소규모 가정 자동화 설정 보안


52

소규모 홈 오토메이션 랩을 운영하고 있습니다. 이 설정에서는 조명 (x10 프로토콜 사용), 블라인드, Nest 온도 조절기 및 2 개의 웹 캠을 제어하는 ​​제어 시스템이 있습니다.

최근의 기록 설정 DDoS는 보안되지 않은 IoT 장치를 활용하여 작은 설정을 조금 안전하게 보호하고 싶습니다.

가정용 사용자는 마케팅의 큰 부분 인 "어디서나 연결"을 유지하면서 네트워크를 보호하기 위해 무엇을 할 수 있습니까?


답변:


24

IoT 장치에서 가장 일반적인 문제는 기본 암호입니다. 그래서 모든 암호를 변경 . 모든 장치에 대해 고유 한 임의의 암호를 선택하여 종이에 적어 둡니다 (종이는 원격 공격자 및 하드 드라이브 오류로부터 안전합니다). 12 개의 임의의 (예 : 컴퓨터 생성) 소문자는 보안과 입력하기가 어려운 것 사이의 좋은 절충안을 나타냅니다. 각 장치마다 암호가 달라야 암호를 해독해도 공격자가 암호를 모두 해독 할 수 없습니다. 암호 관리자에 암호를 입력하고 장치를 제어하는 ​​데 사용하는 컴퓨터에서 해당 암호 관리자를 사용하십시오.

장치에 다른 인증 채널 (예 : 관리 암호 및 일상적인 사용 암호)이있는 경우 둘 다에 다른 암호를 사용하고 선택한 장치에만 관리 암호를 기록하십시오.

두 번째 일반적인 보안 조치는 모든 장치가 방화벽이나 최소한 NAT 장치 뒤에 있는지 확인하는 것입니다. 일반적인 홈 라우터로는 충분하지만 외부에서 우발적 인 백 채널을 허용 할 수있는 UPnP를 꺼야합니다. 인터넷에서 장치로 직접 연결할 수있는 방법이 없도록하는 것이 목표입니다. 연결은 항상 상호 인증을 요구하고 보안 업데이트로 패치 된 게이트웨이를 통과해야합니다.

또한 모든 장치에 보안 업데이트를 적용해야합니다. 모든 장치가있는 경우 문제가 될 수 있습니다.


1
안전하지는 않지만 자신의 모든 암호를 이름으로 설정해도 공장 기본값보다 훨씬 안전하고 좋습니다 (길이가 길고 복잡하더라도). 그 이유는 대부분 IoT 장치가 해킹되지 않고 기본값으로 로그인했기 때문입니다.
Helmar

1
비밀번호에 필요한 xkcd : imgs.xkcd.com/comics/password_strength.png
Tensibai

1
@ Tensibai 그것은 실제로 적용 할 수 없습니다. 그 만화는 기억남는 암호 에 관한 것 입니다. IoT 장치에는 기억하기 쉬운 암호가 필요하지 않습니다. 암호는 일반적으로 항상 컴퓨터 / 전화의 암호 관리자에 저장됩니다.
Gilles 'SO- 악마 그만해'

2
@Tensibai 12 개의 임의 소문자는 56 비트의 엔트로피입니다. 이것은 xkcd 사전을 사용하는 5 단어 암호 문구보다 약간 더 높으며 때로는 전달해야 할 때 입력하기가 훨씬 쉽습니다. 임의의 문자는 기억하기에 좋지 않지만 기억할 필요가없는 암호의 경우 이것이 최선의 선택입니다.
Gilles 'SO- 악마 그만해'

21

항상 "어디서나 연결"설정으로 보안의 큰 부분은 계정 정보의 보안을 보장하는 것입니다. 일반적인 규칙이 적용됩니다.

  • 비밀번호를 공유하지 마십시오
  • 쿠키를 사용하여 비밀번호를 저장하지 마십시오 (쿠키는 항상 저항하기 어렵지만)
  • 정기적으로 비밀번호 변경
  • 신뢰할 수있는 회사 시스템의 위반을 포함하여 전자 메일 (피싱, 사기 등)을 통한 다른 위반에 대해 알고 있어야합니다. 예를 들어, 대상의 고객 데이터베이스를 위반 한 경우 비밀번호를 변경하십시오.
  • 고유 한 비밀번호 사용 (@Gilles 덕분에)
  • ... 다른 많은 인터넷 보안 기본 사항 ...

이 TomsGuide 기사에 설명 된대로 네트워크에서 수행 할 수있는 작업 목록은 다음과 같습니다 .

  • WEP를 사용하지 마십시오! 대신 네트워크에서 WPA2 (PSK) 이상을 사용하고 가장 강력한 프로토콜을 최신 상태로 유지하십시오.
  • 라우터 / 모뎀을 최신 상태로 유지하십시오. 대부분의 라우터 (특히 구형 모델)는 자체 업데이트가 아니며 많은 사람들이 최신 펌웨어 업데이트를 라우터에 확인 / 설치하는 것을 잊습니다.
  • IoT 장치를위한 별도의 Wi-Fi 네트워크를 만듭니다. 또는 IoT 장치를 연결하기 위해 네트워크에 서브넷을 설정하십시오.
  • 라우터에 방화벽을 설치 / 설정하십시오.
  • 게스트 네트워크를 비활성화하거나 보안 프로토콜을 높이십시오.

불행히도 보안은 대부분 앱, 웹 사이트 및 기술적으로 원시 데이터를 사용하여 소비자 수준에서 제어 할 수 없습니다. 거의 모든 유형의 네트워크를 통한 모든 데이터 트랜잭션은 부적절하거나 의도하지 않은 사용에 취약합니다.

최선의 방법은 온라인 사용을 보호하고 로컬 네트워크를 공격으로부터 보호하는 것입니다.


3
좋은 것, 여기서 나쁜 것, 그러나 좋은 것보다 더 나쁜 것. “쿠키 사용 금지”: 비생산적. "일반적으로 비밀번호 변경": 무의미하며 일반적으로 비생산적입니다. 누락 된 핵심 사항 : 기본 비밀번호를 사용하지 마십시오.
Gilles 'SO- 악의를 멈춰라'

2
Gilles에 동의해야합니다. 이러한 일반적인 팁의 대부분은 IoT 장치 및 장치를 연결하는 라우터에 절반 만 적용됩니다. 기껏해야 제어 대시 보드 등의 웹 UI에 적용됩니다.
Helmar

13

Gilles의 가장 기본적인 IoT 보안 규칙에 추가하여 가정의 첫 번째 보안 규칙은 출입문을 적절히 보호하는 것입니다. 라우터의 올바른 설정은 트랙에서 대부분의 공격을 중지합니다. 라우터가 올바르게 구성되지 않은 경우 뒤에있는 장치를 안전하게 보호 할 수 있습니다. 라우터가 손상 되면 가정에서 MITM (Man-in-the-Middle) 공격 이 발생할 수 있습니다.

따라서 라우터 보안부터 시작하여 IoT 장치 자체로 작업하십시오.


10

범용 플러그 앤 플레이 비활성화

필요하지 않은 경우 보안 위험이 발생할 수 있습니다.

로컬 네트워크의 컴퓨터를 감염시키는 바이러스, 트로이 목마, 웜 또는 기타 악성 프로그램은 합법적 인 프로그램과 마찬가지로 UPnP를 사용할 수 있습니다. 라우터는 일반적으로 들어오는 연결을 차단하여 일부 악의적 인 액세스를 차단하지만 UPnP는 악성 프로그램이 방화벽을 완전히 우회하도록 허용 할 수 있습니다. 예를 들어 트로이 목마는 컴퓨터에 원격 제어 프로그램을 설치하고 라우터의 방화벽에 구멍을 열어 인터넷에서 컴퓨터에 24/7 액세스 할 수 있습니다. UPnP가 비활성화 된 경우 다른 방법으로 방화벽을 우회하거나 전화를 걸 수는 있지만 프로그램에서 포트를 열 수 없습니다.

( howtogeek.com : UPnP는 보안 위험이 있습니까? )


8

"어디서나 연결"측면의 경우, Nest 등과 상호 작용하기 위해 제공 한 소프트웨어 클라이언트의 자비에 거의 달렸습니다. 보안 클라이언트는 SSH와 같은 것을 사용해야합니다. 도청을 피하기 위해 연결을 암호화 할뿐 아니라 클라이언트가 개인 키를 알고있는 경우에만 연결을 허용합니다.

일부 뱅킹 앱은 어떤 방식 으로든 서버에 동기화 된 번호를 제공하는 가제트가있는 시스템을 사용하므로 비밀번호를 사용하면 서버 및 보유자에게만 알려진 끊임없이 변화하는 챌린지 번호가 있습니다. 가제트의. 비슷한 것을 제공하는 이러한 홈 시스템을 모르지만 원격 제어를 훨씬 안전하게 만듭니다.

일부 시스템에서는 원격 연결이 허용되는 IP 주소 범위를 잠글 수 있습니다. 이것은 약간 쓰레기이지만, 나는 아무것도 아닌 것보다 낫다고 생각합니다.


1
이론적으로 EU 나 미국 이외의 지역을 방문 할 계획이 없다면 (또는 그곳에서 domotica를 제어하고 싶지 않은 경우) 연결을 차단해야합니다. 부수적 스캔 등을 방지하는데 도움이됩니다. 그러나 실제로 장치에 연결하려는 사람은 프록시를 설정하거나 근처에 살 수 있습니다.
Paul

8

가능한 해결책은 보안을 향상시키기 위해 특별히 만들어진 장치를 사용하는 것입니다. 자동 주택의 경우 첫 번째 장벽은 라우터이며, 특별한 장벽으로 우리는 몇 가지 이점을 얻을 수 있습니다.

예를 들어 Norton Core Router 1 은 다음 기능을 제공합니다.

  1. 알려진 공격에 대해 통과하는 모든 패킷을 검사합니다.
  2. 자주 업데이트됩니다. 새로 발견 된 보안 문제는 신속하게 처리됩니다.
  3. 여러 네트워킹. 별도의 네트워크에서 가장 취약한 장치를 사용하여 나머지를 보호 할 수 있습니다.
  4. 보안 점수. 가능한 보안 문제를 식별하고 유출하여 하나의 숫자로 요약합니다.

이것들은 단지 하이라이트입니다. 자세한 내용은이 자세한 답변 의 링크를 참조하십시오 .

1 이 아이디어는이 질문 과이 답변 에서 영감을 얻었 으므로 크레딧은 @ Aurora0001 및 @bang으로 이동해야합니다. 또한 우리가 여기에서 만들고있는 유용한 컨텐츠를 잘 보여줍니다.


7

다음은 symantec.com 에서 인용 한 몇 가지 사항입니다 .

  • 구매하기 전에 IoT 장치의 기능 및 보안 기능을 조사하십시오
  • 네트워크에서 사용되는 IoT 장치 감사 수행
  • 장치의 기본 자격 증명을 변경하십시오. 기기 계정 및 Wi-Fi 네트워크에 강력하고 고유 한 비밀번호 사용
  • Wi-Fi 네트워크 액세스 (WPA)를 설정할 때 강력한 암호화 방법을 사용하십시오.
  • 필요하지 않은 기능 및 서비스 비활성화
  • Telnet 로그인을 비활성화하고 가능한 경우 SSH를 사용하십시오.
  • 꼭 필요한 경우가 아니면 라우터에서 범용 플러그 앤 플레이 (UPnP) 비활성화
  • 요구 사항 및 보안 정책에 따라 IoT 장치의 기본 개인 정보 보호 및 보안 설정 수정
  • 필요하지 않은 경우 IoT 장치에 대한 원격 액세스 비활성화 또는 보호
  • 가능하면 무선 대신 유선 연결을 사용하십시오
  • 제조업체 웹 사이트에서 정기적으로 펌웨어 업데이트를 확인하십시오.
  • 하드웨어 중단으로 인해 장치가 안전하지 않은 상태가되지 않도록하십시오

나는 특히 세 번째 와 여섯 번째 포인트를 강력하게 지원합니다 -기본 비밀번호와 텔넷 로그인은 단순히 해킹을 요구합니다.


5

네트워크에없는 다른 장애물도 있습니다. 실제로 외부 주소 지정이 가능한 IPv4 주소가 필요하지 않으면 인터넷 제공 업체가 Dual Stack Lite를 사용하는지 확인할 수 있습니다 . 인터넷 제공 업체는 종종 IPv4 주소를 저장하기 위해 해당 표준으로 전환했지만 일부는 IPv4 옵션을 제공합니다.

Dual-Stack Lite의 장점은 캐리어 기반 NAT 의 장점과 단점을 제공한다는 것 입니다. 이는 DynDNS와 같은 서비스를 사용할 수없고 외부에서 IPv4 기반 개방 포트를 사용할 수 없다는 것을 의미하지만 인터넷에서 예기치 않게 들어오는 IPv4 요청에 대해서는 완전히 연결할 수 없음을 의미합니다. 이동 통신사 NAT는 이러한 통화를 전달하지 않습니다. 연결되지 않은 전화는 설정을 손상시킬 수 없습니다.

수백만 명의 최종 고객이 이미 강화 된 보호 기능을 즐기고 있지만 활성화 된 IPv4 옵션이있는 경우 실제로 필요하지 않은 경우 비활성화하는 것을 고려할 수 있습니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.