在您的网络上使用WPA2(PSK)或更好,并且保持最新的协议是最强的。
  • 更新您的路由器/调制解调器。我相信大多数路由器(特别是老款)不会自我更新,许多人忘记检查/安装最新的固件更新到他们的路由器。
  • 为您的物联网设备创建一个单独的Wi-Fi网络。或者,在您的网络中设置子网以连接您的物联网设备。
  • 在路由器上安装/设置防火墙。
  • 禁用任何访客网络或提升安全协议。

不幸的是,安全性大多数来自用户级别的应用程序,网站和技术上的原始数据。通过几乎任何类型的网络进行的所有数据交易易受不当使用或意外使用的影响。

你可以做的最好的事情就是保护你的在线使用并保护你的本地网络免受攻击。


添加到最基本的物联网安全规则吉尔斯的详细信息,在家安全的第一个规则是充分确保您的入门。路由器上的正确设置将阻止大多数攻击。如果你的路由器没有正确配置,保护它后面的设备是没有意义的。受影响的路由器意味着您有可能在自己的家中发生中间人攻击

因此,从保护您的路由器开始,然后自己去物联网设备。


禁用通用即插即用

如果你不需要它,它也会带来安全风险。

设法感染本地网络上的计算机的病毒,特洛伊木马,蠕虫或其他恶意程序可以像使用合法程序一样使用UPnP。虽然路由器通常阻止传入连接,防止一些恶意访问,但UPnP可能允许恶意程序完全绕过防火墙。例如,特洛伊木马可以在您的计算机上安装远程控制程序,并在路由器的防火墙中为其打开一个洞,从而允许从互联网24/7全天候访问您的计算机。如果UPnP被禁用,程序将无法打开该端口 – 虽然它可以通过其他方式绕过防火墙并回家。

(来自howtogeek.com:UPnP是安全风险吗?


以下是我从symantec.com引用的一些内容:

  • 在购买之前研究物联网设备的功能和安全功能
  • 对您的网络上使用的物联网设备进行审计
  • 更改设备上的默认凭据。为设备帐户和Wi-Fi网络使用强大且唯一的密码
  • 设置Wi-Fi网络访问(WPA)时使用强大的加密方法
  • 禁用不需要的功能和服务
  • 禁用Telnet登录并尽可能使用SSH
  • 除非绝对必要,否则请在路由器上禁用通用即插即用(UPnP)
  • 根据您的要求和安全策略修改物联网设备的默认隐私和安全设置
  • 不需要时禁用或保护对物联网设备的远程访问
  • 尽可能使用有线连接而不是无线
  • 定期检查制造商的网站上的固件更新
  • 确保硬件中断不会导致设备不安全状态

我坚决支持特别是3 和6 分-默认密码以及Telnet登录只是要求被黑客攻破。


您可以提出的另一个障碍甚至不在您的网络中。除非你真的需要一个外部可寻址的IPv4地址,否则你可以检查你的互联网提供商是否使用Dual Stack Lite。通常互联网提供商切换到该标准以节省IPv4地址,但一些提供IPv4选项。

Dual-Stack Lite的特点是它提供了基于运营商的NAT的优点和缺点。虽然这确实意味着您无法使用像DynDNS这样的服务,并且无法将基于IPv4的开放端口用于外部,但这也意味着您完全无法访问任何来自Internet的IPv4请求。运营商NAT不会转发这些呼叫。没有接触到你的电话不能妥协你的设置。

数百万终端客户已经享受到了增强的保护,但是如果您拥有激活的IPv4选项,则可以考虑停用它,如果您实际上不需要它。

添加评论

友情链接:蝴蝶教程