Tengo un pequeño laboratorio de automatización del hogar (que sigo diciendo que ampliaré, pero no lo he hecho). En esta configuración, tengo un sistema de control para controlar luces (utilizando el protocolo x10), persianas, un termostato Nest y dos cámaras web.

Con el reciente récord de ataques DDoS utilizando dispositivos IoT no seguros, me gustaría asegurar un poco mi pequeña configuración.

¿Qué puede hacer un usuario doméstico para asegurar su red mientras mantiene el aspecto de "conectarse desde cualquier lugar" que es una gran parte del marketing?

El problema más común con los dispositivos IoT son las contraseñas predeterminadas. Entonces cambie todas las contraseñas . Elija una contraseña única y aleatoria para cada dispositivo y escríbala en papel (el papel está a salvo de atacantes remotos y fallas del disco duro). 12 letras minúsculas aleatorias (es decir, generadas por computadora) representan un buen compromiso entre la seguridad y la dificultad para escribir. Cada dispositivo debe tener una contraseña diferente para que romper una no permita que el atacante las rompa todas. Ingrese las contraseñas en un administrador de contraseñas y use ese administrador de contraseñas en las computadoras que usa para controlar los dispositivos.

Si el dispositivo tiene diferentes canales de autorización, por ejemplo, una contraseña de administración y una contraseña de uso diario, use contraseñas diferentes para ambos y solo registre la contraseña de administración en los dispositivos seleccionados.

La segunda medida de seguridad genérica es garantizar que todos sus dispositivos estén detrás de un firewall o al menos un dispositivo NAT. Un enrutador doméstico típico es suficiente, pero debe desactivar UPnP, que puede permitir canales posteriores involuntarios desde el exterior. El objetivo es garantizar que no haya una forma directa de conectarse desde Internet al dispositivo. Las conexiones siempre deben pasar a través de una puerta de enlace que en sí misma requiere autenticación para cruzarse, y que usted mantenga actualizada con cualquier actualización de seguridad.

También debe aplicar actualizaciones de seguridad en todos los dispositivos ... si existen, lo que puede ser un problema.

Como siempre, una gran parte de la seguridad con configuraciones de "conectarse desde cualquier lugar" es garantizar la seguridad de la información de su cuenta. Se aplican las reglas habituales:

• No compartas tu contraseña
• Evite usar cookies para guardar contraseñas (aunque las cookies siempre son difíciles de resistir)
• Cambiar regularmente las contraseñas
• Tenga en cuenta otras infracciones por correo electrónico (phishing, estafas, etc.), incluidas las infracciones en los sistemas creíbles de la empresa. Por ejemplo, si se viola la base de datos de clientes de Target, cambie sus contraseñas.
• Use contraseñas únicas (gracias @Gilles)
• ... Muchos otros conceptos básicos de seguridad de Internet ...

Aquí hay una buena lista de cosas que puede hacer en su red como se explica en este artículo de TomsGuide :

• ¡No uses WEP! , en su lugar, use WPA2 (PSK) o mejor en su red y manténgase actualizado con los protocolos más sólidos.
• Mantenga actualizado su enrutador / módem. Creo que la mayoría de los enrutadores (especialmente los modelos más antiguos) no se actualizan automáticamente y muchas personas se olvidan de verificar / instalar las últimas actualizaciones de firmware en su enrutador.
• Cree una red Wi-Fi separada para sus dispositivos IoT. Alternativamente, configure una subred en su red para conectar sus dispositivos IoT.
• Instale / configure un firewall en su enrutador.
• Deshabilite cualquier red de invitados o eleve el protocolo de seguridad.

Desafortunadamente, la seguridad está principalmente fuera de su control desde el nivel del consumidor con aplicaciones, sitios web y técnicamente sus datos sin procesar. Todas las transacciones de datos a través de prácticamente cualquier tipo de red son susceptibles de uso indebido o involuntario.

Lo mejor que puede hacer es proteger su uso en línea y proteger su red local de ataques.

Agregando a la regla de seguridad de IoT más básica los detalles de Gilles, la primera regla de seguridad en el hogar es asegurar su puerta de entrada de manera adecuada. La configuración adecuada en su enrutador detendrá la mayoría de los ataques en sus pistas. Si su enrutador no está configurado correctamente, la seguridad de los dispositivos detrás de él es discutible. Un enrutador comprometido significa que tiene la posibilidad de ataques de hombre en el medio en su propia casa.

Por lo tanto, comience por asegurar su enrutador, luego trabaje hasta los dispositivos IoT.

Desactivar Plug and Play universal

Si no lo necesita, también puede representar un riesgo de seguridad.

Un virus, un caballo de Troya, un gusano u otro programa malicioso que logre infectar una computadora en su red local puede usar UPnP, al igual que los programas legítimos. Mientras que un enrutador normalmente bloquea las conexiones entrantes, evitando algunos accesos maliciosos, UPnP podría permitir que un programa malicioso omita por completo el firewall. Por ejemplo, un caballo de Troya podría instalar un programa de control remoto en su computadora y abrir un agujero en el cortafuegos de su enrutador, permitiendo el acceso 24/7 a su computadora desde Internet. Si UPnP estuviera deshabilitado, el programa no podría abrir el puerto, aunque podría omitir el firewall de otras maneras y llamar a casa.

(De howtogeek.com: ¿UPnP es un riesgo de seguridad? )

Para el aspecto de "conectarse desde cualquier lugar", está a merced del cliente de software que se le proporciona para interactuar con el Nest, etc. Un cliente seguro debe usar algo como SSH, que no solo encripta la conexión (para evitar escuchas) , pero también solo permite una conexión cuando el cliente conoce la clave privada.

Algunas aplicaciones bancarias utilizan un sistema en el que tiene un dispositivo que le proporciona un número que está sincronizado con el servidor de alguna manera, por lo que, además de usar una contraseña, tiene un número de desafío en constante cambio que solo conoce el servidor y el titular del gadget No conozco ninguno de estos sistemas domésticos que ofrezcan algo similar, pero esto haría que el control remoto sea mucho más seguro.

Algunos sistemas le permiten bloquear el rango de direcciones IP desde las que se permite una conexión remota. Esto es un poco basura, pero supongo que mejor que nada.

Una posible solución podría ser el uso de dispositivos creados especialmente para mejorar la seguridad. En el caso de una casa automatizada, la primera barrera es el enrutador, y con una especial podemos obtener algunos beneficios.

Por ejemplo, el Norton Core Router ¹ ofrece las siguientes características:

1. Inspecciona todos los paquetes que pasan por ataques conocidos.
2. Actualizaciones frecuentes. Por lo tanto, los problemas de seguridad recientemente descubiertos se manejan rápidamente.
3. Múltiples redes. Puede tener los dispositivos más vulnerables en una red separada, protegiendo así al resto.
4. Puntaje de seguridad. Identificación de posibles problemas de seguridad y fugas y lo resume en un número.

Estos son solo algunos aspectos destacados. Para obtener más detalles, visite los enlaces en esta respuesta más detallada .

_{1 Esta idea se inspiró en esta pregunta y esta respuesta , por lo que el crédito debe ir a @ Aurora0001 y @bang. Además, es una buena demostración del contenido útil que estamos creando aquí.}

Aquí hay algunas cosas que cito de symantec.com :

• Investigue las capacidades y características de seguridad de un dispositivo IoT antes de comprar
• Realice una auditoría de los dispositivos IoT utilizados en su red
• Cambiar las credenciales predeterminadas en los dispositivos. Use contraseñas seguras y únicas para cuentas de dispositivos y redes Wi-Fi
• Utilice un método de cifrado seguro al configurar el acceso a la red Wi-Fi (WPA)
• Deshabilitar funciones y servicios que no son necesarios
• Deshabilite el inicio de sesión de Telnet y use SSH cuando sea posible
• Deshabilite Universal Plug and Play (UPnP) en los enrutadores a menos que sea absolutamente necesario
• Modifique la configuración de privacidad y seguridad predeterminada de los dispositivos IoT de acuerdo con sus requisitos y política de seguridad
• Deshabilite o proteja el acceso remoto a dispositivos IoT cuando no sea necesario
• Use conexiones cableadas en lugar de inalámbricas cuando sea posible
• Visite regularmente el sitio web del fabricante para obtener actualizaciones de firmware
• Asegúrese de que una interrupción del hardware no provoque un estado no seguro del dispositivo

Apoyo firmemente en especial la 3 ^ª y 6 ^ª puntos - contraseñas por defecto y los inicios de sesión de Telnet son simplemente pidiendo ser hackeado.

Hay otra barrera que puede levantar que ni siquiera está en su red. A menos que realmente necesite una dirección IPv4 direccionable externamente, puede verificar si su proveedor de Internet usa Dual Stack Lite . A menudo, los proveedores de Internet cambiaron a ese estándar para guardar direcciones IPv4, algunos sin embargo ofrecen opciones de IPv4.

La cosa con Dual-Stack Lite es que le ofrece las ventajas y desventajas de un NAT basado en operador . Si bien eso significa que no puede usar servicios como DynDNS y no puede usar el puerto abierto basado en IPv4 hacia el exterior, también significa que no puede acceder a ninguna solicitud de IPv4 que provenga inesperadamente de Internet. El operador NAT simplemente no reenviará esas llamadas. Las llamadas que no le llegan no pueden comprometer su configuración.

Millones de clientes finales ya disfrutan de esa protección mejorada, pero si tiene una opción de IPv4 activada, puede considerar desactivarla, si realmente no la necesita.