Comment protéger ma maison contre les appareils IoT compromis et utilisés pour les attaques DDoS?

J'essaie de comprendre la vulnérabilité de mes appareils IoT domestiques. D'après ce que je comprends, le gros DDoS de l'année dernière a été causé par des appareils IoT compromis avec des noms d'utilisateur et des mots de passe génériques ou par défaut.

Tous mes appareils IoT sont derrière mon pare-feu (comme mes thermostats - Honeywell).

Ils se connectent à Internet, mais sortants uniquement. Je n'ai aucune configuration de redirection de port.

Si tous mes appareils IoT sont derrière le pare-feu de mon routeur et que je n'ai pas de redirection de port vers ces appareils, où est le risque d'avoir des noms d'utilisateur et des mots de passe par défaut?

Le virus dont vous avez entendu parler est probablement Mirai .

Nous avons eu récemment quelques questions qui pourraient être utiles à lire pour le contexte, car votre question couvre plusieurs aspects de celles-ci:

• Comment puis-je vérifier si mes appareils IoT sont infectés par le ver Mirai?

• Sécuriser la configuration d'une petite domotique

En théorie, si votre routeur empêche toutes les connexions entrantes, il est beaucoup plus difficile pour Mirai d'entrer et d'infecter vos appareils. Le code source accessible au public de Mirai semble suggérer qu'il envoie simplement des paquets à autant d'adresses IP que possible, et s'il y a une réponse, il essaie alors au hasard les mots de passe par défaut qu'il connaît. J'ai déjà écrit une réponse à ce sujet , si cela vous intéresse.

Mon inquiétude serait que si Mirai réussissait à pénétrer votre réseau domestique - via un seul appareil mal configuré ou non sécurisé - cela rendrait tous vos pare-feu et votre sécurité inutiles. L'une des plages IP de Mirai à vérifier est 192.168.0.0/16(le réseau privé de votre routeur ), de sorte que Mirai se propagerait presque certainement sur tous vos appareils vulnérables.

La solution pour empêcher Mirai d'attaquer votre réseau est simple: modifiez le mot de passe de chaque appareil par défaut et redémarrez l'appareil . Si vous faites cela, Mirai ne peut pas attaquer même si votre appareil est accessible via Internet (pour ne pas dire que c'est une bonne idée de rendre les choses accessibles si ce n'est pas nécessaire!).

Il y a une liste de périphériques vulnérables ici , ou vous pouvez exécuter le scanner d'Incapsula . Notez que ceux-ci ne vérifieront que la vulnérabilité à Mirai — d'autres virus peuvent fonctionner différemment, et suivre les suggestions dans « Sécuriser la configuration d'une petite domotique » est probablement votre meilleur pari.

@ Aurora0001 a déjà abordé les grandes choses: sans aucun doute, une attaque Mirai dont vous avez entendu parler.

Comme il l'a dit, changez vos mots de passe des valeurs par défaut - et pas quelque chose d'évident. Voici une liste de près de 60 noms d'utilisateur et mots de passe que Mirai vise à atteindre:

666666  666666
888888  888888
admin   (none)
admin   1111
admin   1111111
admin   1234
admin   12345
admin   123456
admin   54321
admin   7ujMko0admin
admin   admin
admin   admin1234
admin   meinsm
admin   pass
admin   password
admin   smcadmin
admin1  password
administrator   1234
Administrator   admin
guest   12345
guest   guest
root    (none)
root    00000000
root    1111
root    1234
root    12345
root    123456
root    54321
root    666666
root    7ujMko0admin
root    7ujMko0vizxv
root    888888
root    admin
root    anko
root    default
root    dreambox
root    hi3518
root    ikwb
root    juantech
root    jvbzd
root    klv123
root    klv1234
root    pass
root    password
root    realtek
root    root
root    system
root    user
root    vizxv
root    xc3511
root    xmhdipc
root    zlxx.
root    Zte521
service service
supervisor  supervisor
support support
tech    tech
ubnt    ubnt
user    user

(La source)

Donc, absolument, changez vos noms d'utilisateur et mots de passe sur tous vos appareils - en quelque chose de sécurisé!

Le problème avec l'IoT est que, souvent, vous ne pouvez pas ou ne recevrez pas de mise à jour de l'appareil, ou vous ne pourrez pas apporter de modifications de sécurité significatives à l'appareil. Sécuriser votre réseau est une longue discussion avec des tonnes d'options. La profession s'appelle InfoSec (sécurité de l'information). C'est une profession en plein essor, du moins j'entends.

Steve Gibson de GRC recommande une approche " 3 dumb router " (PDF) ( dans l'épisode 545 de son podcast ) pour sécuriser votre réseau. si vous n'êtes pas un professionnel ou un amateur d'InfoSec, vous devriez commencer par cela.

Si vous êtes un professionnel ou un amateur d'InfoSec, vous pouvez envisager des mesures plus sophistiquées. Voici quelques exemples aléatoires pour vous aider à démarrer:

1. Désactiver UPnP ( GRC , HowToGeek , MakeUseOf )
2. Exécutez un pare-feu pfSense (ou similaire )
3. Mettez les appareils IoT dans un VLAN séparé (approche similaire à 3 routeurs stupides)
4. Configurez votre boîtier pfSense pour acheminer tout votre trafic via un VPN commercial ( Nord VPN , PIA , pfSense ). Si vous utilisez un routeur SOHO pour cela, vous rencontrerez des problèmes avec plus d'un couple d'utilisateurs légers.
5. Configurez votre pare-feu pour interdire l'accès à Internet pour vos objets IoT. Cependant, cela pourrait briser le «je» dans «IoT».
6. Utilisez les serveurs DNS de votre VPN. ( Version Torrentfreak 2017 )
7. Utilisez OpenDNS

1. En plus de la discussion très intéressante ci-dessus, vous pouvez être votre propre expert en sécurité à partir de nmap , l'outil phare d' Insecure.Org, afin de pouvoir effectuer une analyse de base du périphérique cible (192.168.1.1) avec une commande simple:

   [nmap -A -T4 192.168.1.1]

   Vous trouverez plus de détails, d'exemples et de conseils sur la façon d'analyser votre réseau sur les pages Nmap Cheat Sheet .

2. Cependant, analysez chaque appareil IoT de votre réseau et revérifiez chaque appareil avec un ou des ports suspects ouverts.