Cosa si può fare per rafforzare le reti tipiche dei consumatori?

2

Con l'ultimo aumento di dispositivi IoT nelle reti di consumatori, una tipica rete domestica per il tentativo di una domanda canonica per i consumatori potrebbe consistere in

  • un router SOHO che fornisce uno switch LAN, NAT e WiFi, nonché funzionalità UPnP e NAS,
  • una stampante wifi,
  • un DVR,
  • una TV,
  • un paio di marche e modelli di fotocamere WiFi diverse,
  • alcuni dispositivi domestici "intelligenti" come termostati e lampadine,
  • un paio di PC con Windows, Mac OS e Linux e
  • un paio di smartphone Android e iOS.

Quali misure può prendere un consumatore sull'infrastruttura e sui punti finali per rendere questo setup ragionevolmente sicuro per l'uso regolare contro l'attività criminale (non contro gli attori statali o gli APT) senza compromettere l'accesso remoto al DVR o alle telecamere?

    
posta Tobi Nary 19.11.2017 - 11:11
fonte

1 risposta

1

Chiunque tenti di configurare una rete domestica "sicura" con dispositivi "intelligenti" dovrà scendere a compromessi sulla sicurezza o sulla facilità d'uso.

Direi che la prima cosa da fare è segmentare la rete in almeno 2, possibilmente 3 o più.

Uno per l'accesso ai dati da dispositivi di End User Compute (EUC) ragionevolmente protetti (inclusi desktop, laptop, tablet e cellulari). Questa rete non dovrebbe consentire alcuna connettività in entrata (configurazione standard del firewall). Si potrebbe anche prendere in considerazione la segmentazione della rete Wi-Fi, anche se questo può essere un problema da utilizzare poiché i dispositivi su connessioni cablate e wireless potrebbero non essere in grado di comunicare tra loro senza ulteriore configurazione. Considera sicuramente un SSID Wi-Fi per gli ospiti.

Questo segmento verrà utilizzato anche per i dispositivi multimediali - questi hanno bisogno di accedere a Internet ma saranno meno sicuri in quanto ottengono gli aggiornamenti meno spesso (forse mai) e i venditori hanno cattive abitudini con la tua privacy. Potresti riuscire a segmentare anche questi dispositivi se non hai bisogno di molto accesso dai dispositivi EUC e questo è certamente preferibile.

Il secondo segmento principale sarebbe per i dispositivi IoT: in genere, dovresti mai consentire questi accesso diretto a Internet. Ovviamente, se hai acquistato dispositivi che funzionano solo tramite un servizio di fronte a Internet, sei piuttosto imbottito lì, quei dispositivi dovrebbero andare sul tuo segmento principale ma dovresti almeno prendere in considerazione l'impostazione di regole del firewall che consentono solo dispositivi specifici di parlare a specifici endpoint di servizio. A tutti gli altri dispositivi IoT può essere permesso di parlare tra loro ma non su Internet - beh, non direttamente comunque. Considera un hub domestico di qualche tipo in cui puoi controllare il traffico in modo sicuro - questa è una domanda a parte. Se devi accedere ai dispositivi IoT dai dispositivi EUC, configura il routing specifico per consentirlo.

Nella mia configurazione personale, i dispositivi IoT hanno accesso a un Raspberry Pi che esegue Nodo-ROSSO che è l'hub. Quel Pi ha accesso in uscita a Internet ma non c'è accesso in ingresso. Per gli avvisi fuori sede, utilizzo un "bot" di Telegram che fornisce una sicurezza end-to-end senza la necessità di regole firewall. Il bot Node-RED raggiunge i server Telegram che consente comunicazioni sicure a 2 vie.

Non compro mai dispositivi IoT che richiedono il funzionamento di servizi esterni. Ciò non solo compromette potenzialmente la sicurezza, ma significa anche dispositivi inutili se / quando il venditore perde interesse o cessa l'attività. Potrei fare un'eccezione ad un certo punto per un "oratore intelligente" come Alexa o Google Home. Ma quello non controllerebbe niente di importante in casa.

Le fotocamere Wi-Fi sono un'altra fonte di problemi di sicurezza. Ancora una volta, consiglierei di non collegarli direttamente a Internet. Trattali come dispositivi IoT e usa un hub sicuro per agire da proxy se hai davvero bisogno di un accesso esterno al video. Potrebbe anche essere possibile utilizzare nuovamente un bot di Telegram per inviare video in modo sicuro.

    
risposta data 24.11.2017 - 22:27
fonte

Leggi altre domande sui tag