소규모 홈 오토메이션 랩을 운영하고 있습니다. 이 설정에서는 조명 (x10 프로토콜 사용), 블라인드, Nest 온도 조절기 및 2 개의 웹 캠을 제어하는 제어 시스템이 있습니다.
최근의 기록 설정 DDoS는 보안되지 않은 IoT 장치를 활용하여 작은 설정을 조금 안전하게 보호하고 싶습니다.
가정용 사용자는 마케팅의 큰 부분 인 "어디서나 연결"을 유지하면서 네트워크를 보호하기 위해 무엇을 할 수 있습니까?
소규모 홈 오토메이션 랩을 운영하고 있습니다. 이 설정에서는 조명 (x10 프로토콜 사용), 블라인드, Nest 온도 조절기 및 2 개의 웹 캠을 제어하는 제어 시스템이 있습니다.
최근의 기록 설정 DDoS는 보안되지 않은 IoT 장치를 활용하여 작은 설정을 조금 안전하게 보호하고 싶습니다.
가정용 사용자는 마케팅의 큰 부분 인 "어디서나 연결"을 유지하면서 네트워크를 보호하기 위해 무엇을 할 수 있습니까?
답변:
IoT 장치에서 가장 일반적인 문제는 기본 암호입니다. 그래서 모든 암호를 변경 . 모든 장치에 대해 고유 한 임의의 암호를 선택하여 종이에 적어 둡니다 (종이는 원격 공격자 및 하드 드라이브 오류로부터 안전합니다). 12 개의 임의의 (예 : 컴퓨터 생성) 소문자는 보안과 입력하기가 어려운 것 사이의 좋은 절충안을 나타냅니다. 각 장치마다 암호가 달라야 암호를 해독해도 공격자가 암호를 모두 해독 할 수 없습니다. 암호 관리자에 암호를 입력하고 장치를 제어하는 데 사용하는 컴퓨터에서 해당 암호 관리자를 사용하십시오.
장치에 다른 인증 채널 (예 : 관리 암호 및 일상적인 사용 암호)이있는 경우 둘 다에 다른 암호를 사용하고 선택한 장치에만 관리 암호를 기록하십시오.
두 번째 일반적인 보안 조치는 모든 장치가 방화벽이나 최소한 NAT 장치 뒤에 있는지 확인하는 것입니다. 일반적인 홈 라우터로는 충분하지만 외부에서 우발적 인 백 채널을 허용 할 수있는 UPnP를 꺼야합니다. 인터넷에서 장치로 직접 연결할 수있는 방법이 없도록하는 것이 목표입니다. 연결은 항상 상호 인증을 요구하고 보안 업데이트로 패치 된 게이트웨이를 통과해야합니다.
또한 모든 장치에 보안 업데이트를 적용해야합니다. 모든 장치가있는 경우 문제가 될 수 있습니다.
항상 "어디서나 연결"설정으로 보안의 큰 부분은 계정 정보의 보안을 보장하는 것입니다. 일반적인 규칙이 적용됩니다.
이 TomsGuide 기사에 설명 된대로 네트워크에서 수행 할 수있는 작업 목록은 다음과 같습니다 .
불행히도 보안은 대부분 앱, 웹 사이트 및 기술적으로 원시 데이터를 사용하여 소비자 수준에서 제어 할 수 없습니다. 거의 모든 유형의 네트워크를 통한 모든 데이터 트랜잭션은 부적절하거나 의도하지 않은 사용에 취약합니다.
최선의 방법은 온라인 사용을 보호하고 로컬 네트워크를 공격으로부터 보호하는 것입니다.
Gilles의 가장 기본적인 IoT 보안 규칙에 추가하여 가정의 첫 번째 보안 규칙은 출입문을 적절히 보호하는 것입니다. 라우터의 올바른 설정은 트랙에서 대부분의 공격을 중지합니다. 라우터가 올바르게 구성되지 않은 경우 뒤에있는 장치를 안전하게 보호 할 수 있습니다. 라우터가 손상 되면 가정에서 MITM (Man-in-the-Middle) 공격 이 발생할 수 있습니다.
따라서 라우터 보안부터 시작하여 IoT 장치 자체로 작업하십시오.
필요하지 않은 경우 보안 위험이 발생할 수 있습니다.
로컬 네트워크의 컴퓨터를 감염시키는 바이러스, 트로이 목마, 웜 또는 기타 악성 프로그램은 합법적 인 프로그램과 마찬가지로 UPnP를 사용할 수 있습니다. 라우터는 일반적으로 들어오는 연결을 차단하여 일부 악의적 인 액세스를 차단하지만 UPnP는 악성 프로그램이 방화벽을 완전히 우회하도록 허용 할 수 있습니다. 예를 들어 트로이 목마는 컴퓨터에 원격 제어 프로그램을 설치하고 라우터의 방화벽에 구멍을 열어 인터넷에서 컴퓨터에 24/7 액세스 할 수 있습니다. UPnP가 비활성화 된 경우 다른 방법으로 방화벽을 우회하거나 전화를 걸 수는 있지만 프로그램에서 포트를 열 수 없습니다.
"어디서나 연결"측면의 경우, Nest 등과 상호 작용하기 위해 제공 한 소프트웨어 클라이언트의 자비에 거의 달렸습니다. 보안 클라이언트는 SSH와 같은 것을 사용해야합니다. 도청을 피하기 위해 연결을 암호화 할뿐 아니라 클라이언트가 개인 키를 알고있는 경우에만 연결을 허용합니다.
일부 뱅킹 앱은 어떤 방식 으로든 서버에 동기화 된 번호를 제공하는 가제트가있는 시스템을 사용하므로 비밀번호를 사용하면 서버 및 보유자에게만 알려진 끊임없이 변화하는 챌린지 번호가 있습니다. 가제트의. 비슷한 것을 제공하는 이러한 홈 시스템을 모르지만 원격 제어를 훨씬 안전하게 만듭니다.
일부 시스템에서는 원격 연결이 허용되는 IP 주소 범위를 잠글 수 있습니다. 이것은 약간 쓰레기이지만, 나는 아무것도 아닌 것보다 낫다고 생각합니다.
가능한 해결책은 보안을 향상시키기 위해 특별히 만들어진 장치를 사용하는 것입니다. 자동 주택의 경우 첫 번째 장벽은 라우터이며, 특별한 장벽으로 우리는 몇 가지 이점을 얻을 수 있습니다.
예를 들어 Norton Core Router 1 은 다음 기능을 제공합니다.
이것들은 단지 하이라이트입니다. 자세한 내용은이 자세한 답변 의 링크를 참조하십시오 .
1 이 아이디어는이 질문 과이 답변 에서 영감을 얻었 으므로 크레딧은 @ Aurora0001 및 @bang으로 이동해야합니다. 또한 우리가 여기에서 만들고있는 유용한 컨텐츠를 잘 보여줍니다.
다음은 symantec.com 에서 인용 한 몇 가지 사항입니다 .
- 구매하기 전에 IoT 장치의 기능 및 보안 기능을 조사하십시오
- 네트워크에서 사용되는 IoT 장치 감사 수행
- 장치의 기본 자격 증명을 변경하십시오. 기기 계정 및 Wi-Fi 네트워크에 강력하고 고유 한 비밀번호 사용
- Wi-Fi 네트워크 액세스 (WPA)를 설정할 때 강력한 암호화 방법을 사용하십시오.
- 필요하지 않은 기능 및 서비스 비활성화
- Telnet 로그인을 비활성화하고 가능한 경우 SSH를 사용하십시오.
- 꼭 필요한 경우가 아니면 라우터에서 범용 플러그 앤 플레이 (UPnP) 비활성화
- 요구 사항 및 보안 정책에 따라 IoT 장치의 기본 개인 정보 보호 및 보안 설정 수정
- 필요하지 않은 경우 IoT 장치에 대한 원격 액세스 비활성화 또는 보호
- 가능하면 무선 대신 유선 연결을 사용하십시오
- 제조업체 웹 사이트에서 정기적으로 펌웨어 업데이트를 확인하십시오.
- 하드웨어 중단으로 인해 장치가 안전하지 않은 상태가되지 않도록하십시오
나는 특히 세 번째 와 여섯 번째 포인트를 강력하게 지원합니다 -기본 비밀번호와 텔넷 로그인은 단순히 해킹을 요구합니다.
네트워크에없는 다른 장애물도 있습니다. 실제로 외부 주소 지정이 가능한 IPv4 주소가 필요하지 않으면 인터넷 제공 업체가 Dual Stack Lite를 사용하는지 확인할 수 있습니다 . 인터넷 제공 업체는 종종 IPv4 주소를 저장하기 위해 해당 표준으로 전환했지만 일부는 IPv4 옵션을 제공합니다.
Dual-Stack Lite의 장점은 캐리어 기반 NAT 의 장점과 단점을 제공한다는 것 입니다. 이는 DynDNS와 같은 서비스를 사용할 수없고 외부에서 IPv4 기반 개방 포트를 사용할 수 없다는 것을 의미하지만 인터넷에서 예기치 않게 들어오는 IPv4 요청에 대해서는 완전히 연결할 수 없음을 의미합니다. 이동 통신사 NAT는 이러한 통화를 전달하지 않습니다. 연결되지 않은 전화는 설정을 손상시킬 수 없습니다.
수백만 명의 최종 고객이 이미 강화 된 보호 기능을 즐기고 있지만 활성화 된 IPv4 옵션이있는 경우 실제로 필요하지 않은 경우 비활성화하는 것을 고려할 수 있습니다.