Sichern kleiner Hausautomationskonfigurationen

52

Ich habe ein kleines Hausautomationslabor (das ich immer wieder erweitern werde, aber nicht). In diesem Setup habe ich ein Steuersystem zum Steuern von Lichtern (unter Verwendung des x10-Protokolls), Jalousien, einem Nest-Thermostat und zwei Webkameras.

Mit den kürzlich erfolgten DDoS-Angriffen mit ungesicherten IoT-Geräten in Rekordhöhe möchte ich mein kleines Setup ein wenig absichern.

Was kann ein Heimanwender tun, um sein Netzwerk zu sichern, während der Aspekt "Verbindung von überall" beibehalten wird, der einen großen Teil des Marketings ausmacht?

Andy
quelle

Antworten:

24

Das absolut häufigste Problem bei IoT-Geräten sind Standardkennwörter. Also ändere alle Passwörter . Wählen Sie ein eindeutiges, zufälliges Kennwort für jedes Gerät und notieren Sie es auf Papier (Papier ist sicher vor Angreifern und Festplattenfehlern). 12 zufällige (dh computergenerierte) Kleinbuchstaben stellen einen guten Kompromiss zwischen Sicherheit und schwieriger Tippbarkeit dar. Jedes Gerät sollte ein anderes Passwort haben, damit der Angreifer nicht alle brechen kann. Geben Sie die Kennwörter in einen Kennwort-Manager ein und verwenden Sie diesen Kennwort-Manager auf den Computern, mit denen Sie die Geräte steuern.

Wenn das Gerät über unterschiedliche Berechtigungskanäle verfügt, z. B. ein Administrationskennwort und ein Kennwort für die tägliche Verwendung, verwenden Sie für beide unterschiedliche Kennwörter und zeichnen Sie das Administrationskennwort nur auf ausgewählten Geräten auf.

Die zweite allgemeine Sicherheitsmaßnahme besteht darin, sicherzustellen, dass sich alle Ihre Geräte hinter einer Firewall oder mindestens einem NAT-Gerät befinden. Ein typischer Heimrouter ist ausreichend, aber Sie sollten UPnP ausschalten, um versehentliche Rückkanäle von außen zuzulassen. Ziel ist es, sicherzustellen, dass keine direkte Verbindung vom Internet zum Gerät hergestellt werden kann. Verbindungen sollten immer über ein Gateway geführt werden, für dessen Überquerung eine Authentifizierung erforderlich ist und das mit allen Sicherheitsupdates gepatcht bleibt.

Sie sollten auch Sicherheitsupdates auf alle Geräte anwenden, wenn diese überhaupt vorhanden sind. Dies kann ein Problem sein.

Gilles 'SO - hör auf böse zu sein'
quelle
1
Obwohl es nicht so sicher ist, ist es ziemlich sicher und besser als die werkseitigen Standardeinstellungen (auch wenn diese länger und komplex sind), alle Ihre eigenen Passwörter auf Ihren Vornamen festzulegen. Der Grund dafür ist, dass IoT-Geräte die meiste Zeit nicht gehackt, sondern nur mit Standardwerten angemeldet werden.
Helmar
1
Erforderliche
Tensibai
1
@Tensibai Das trifft hier nicht wirklich zu. In diesem Comic geht es um einprägsame Passwörter. Sie benötigen auf einem IoT-Gerät kein einprägsames Kennwort. Das Kennwort wird normalerweise immer im Kennwort-Manager Ihres Computers / Telefons gespeichert.
Gilles 'SO- hör auf böse zu sein'
2
@Tensibai 12 zufällige Kleinbuchstaben sind 56 Bit Entropie. Das ist etwas mehr als eine Passphrase mit 5 Wörtern mit dem xkcd-Wörterbuch und viel einfacher zu tippen, wenn Sie sie gelegentlich übergeben müssen. Zufällige Buchstaben sind schlecht für das Speichern, aber für ein Passwort, an das Sie sich nicht erinnern müssen, ist dies die beste Wahl.
Gilles 'SO- hör auf böse zu sein'
21

Wie immer gewährleistet ein großer Teil der Sicherheit mit "von überall verbinden" -Setups die Sicherheit Ihrer Kontoinformationen. Es gelten die üblichen Regeln:

  • Geben Sie Ihr Passwort nicht weiter
  • Vermeiden Sie die Verwendung von Cookies zum Speichern von Passwörtern (obwohl Cookies immer schwer zu widerstehen sind)
  • Ändern Sie regelmäßig die Passwörter
  • Seien Sie sich anderer Verstöße per E-Mail (Phishing, Betrug usw.) bewusst, einschließlich Verstößen in glaubwürdigen Unternehmenssystemen. Wenn beispielsweise die Kundendatenbank von Target verletzt wird, ändern Sie bitte Ihre Passwörter.
  • Verwenden Sie eindeutige Passwörter (danke @Gilles)
  • ... viele andere Internet-Sicherheitsgrundlagen ...

Im Folgenden finden Sie eine gute Liste der Aktionen, die Sie in Ihrem Netzwerk ausführen können, wie in diesem TomsGuide-Artikel erläutert :

  • Verwenden Sie kein WEP! Verwenden Sie stattdessen WPA2 (PSK) oder höher in Ihrem Netzwerk und halten Sie sich auf dem Laufenden, welche Protokolle die stärksten sind.
  • Halten Sie Ihren Router / Modem auf dem neuesten Stand. Ich glaube, dass sich die meisten Router (insbesondere ältere Modelle) nicht selbst aktualisieren und viele Leute vergessen, die neuesten Firmware-Updates auf ihrem Router zu überprüfen / installieren.
  • Erstellen Sie ein separates Wi-Fi-Netzwerk für Ihre IoT-Geräte. Alternativ können Sie ein Subnetz in Ihrem Netzwerk einrichten, um Ihre IoT-Geräte zu verbinden.
  • Installieren / Einrichten einer Firewall auf Ihrem Router.
  • Deaktivieren Sie ein Gastnetzwerk oder erhöhen Sie das Sicherheitsprotokoll.

Leider liegt die Sicherheit bei Apps, Websites und technisch Ihren Rohdaten auf Verbraucherebene größtenteils außerhalb Ihrer Kontrolle. Alle Datentransaktionen über praktisch jede Art von Netzwerk sind anfällig für unsachgemäße oder unbeabsichtigte Verwendung.

Das Beste, was Sie tun können, ist, Ihre Online-Nutzung und Ihr lokales Netzwerk vor Angriffen zu schützen.

tbm0115
quelle
3
Einige gut, einige schlecht hier, aber mehr schlecht als gut. "Vermeiden Sie die Verwendung von Cookies": kontraproduktiv. "Passwörter regelmäßig ändern": sinnlos, in der Regel kontraproduktiv. Fehlender Schlüsselpunkt: Verwenden Sie keine Standardkennwörter.
Gilles 'SO- hör auf böse zu sein'
2
Ich muss Gilles zustimmen, die meisten dieser generischen Tipps gelten nur zur Hälfte für IoT-Geräte und sogar für die Router, die sie verbinden. Bestenfalls gelten sie für die Web-Benutzeroberfläche eines Kontroll-Dashboards oder dergleichen.
Helmar
13

Neben den grundlegendsten IoT-Sicherheitsregeln für Gilles besteht die erste Sicherheitsregel zu Hause darin, Ihr Eingangstor angemessen zu sichern. Durch die richtigen Einstellungen Ihres Routers werden die meisten Angriffe in ihren Spuren abgebrochen. Wenn Ihr Router nicht richtig konfiguriert ist, ist das Sichern der dahinter liegenden Geräte nicht möglich. Ein kompromittierter Router bedeutet, dass Sie die Möglichkeit für Man-in-the-Middle-Angriffe in Ihrem eigenen Zuhause haben.

Beginnen Sie also mit der Sicherung Ihres Routers und arbeiten Sie sich dann bis zu den IoT-Geräten vor.

Helmar
quelle
10

Deaktivieren Sie Universal Plug and Play

Wenn Sie es nicht benötigen, kann es auch ein Sicherheitsrisiko darstellen.

Ein Virus, ein Trojaner, ein Wurm oder ein anderes bösartiges Programm, das einen Computer in Ihrem lokalen Netzwerk infiziert, kann UPnP genauso verwenden wie legitime Programme. Während ein Router normalerweise eingehende Verbindungen blockiert und so einen böswilligen Zugriff verhindert, kann UPnP einem böswilligen Programm ermöglichen, die Firewall vollständig zu umgehen. Ein Trojaner könnte beispielsweise ein Fernsteuerungsprogramm auf Ihrem Computer installieren und eine Lücke in der Firewall Ihres Routers öffnen, sodass Sie rund um die Uhr über das Internet auf Ihren Computer zugreifen können. Wenn UPnP deaktiviert wäre, könnte das Programm den Port nicht öffnen - obwohl es die Firewall auf andere Weise umgehen und nach Hause telefonieren könnte.

(Von howtogeek.com: Ist UPnP ein Sicherheitsrisiko? )

anonymous2
quelle
8

Für den Aspekt "Verbindung von überall" sind Sie so gut wie dem Software-Client ausgeliefert, der für die Interaktion mit dem Nest usw. zur Verfügung steht. Ein sicherer Client sollte so etwas wie SSH verwenden, das nicht nur die Verbindung verschlüsselt (um das Abhören zu verhindern). , erlaubt aber auch nur eine Verbindung, wenn der Client den privaten Schlüssel kennt.

Einige Banking-Apps verwenden ein System, in dem Sie über ein Gadget verfügen, das Ihnen eine Nummer gibt, die in irgendeiner Weise mit dem Server synchronisiert ist. Außerdem haben Sie mithilfe eines Kennworts eine sich ständig ändernde Herausforderungsnummer, die nur dem Server und dem Inhaber bekannt ist des Gadgets. Ich kenne keine dieser Heimsysteme, die etwas Ähnliches bieten, aber dies würde die Fernsteuerung viel sicherer machen.

Bei einigen Systemen können Sie den IP-Adressbereich sperren, von dem aus eine Remoteverbindung zulässig ist. Das ist ein bisschen Quatsch, aber ich nehme an, besser als nichts.

TheMagicCow
quelle
1
Nun, theoretisch sollten Sie nur Verbindungen sperren, wenn Sie nie vorhaben, außerhalb der EU oder Amerikas zu fahren (oder die Domotica nicht von dort aus steuern möchten). Es hilft gegen zufällige Scans usw., von denen ich glaube, dass sie die meisten "Hacks" sind. Aber jeder, der wirklich eine Verbindung zu Ihrem Gerät herstellen möchte, kann einen Proxy einrichten oder in Ihrer Nähe wohnen.
Paul
8

Eine mögliche Lösung könnte die Verwendung von Geräten sein, die speziell zur Verbesserung der Sicherheit entwickelt wurden. Im Falle eines automatisierten Heims ist die erste Barriere der Router, und mit einem speziellen können wir einige Vorteile erzielen.

Der Norton Core Router 1 bietet beispielsweise die folgenden Funktionen:

  1. Es überprüft alle Pakete auf bekannte Angriffe.
  2. Häufige Updates. So werden neu entdeckte Sicherheitsprobleme schnell behoben.
  3. Mehrfachvernetzung. Sie können die anfälligsten Geräte in einem separaten Netzwerk haben und so den Rest schützen.
  4. Sicherheits-Score. Identifizierung möglicher Sicherheitslücken und -lecks und Zusammenfassung in einer Zahl.

Dies sind nur einige Highlights. Für weitere Informationen besuchen Sie die Links in dieser ausführlicheren Antwort .

1 Diese Idee wurde von dieser Frage und dieser Antwort inspiriert , daher sollte der Kredit an @ Aurora0001 und @bang gehen. Es ist auch eine gute Demonstration der nützlichen Inhalte, die wir hier erstellen.

Bence Kaulics
quelle
7

Hier sind ein paar Dinge, die ich von symantec.com zitiere :

  • Informieren Sie sich vor dem Kauf über die Funktionen und Sicherheitsfunktionen eines IoT-Geräts
  • Führen Sie eine Prüfung der in Ihrem Netzwerk verwendeten IoT-Geräte durch
  • Ändern Sie die Standardanmeldeinformationen auf Geräten. Verwenden Sie sichere und eindeutige Kennwörter für Gerätekonten und Wi-Fi-Netzwerke
  • Verwenden Sie eine starke Verschlüsselungsmethode, wenn Sie den Wi-Fi-Netzwerkzugriff (WPA) einrichten.
  • Deaktivieren Sie nicht benötigte Funktionen und Dienste
  • Deaktivieren Sie die Telnet-Anmeldung und verwenden Sie nach Möglichkeit SSH
  • Deaktivieren Sie Universal Plug and Play (UPnP) auf Routern, sofern dies nicht unbedingt erforderlich ist
  • Ändern Sie die Standardeinstellungen für Datenschutz und Sicherheit von IoT-Geräten gemäß Ihren Anforderungen und Sicherheitsrichtlinien
  • Deaktivieren oder schützen Sie den Fernzugriff auf IoT-Geräte, wenn Sie diese nicht benötigen
  • Verwenden Sie nach Möglichkeit kabelgebundene statt kabelloser Verbindungen
  • Überprüfen Sie regelmäßig die Website des Herstellers auf Firmware-Updates
  • Stellen Sie sicher, dass ein Hardwareausfall nicht zu einem unsicheren Zustand des Geräts führt

Besonders den dritten und sechsten Punkt unterstütze ich nachdrücklich - Standard-Passwörter und Telnet-Logins fordern einfach dazu auf, gehackt zu werden.

anonymous2
quelle
5

Es gibt noch eine andere Barriere, die Sie anheben können, die nicht einmal in Ihrem Netzwerk vorhanden ist. Sofern Sie nicht wirklich eine extern adressierbare IPv4-Adresse benötigen, können Sie überprüfen, ob Ihr Internetanbieter Dual Stack Lite verwendet . Oft haben Internetanbieter auf diesen Standard umgestellt, um IPv4-Adressen zu speichern, einige bieten jedoch IPv4-Optionen an.

Die Sache mit Dual-Stack Lite ist, dass es Ihnen die Vor- und Nachteile eines Carrier-basierten NAT bietet . Dies bedeutet zwar, dass Sie keine Dienste wie DynDNS und keinen offenen IPv4-Port nach außen verwenden können, bedeutet jedoch auch, dass Sie für IPv4-Anforderungen, die unerwartet aus dem Internet kommen, nicht erreichbar sind. Das Carrier-NAT wird diese Anrufe einfach nicht weiterleiten. Anrufe, die Sie nicht erreichen, können Ihr Setup nicht beeinträchtigen.

Millionen von Endkunden genießen bereits diesen erweiterten Schutz. Wenn Sie jedoch eine aktivierte IPv4-Option haben, können Sie diese deaktivieren, wenn Sie sie nicht benötigen.

Helmar
quelle