Sécuriser une petite installation domotique


52

J'ai un petit laboratoire domotique (je répète sans cesse que je vais développer, mais ce n'est pas le cas). Dans cette configuration, j'ai un système de contrôle pour contrôler les lumières (utilisant le protocole x10), des stores, un thermostat Nest et deux webcams.

Avec les attaques DDoS récentes sur les enregistrements qui utilisent des périphériques IoT non sécurisés, j'aimerais sécuriser un peu ma petite configuration.

Que peut faire un utilisateur à domicile pour sécuriser son réseau tout en conservant l’aspect "se connecter de n’importe où" qui constitue une part importante du marketing?


Réponses:


24

Le problème le plus commun absolu avec les périphériques IoT est les mots de passe par défaut. Alors changez tous les mots de passe . Choisissez un mot de passe unique et aléatoire pour chaque périphérique et écrivez-le sur du papier (le papier est protégé des attaquants distants et des pannes de disque dur). 12 lettres minuscules aléatoires (c'est-à-dire générées par ordinateur) représentent un bon compromis entre sécurité et dactylographie. Chaque appareil doit avoir un mot de passe différent afin que celui-ci ne soit pas laissé par l'attaquant. Entrez les mots de passe dans un gestionnaire de mots de passe et utilisez-le sur les ordinateurs que vous utilisez pour contrôler les périphériques.

Si le périphérique dispose de différents canaux d'autorisation, par exemple un mot de passe d'administration et un mot de passe d'utilisation quotidienne, utilisez des mots de passe différents pour les deux et enregistrez uniquement le mot de passe d'administration sur les périphériques sélectionnés.

La deuxième mesure de sécurité générique consiste à vous assurer que tous vos périphériques sont protégés par un pare-feu ou au moins par un périphérique NAT. Un routeur domestique typique est suffisant, mais vous devez désactiver le protocole UPnP, qui peut autoriser des canaux arrière par inadvertance de l'extérieur. L'objectif est de s'assurer qu'il n'y a pas de moyen direct de se connecter d'Internet à l'appareil. Les connexions doivent toujours passer par une passerelle qui nécessite elle-même une authentification croisée et que vous gardez corrigée des mises à jour de sécurité.

Vous devez également appliquer les mises à jour de sécurité sur tous les périphériques… s’ils existent, ce qui peut poser problème.


1
Bien que pas aussi sécurisé, même définir tous vos mots de passe avec votre prénom est plutôt sécurisé et meilleur que les paramètres par défaut (même si cela est plus long et complexe). La raison en est que la plupart du temps, les périphériques IoT ne sont pas piratés mais simplement connectés avec des valeurs par défaut.
Helmar


1
@Tensibai Ce n'est pas vraiment applicable ici. Cette bande dessinée parle de mots de passe mémorables . Vous n'avez pas besoin d'un mot de passe mémorable sur un appareil IoT, il devrait normalement toujours être stocké dans le gestionnaire de mots de passe de votre ordinateur / téléphone.
Gilles 'SO- arrête d'être méchant'

2
@Tensibai 12 lettres minuscules aléatoires correspondent à 56 bits d'entropie. C'est très légèrement plus que pour une phrase secrète de 5 mots avec le dictionnaire xkcd, et beaucoup plus facile à taper pour les moments occasionnels lorsque vous avez besoin de la transmettre. Les lettres aléatoires sont mauvaises à mémoriser, mais pour un mot de passe dont vous n'avez pas besoin de vous souvenir, c'est le meilleur choix.
Gilles 'SO- arrête d'être méchant'

21

Comme toujours, une grande partie de la sécurité avec les configurations "se connecter de n'importe où" consiste à assurer la sécurité des informations de votre compte. Les règles habituelles s'appliquent:

  • Ne partagez pas votre mot de passe
  • Évitez d'utiliser des cookies pour sauvegarder les mots de passe (bien qu'il soit toujours difficile de résister aux cookies)
  • Changer régulièrement les mots de passe
  • Soyez conscient des autres violations par courrier électronique (hameçonnage, hameçonnage, etc.), notamment des violations des systèmes de l'entreprise crédibles. Par exemple, en cas de violation de la base de données client de Target, veuillez modifier vos mots de passe.
  • Utilisez des mots de passe uniques (merci @Gilles)
  • ... Beaucoup d'autres bases de la sécurité Internet ...

Voici une bonne liste de choses que vous pouvez faire sur votre réseau, comme expliqué dans cet article de TomsGuide :

  • N'utilisez pas le WEP! , utilisez plutôt WPA2 (PSK) ou mieux sur votre réseau et restez au courant des protocoles les plus puissants.
  • Gardez votre routeur / modem à jour. Je pense que la plupart des routeurs (en particulier les anciens modèles) ne se mettent pas à jour automatiquement et beaucoup de gens oublient de vérifier / d'installer les dernières mises à jour du microprogramme sur leur routeur.
  • Créez un réseau Wi-Fi séparé pour vos appareils IoT. Vous pouvez également configurer un sous-réseau sur votre réseau pour connecter vos périphériques IoT.
  • Installez / configurez un pare-feu sur votre routeur.
  • Désactivez n'importe quel réseau invité ou élevez le protocole de sécurité.

Malheureusement, la sécurité est principalement hors de votre contrôle auprès des consommateurs avec les applications, les sites Web et techniquement vos données brutes. Toutes les transactions de données via pratiquement n'importe quel type de réseau sont susceptibles d'une utilisation inappropriée ou non souhaitée.

Le mieux que vous puissiez faire est de protéger votre utilisation en ligne et de protéger votre réseau local contre les attaques.


3
Certains bons, certains mauvais ici, mais plus mauvais que bon. “Évitez d’utiliser des cookies”: contre-productif. «Changer régulièrement de mots de passe»: inutile, généralement contre-productif. Point clé manquant: n'utilisez pas de mots de passe par défaut.
Gilles 'SO- arrête d'être méchant'

2
Je suis d'accord avec Gilles, la plupart de ces astuces génériques ne s'appliquent que pour moitié aux appareils IoT et même aux routeurs qui les connectent. Au mieux, ils s'appliquent à l'interface utilisateur Web de tout tableau de bord de contrôle ou similaire.
Helmar

13

Ajoutant à la règle de sécurité IoT la plus élémentaire les détails de Gilles, la première règle de sécurité à domicile consiste à sécuriser correctement votre portail d’entrée. Des paramètres appropriés sur votre routeur arrêteront la plupart des attaques sur leurs traces. Si votre routeur n'est pas correctement configuré, la sécurisation des périphériques derrière lui est discutable. Un routeur compromis signifie que vous avez la possibilité d' attaques de type « man-in-the-middle» chez vous.

Par conséquent, commencez par sécuriser votre routeur, puis dirigez-vous vers les périphériques IoT eux-mêmes.


10

Désactiver Universal Plug and Play

Si vous n'en avez pas besoin, cela peut également poser un risque pour la sécurité.

Un virus, un cheval de Troie, un ver ou un autre programme malveillant qui parvient à infecter un ordinateur de votre réseau local peut utiliser UPnP, tout comme les programmes légitimes. Alors qu'un routeur bloque normalement les connexions entrantes, empêchant ainsi certains accès malveillants, le protocole UPnP pourrait permettre à un programme malveillant de contourner complètement le pare-feu. Par exemple, un cheval de Troie peut installer un programme de contrôle à distance sur votre ordinateur et y ouvrir un trou dans le pare-feu de votre routeur, permettant ainsi un accès 24/7 à votre ordinateur à partir d'Internet. Si UPnP était désactivé, le programme ne pourrait pas ouvrir le port - bien qu'il puisse contourner le pare-feu d'une autre manière et téléphoner à la maison.

(De howtogeek.com: UPnP est-il un risque de sécurité? )


8

Pour l'aspect "se connecter de n'importe où", vous êtes à la merci du logiciel client qui vous est fourni pour interagir avec Nest, etc. Un client sécurisé devrait utiliser quelque chose comme SSH, qui non seulement crypte la connexion (pour éviter les écoutes indiscrètes) , mais n'autorise également une connexion que lorsque le client connaît la clé privée.

Certaines applications bancaires utilisent un système dans lequel vous avez un gadget qui vous donne un numéro synchronisé avec le serveur. Pour utiliser un mot de passe, vous avez un numéro de challenge en constante évolution, connu uniquement du serveur et de son titulaire. du gadget. Je ne connais aucun de ces systèmes domestiques offrant quelque chose de similaire, mais cela rendrait le contrôle à distance beaucoup plus sécurisé.

Certains systèmes vous permettent de verrouiller la plage d'adresses IP à partir desquelles une connexion à distance est autorisée. C'est un peu nul, mais je suppose qu'il vaut mieux que rien.


1
Théoriquement, si vous ne prévoyez jamais de sortir de l'UE ou des États-Unis (ou si vous ne voulez pas contrôler la domotique à partir de là), vous devriez simplement bloquer les connexions. Cela aide contre les analyses accidentelles, etc., que je crois être la plupart des "hacks". Cependant, toute personne souhaitant réellement se connecter à votre appareil peut configurer un proxy ou habiter à proximité de chez vous.
Paul le

8

Une solution possible pourrait être l'utilisation de périphériques créés spécialement pour améliorer la sécurité. Dans le cas d’un domicile automatisé, le premier obstacle est le routeur, et avec un appareil spécial, nous pouvons obtenir certains avantages.

Par exemple, Norton Core Router 1 offre les fonctionnalités suivantes:

  1. Il inspecte tous les paquets en transit pour détecter les attaques connues.
  2. Mises à jour fréquentes. Les problèmes de sécurité nouvellement découverts sont donc traités rapidement.
  3. Mise en réseau multiple. Vous pouvez avoir les périphériques les plus vulnérables dans un réseau séparé, protégeant ainsi le reste.
  4. Score de sécurité. Identifier les éventuels problèmes de sécurité et les fuites et les résumer en un seul chiffre.

Ce ne sont que quelques faits saillants. Pour plus de détails, visitez les liens dans cette réponse plus détaillée .

1 Cette idée a été inspirée par cette question et cette réponse . Le mérite en revient donc à @ Aurora0001 et @bang. C'est également une bonne démonstration du contenu utile que nous construisons ici.


7

Voici quelques choses que je cite sur symantec.com :

  • Recherchez les fonctionnalités et les fonctionnalités de sécurité d'un appareil IoT avant l'achat.
  • Effectuer un audit des périphériques IoT utilisés sur votre réseau
  • Modifier les informations d'identification par défaut sur les périphériques. Utilisez des mots de passe forts et uniques pour les comptes d'appareil et les réseaux Wi-Fi.
  • Utilisez une méthode de cryptage fort lors de la configuration de l'accès au réseau Wi-Fi (WPA)
  • Désactiver les fonctionnalités et les services non requis
  • Désactiver la connexion Telnet et utiliser SSH si possible
  • Désactiver le UPnP (Universal Plug and Play) sur les routeurs sauf en cas d'absolue nécessité
  • Modifiez les paramètres de confidentialité et de sécurité par défaut des appareils IoT en fonction de vos exigences et de la politique de sécurité.
  • Désactiver ou protéger l'accès à distance aux périphériques IoT lorsque vous n'en avez pas besoin
  • Utilisez des connexions filaires au lieu de sans fil si possible
  • Consultez régulièrement le site Web du fabricant pour connaître les mises à jour du micrologiciel.
  • Assurez-vous qu'une panne matérielle n'entraîne pas un état non sécurisé du périphérique

Je soutiens fermement en particulier les troisième et sixième points - les mots de passe par défaut et les connexions Telnet demandent simplement à être piratés.


5

Il y a un autre obstacle que vous pouvez soulever qui n'est même pas dans votre réseau. Sauf si vous avez réellement besoin d'une adresse IPv4 adressable de l'extérieur, vous pouvez vérifier si votre fournisseur d'accès Internet utilise Dual Stack Lite . Les fournisseurs d’internet sont souvent passés à cette norme pour enregistrer les adresses IPv4, mais certains offrent toutefois des options IPv4.

Le problème avec Dual-Stack Lite est qu’il vous offre les avantages et les inconvénients d’un NAT basé sur un opérateur . Cela signifie que vous ne pouvez pas utiliser de services tels que DynDNS et que vous ne pouvez pas utiliser le port ouvert basé sur IPv4 vers l'extérieur, cela signifie également que vous êtes totalement inaccessible pour les demandes IPv4 provenant de manière inattendue d'Internet. Le NAT de l'opérateur ne transmettra simplement pas ces appels. Les appels qui ne vous parviennent pas ne peuvent compromettre votre configuration.

Des millions de clients finaux bénéficient déjà de cette protection améliorée, mais si vous avez une option IPv4 activée, vous pouvez envisager de la désactiver, si vous n'en avez pas réellement besoin.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.