ฉันมีห้องปฏิบัติการอัตโนมัติในบ้านขนาดเล็ก (ที่ฉันพูดต่อไปว่าฉันจะขยาย แต่ยังไม่มี) ในการตั้งค่านี้ฉันมีระบบควบคุมเพื่อควบคุมไฟ (ใช้โปรโตคอล x10), บลายด์, เทอร์โม Nest และเว็บแคมสองตัว

ด้วยการตั้งค่าการบันทึกการโจมตี DDoS เมื่อเร็ว ๆ นี้โดยใช้อุปกรณ์ IoT ที่ไม่ปลอดภัยฉันต้องการรักษาความปลอดภัยการตั้งค่าเล็กน้อย

ผู้ใช้ตามบ้านสามารถทำอะไรเพื่อรักษาความปลอดภัยเครือข่ายในขณะที่ยังคงรักษา "การเชื่อมต่อจากที่ใดก็ได้" ซึ่งเป็นส่วนสำคัญของการตลาด

ปัญหาที่พบบ่อยที่สุดของอุปกรณ์ IoT คือรหัสผ่านเริ่มต้น ดังนั้นเปลี่ยนรหัสผ่านทั้งหมด เลือกรหัสผ่านแบบสุ่มที่ไม่ซ้ำกันสำหรับทุกอุปกรณ์และจดบันทึกลงบนกระดาษ (กระดาษปลอดภัยจากผู้โจมตีจากระยะไกลและความล้มเหลวของฮาร์ดไดรฟ์) 12 สุ่ม (เช่นคอมพิวเตอร์สร้าง) อักษรตัวพิมพ์เล็กแทนการประนีประนอมที่ดีระหว่างการรักษาความปลอดภัยและเป็นเรื่องยากที่จะพิมพ์ อุปกรณ์แต่ละชิ้นควรมีรหัสผ่านที่แตกต่างกันดังนั้นการทำลายอุปกรณ์จะไม่ทำให้ผู้โจมตีทำลายอุปกรณ์เหล่านั้นทั้งหมด ป้อนรหัสผ่านในตัวจัดการรหัสผ่านและใช้ตัวจัดการรหัสผ่านนั้นในคอมพิวเตอร์ที่คุณใช้เพื่อควบคุมอุปกรณ์

หากอุปกรณ์มีช่องทางการให้อนุญาตที่แตกต่างกันเช่นรหัสผ่านการบริหารและรหัสผ่านการใช้งานแบบวันต่อวันให้ใช้รหัสผ่านที่แตกต่างกันสำหรับทั้งสองและบันทึกเฉพาะรหัสผ่านการบริหารบนอุปกรณ์ที่เลือก

มาตรการรักษาความปลอดภัยทั่วไปที่สองคือเพื่อให้แน่ใจว่าอุปกรณ์ทั้งหมดของคุณอยู่หลังไฟร์วอลล์หรืออย่างน้อยอุปกรณ์ NAT โฮมเราเตอร์ทั่วไปนั้นเพียงพอ แต่คุณควรปิด UPnP ซึ่งสามารถอนุญาตให้มีช่องสัญญาณด้านหลังโดยไม่ตั้งใจจากด้านนอกได้ เป้าหมายคือเพื่อให้แน่ใจว่าไม่มีวิธีการเชื่อมต่อโดยตรงจากอินเทอร์เน็ตกับอุปกรณ์ การเชื่อมต่อควรผ่านเกตเวย์ที่ต้องการการรับรองความถูกต้องข้ามและให้คุณได้รับการแก้ไขด้วยการปรับปรุงความปลอดภัยใด ๆ

คุณควรใช้การอัปเดตความปลอดภัยกับอุปกรณ์ทั้งหมด ... หากมีอยู่ทั้งหมดซึ่งอาจเป็นปัญหา

ส่วนใหญ่ของการรักษาความปลอดภัยด้วยการตั้งค่า "เชื่อมต่อจากที่ใดก็ได้" เป็นการประกันความปลอดภัยของข้อมูลบัญชีของคุณ ใช้กฎปกติ:

• อย่าเปิดเผยรหัสผ่านของคุณ
• หลีกเลี่ยงการใช้คุกกี้เพื่อบันทึกรหัสผ่าน (แม้ว่าคุกกี้จะต้านทานได้ยากเสมอ)
• เปลี่ยนรหัสผ่านเป็นประจำ
• ระวังการละเมิดอื่น ๆ ผ่านทางอีเมล (ฟิชชิ่งการหลอกลวง ฯลฯ ) รวมถึงการละเมิดในระบบของ บริษัท ที่น่าเชื่อถือ ตัวอย่างเช่นหากฐานข้อมูลลูกค้าเป้าหมายละเมิดโปรดเปลี่ยนรหัสผ่านของคุณ
• ใช้รหัสผ่านที่ไม่ซ้ำกัน (ขอบคุณ @Gilles)
• ... พื้นฐานความปลอดภัยอินเทอร์เน็ตอื่น ๆ อีกมากมาย ...

นี่คือรายการสิ่งที่ดีที่คุณสามารถทำได้กับเครือข่ายของคุณตามที่อธิบายไว้ในบทความ TomsGuide นี้ :

• อย่าใช้ WEP! ใช้ WPA2 (PSK) แทนหรือดีกว่าในเครือข่ายของคุณและติดตามให้ทันสมัยด้วยโปรโตคอลที่แข็งแกร่งที่สุด
• อัปเดตเราเตอร์ / โมเด็มของคุณอยู่เสมอ ฉันเชื่อว่าเราเตอร์ส่วนใหญ่ (โดยเฉพาะรุ่นเก่า) ไม่อัพเดทตัวเองและหลายคนลืมตรวจสอบ / ติดตั้งอัพเดตเฟิร์มแวร์ล่าสุดไปยังเราเตอร์ของพวกเขา
• สร้างเครือข่าย Wi-Fi แยกต่างหากสำหรับอุปกรณ์ IoT ของคุณ หรือตั้งค่าเครือข่ายย่อยในเครือข่ายของคุณเพื่อเชื่อมต่ออุปกรณ์ IoT ของคุณ
• ติดตั้ง / ตั้งค่าไฟร์วอลล์บนเราเตอร์ของคุณ
• ปิดใช้งานเครือข่ายเกสต์ใด ๆ หรือยกระดับโปรโตคอลความปลอดภัย

น่าเสียดายที่ความปลอดภัยส่วนใหญ่อยู่นอกเหนือการควบคุมของคุณจากระดับผู้บริโภคด้วยแอพเว็บไซต์และข้อมูลดิบทางเทคนิคของคุณ การทำธุรกรรมข้อมูลทั้งหมดผ่านเครือข่ายทุกประเภทมีความอ่อนไหวต่อการใช้งานที่ไม่เหมาะสมหรือไม่ตั้งใจ

สิ่งที่ดีที่สุดที่คุณสามารถทำได้คือปกป้องการใช้งานออนไลน์ของคุณและป้องกันเครือข่ายท้องถิ่นของคุณจากการถูกโจมตี

การเพิ่มกฎความปลอดภัยขั้นพื้นฐาน IoT ที่สุดรายละเอียด Gilles กฎความปลอดภัยแรกที่บ้านคือการรักษาความปลอดภัยประตูทางเข้าของคุณอย่างเพียงพอ การตั้งค่าที่เหมาะสมในเราเตอร์ของคุณจะหยุดการโจมตีส่วนใหญ่ในแทร็กของพวกเขา หากเราเตอร์ของคุณไม่ได้รับการกำหนดค่าอย่างถูกต้องรักษาความปลอดภัยอุปกรณ์ด้านหลังมันเป็นที่สงสัย เราเตอร์ที่ถูกบุกรุกหมายถึงคุณมีความเป็นไปได้ในการโจมตีคนกลางในบ้านของคุณเอง

ดังนั้นเริ่มต้นด้วยการรักษาความปลอดภัยเราเตอร์ของคุณจากนั้นไปยังอุปกรณ์ IoT ด้วยตนเอง

ปิดใช้งาน Universal Plug and Play

หากคุณไม่ต้องการมันอาจก่อให้เกิดความเสี่ยงด้านความปลอดภัย

ไวรัสม้าโทรจันเวิร์มหรือโปรแกรมที่เป็นอันตรายอื่น ๆ ที่จัดการติดคอมพิวเตอร์ในเครือข่ายท้องถิ่นของคุณสามารถใช้ UPnP ได้เช่นเดียวกับโปรแกรมที่ถูกกฎหมาย ในขณะที่เราเตอร์ปกติจะบล็อกการเชื่อมต่อขาเข้าป้องกันการเข้าถึงที่เป็นอันตรายบางอย่าง UPnP อาจอนุญาตให้โปรแกรมที่เป็นอันตรายข้ามไฟร์วอลล์ทั้งหมด ตัวอย่างเช่นม้าโทรจันสามารถติดตั้งโปรแกรมควบคุมระยะไกลบนคอมพิวเตอร์ของคุณและเปิดช่องโหว่ในไฟร์วอลล์ของเราเตอร์ของคุณซึ่งอนุญาตให้เข้าถึงคอมพิวเตอร์ของคุณได้ตลอด 24 ชั่วโมงทุกวันจากอินเทอร์เน็ต หากปิดใช้งาน UPnP โปรแกรมจะไม่สามารถเปิดพอร์ตได้แม้ว่าจะสามารถข้ามไฟร์วอลล์ได้ด้วยวิธีอื่นและโทรศัพท์กลับบ้าน

(จากhowtogeek.com: UPnP เป็นความเสี่ยงด้านความปลอดภัยหรือไม่ )

สำหรับแง่มุม "เชื่อมต่อจากที่ใดก็ได้" คุณค่อนข้างมีความเมตตาต่อซอฟต์แวร์ไคลเอนต์ที่คุณให้ไว้เพื่อโต้ตอบกับ Nest ฯลฯ ไคลเอนต์ที่ปลอดภัยควรใช้บางอย่างเช่น SSH ซึ่งไม่เพียงเข้ารหัสการเชื่อมต่อ (เพื่อหลีกเลี่ยงการดักฟัง) แต่ยังอนุญาตการเชื่อมต่อเฉพาะเมื่อไคลเอนต์รู้จักไพรเวตคีย์

แอพธนาคารบางแห่งใช้ระบบที่คุณมีแกดเจ็ตที่ให้หมายเลขที่ซิงโครไนซ์กับเซิร์ฟเวอร์ในบางกรณีเช่นเดียวกับการใช้รหัสผ่านที่คุณมีหมายเลขท้าทายที่เปลี่ยนแปลงตลอดเวลาซึ่งเป็นที่รู้จักเฉพาะเซิร์ฟเวอร์และเจ้าของเท่านั้น ของอุปกรณ์ ฉันไม่รู้ระบบบ้านเหล่านี้ที่นำเสนอสิ่งที่คล้ายกัน แต่จะทำให้การควบคุมระยะไกลมีความปลอดภัยมากขึ้น

บางระบบอนุญาตให้คุณล็อคช่วงของที่อยู่ IP ที่อนุญาตการเชื่อมต่อระยะไกลได้ นี่เป็นขยะเล็กน้อย แต่ฉันคิดว่าดีกว่าไม่มีอะไร

ทางออกที่เป็นไปได้คือการใช้อุปกรณ์ที่สร้างขึ้นเป็นพิเศษเพื่อปรับปรุงความปลอดภัย ในกรณีของบ้านอัตโนมัติอุปสรรคแรกคือเราเตอร์และด้วยสิ่งพิเศษเราสามารถได้รับประโยชน์บางอย่าง

ตัวอย่างเช่นNorton Core Router ¹มีคุณสมบัติดังต่อไปนี้:

1. ตรวจสอบแพ็คเก็ตทั้งหมดที่จะผ่านการโจมตีที่รู้จักกัน
2. อัปเดตเป็นประจำ ดังนั้นปัญหาความปลอดภัยที่ค้นพบใหม่จึงได้รับการจัดการอย่างรวดเร็ว
3. เครือข่ายหลาย ๆ คุณสามารถมีอุปกรณ์ที่มีช่องโหว่มากที่สุดในเครือข่ายที่แยกต่างหากซึ่งจะช่วยปกป้องส่วนที่เหลือ
4. คะแนนความปลอดภัย การระบุถึงปัญหาด้านความปลอดภัยที่เป็นไปได้และการรั่วไหลและผลรวมในจำนวนหนึ่ง

นี่เป็นเพียงไฮไลท์บางส่วน สำหรับรายละเอียดเพิ่มเติมเยี่ยมชมลิงค์ในคำตอบเพิ่มเติมนี้

_{1แนวคิดนี้ได้รับแรงบันดาลใจจากคำถามนี้และคำตอบนี้ดังนั้นเครดิตควรไปที่ @ Aurora0001 และ @bang นอกจากนี้ยังเป็นการสาธิตที่ดีของเนื้อหาที่เป็นประโยชน์ที่เรากำลังสร้างที่นี่}

นี่คือบางสิ่งที่ฉันพูดจากsymantec.com :

• วิจัยความสามารถและคุณลักษณะด้านความปลอดภัยของอุปกรณ์ IoT ก่อนซื้อ
• ทำการตรวจสอบอุปกรณ์ IoT ที่ใช้ในเครือข่ายของคุณ
• เปลี่ยนข้อมูลรับรองเริ่มต้นบนอุปกรณ์ ใช้รหัสผ่านที่คาดเดายากและไม่ซ้ำใครสำหรับบัญชีอุปกรณ์และเครือข่าย Wi-Fi
• ใช้วิธีการเข้ารหัสที่รัดกุมเมื่อตั้งค่าการเข้าถึงเครือข่าย Wi-Fi (WPA)
• ปิดใช้งานคุณสมบัติและบริการที่ไม่จำเป็น
• ปิดใช้งานการล็อกอิน Telnet และใช้ SSH หากเป็นไปได้
• ปิดใช้งาน Universal Plug and Play (UPnP) บนเราเตอร์เว้นแต่จำเป็นจริงๆ
• ปรับเปลี่ยนการตั้งค่าความเป็นส่วนตัวและความปลอดภัยเริ่มต้นของอุปกรณ์ IoT ตามข้อกำหนดและนโยบายความปลอดภัยของคุณ
• ปิดใช้งานหรือปกป้องการเข้าถึงระยะไกลไปยังอุปกรณ์ IoT เมื่อไม่ต้องการ
• ใช้การเชื่อมต่อแบบมีสายแทนไร้สายที่เป็นไปได้
• ตรวจสอบเว็บไซต์ของผู้ผลิตเป็นประจำเพื่อรับการอัพเดตเฟิร์มแวร์
• ตรวจสอบให้แน่ใจว่าการหยุดทำงานของฮาร์ดแวร์ไม่ส่งผลให้อุปกรณ์ไม่ปลอดภัย

ผมขอสนับสนุนโดยเฉพาะอย่างยิ่ง 3 ^RDและ 6 ^THจุด - รหัสผ่านและเริ่มต้นการเข้าสู่ระบบ Telnet เป็นเพียงการขอให้ถูกแฮ็ก

มีอุปสรรคอีกประการหนึ่งที่คุณสามารถยกระดับที่ไม่ได้อยู่ในเครือข่ายของคุณได้ นอกจากว่าคุณต้องการที่อยู่ IPv4 ที่สามารถระบุตำแหน่งภายนอกได้จริงๆคุณสามารถตรวจสอบว่าผู้ให้บริการอินเทอร์เน็ตของคุณใช้Dual Stack Liteหรือไม่ ผู้ให้บริการอินเทอร์เน็ตมักเปลี่ยนไปใช้มาตรฐานนั้นเพื่อบันทึกที่อยู่ IPv4 บางแห่งเสนอตัวเลือก IPv4

สิ่งที่มี Dual-Stack Lite คือมันมีคุณข้อดีและข้อเสียของการให้บริการตามNAT ในขณะที่หมายความว่าคุณไม่สามารถใช้บริการเช่น DynDNS และไม่สามารถใช้พอร์ตเปิดตาม IPv4 ไปสู่ภายนอกได้ แต่ก็หมายความว่าคุณไม่สามารถเข้าถึงคำขอ IPv4 ใด ๆ ที่มาจากอินเทอร์เน็ตโดยไม่คาดคิดได้ ผู้ให้บริการ NAT จะไม่ส่งต่อสายเหล่านั้น การโทรที่ไม่ถึงคุณไม่สามารถตั้งค่าได้

ลูกค้าปลายทางหลายล้านคนเพลิดเพลินไปกับการป้องกันขั้นสูงแล้ว แต่หากคุณมีตัวเลือก IPv4 ที่เปิดใช้งานคุณสามารถพิจารณาปิดการใช้งานได้หากคุณไม่ต้องการใช้งานจริง