如何保护我的家免受物联网设备的入侵和 DDoS 攻击?

物联网 智能家居 安全 路由器
2021-06-09 23:39:05

我试图了解我的家庭物联网设备的漏洞。据我了解,去年的大型 DDoS 攻击是由具有通用或默认用户名和密码的物联网设备引起的。

我所有的物联网设备都在我的防火墙后面(比如我的恒温器 - 霍尼韦尔)。

他们连接到互联网,但只传出。我没有端口转发设置。

如果我的所有 IoT 设备都在路由器的防火墙后面,并且我没有任何端口转发到这些设备,那么使用默认用户名和密码的风险在哪里?

4个回答

您听说过的病毒可能是Mirai

我们最近有几个问题可能有助于阅读上下文,因为您的问题涵盖了以下几个方面:

从理论上讲,如果您的路由器阻止所有传入连接,则 Mirai 进入并感染您的设备的难度会大大增加。公共可用未来的源代码似乎表明,它只是将数据包发送到尽可能多的IP地址,因为它可以了,如果有一个答复的,然后随机尝试默认密码,它知道。如果你有兴趣,我之前写了一个关于那个的答案

我担心的是,如果 Mirai 确实设法进入您的家庭网络——仅通过一个配置错误或不安全的设备——它会使您的所有防火墙和安全性变得毫无用处。Mirai 要检查的 IP 范围之一是192.168.0.0/16(您的路由器的专用网络),因此 Mirai 几乎肯定会通过所有易受攻击的设备传播。

阻止 Mirai 攻击您的网络的解决方案很简单——更改每个设备的默认密码,然后重新启动设备如果您这样做,即使您的设备可通过 Internet 访问,Mirai 也无法进行攻击(不过,并不是说在没有必要的情况下使内容可访问是个好主意!)。

这里有一个易受攻击的设备列表,或者您可以运行Incapsula 的扫描程序请注意,这些只会检查 Mirai 的漏洞——其他病毒的运行方式可能不同,遵循“保护小型家庭自动化设置”中的建议可能是您最好的选择。

@Aurora0001 已经解决了大问题:毫无疑问,您听说过 Mirai 攻击。

正如他所说,将您的密码更改为默认值 - 而不是显而易见的。以下是 Mirai 打算攻击的近 60 个用户名和密码的列表:

666666  666666
888888  888888
admin   (none)
admin   1111
admin   1111111
admin   1234
admin   12345
admin   123456
admin   54321
admin   7ujMko0admin
admin   admin
admin   admin1234
admin   meinsm
admin   pass
admin   password
admin   smcadmin
admin1  password
administrator   1234
Administrator   admin
guest   12345
guest   guest
root    (none)
root    00000000
root    1111
root    1234
root    12345
root    123456
root    54321
root    666666
root    7ujMko0admin
root    7ujMko0vizxv
root    888888
root    admin
root    anko
root    default
root    dreambox
root    hi3518
root    ikwb
root    juantech
root    jvbzd
root    klv123
root    klv1234
root    pass
root    password
root    realtek
root    root
root    system
root    user
root    vizxv
root    xc3511
root    xmhdipc
root    zlxx.
root    Zte521
service service
supervisor  supervisor
support support
tech    tech
ubnt    ubnt
user    user

(来源)

那么绝对,改变你的用户名和密码在所有的设备-的东西安全!

IoT 的问题在于,您通常无法或不会获得设备更新,或者无法对设备进行有意义的安全更改。保护您的网络是一个有大量选项的冗长讨论。这个职业叫做InfoSec(信息安全)。这是一个新兴的职业,或者我听说。

史蒂夫·吉布森GRC建议是“ 3哑路由器”(PDF)的方法(在他的播客情节545),以保护您的网络。如果您不是 InfoSec 专业人士或爱好者,那么您应该从这个开始。

如果您是 InfoSec 专业人士或爱好者,您可以研究更复杂的措施。这里有一些随机的让你开始:

  1. 禁用 UPnP(GRCHowToGeekMakeUseOf
  2. 运行pfSense(或类似的)防火墙
  3. 将 IoT 设备放入单独的 VLAN(类似 3 个哑路由器的方法)
  4. 配置您的 pfSense 盒子,以通过商业 VPN(Nord VPNPIApfSense路由您的所有流量如果您为此使用 SOHO 路由器,您将遇到多个轻度用户的问题。
  5. 配置防火墙以禁止物联网设备访问互联网。不过,这可能会打破“物联网”中的“我”。
  6. 使用您的 VPN 的 DNS 服务器。( Torrentfreak 2017 版本)
  7. 使用OpenDNS

  1. 除了上面非常好的讨论之外,您还可以Insecure.Org 的旗舰工具nmap开始成为自己的安全专家这样您就可以使用简单的命令执行目标设备(192.168.1.1)的基本扫描:

    [nmap -A -T4 192.168.1.1]

    更多细节、示例和提示如何扫描你的网络可以在Nmap Cheat Sheet页面上找到

  2. 但是,请扫描您网络中的每个 IoT 设备,并重新检查每个打开可疑端口的设备。

其它你可能感兴趣的问题
上一篇加密我的传感器流量有什么意义? 下一篇受雨影响的温度传感器