Bezpečnost chytrých zařízení v síti

Bezpečnost chytrých zařízení v síti
« kdy: 23. 09. 2019, 14:35:40 »
Zdravím uživatele. Rád bych se zeptal, jak je to s bezpečnostní domací sítě, pokud v ní jsou připojena chytrá zařízení (Smart TV, chytré zabezpečení atd.). Chci si pořídit alarm, který se připojuje do sítě a já poté mohu odkudkoliv sledovat stav detektorů na mobilu přes internet. Pokud budu mít silné heslo na Wi-Fi, do routeru a udělám si třeba to, že si dám filtr MAC adres pouze pro zařízení, která budu připojovat, může to nějak ohrozit bezpečnost mé sítě? Jde mi o to, že se přes moji síť připojuji do internetového bankovnictví atd. Ještě by mě zajímalo, zda v otázce bezpečnosti mohu důvěřovat levným čínským alarmům (Xiaomi, atd...) nebo zda mají sofistikovanější výrobci lépe řešené zabezpečení.

Díky


Jose D

  • *****
  • 850
    • Zobrazit profil
Re:Bezpečnost chytrých zařízení v síti
« Odpověď #1 kdy: 23. 09. 2019, 15:24:36 »
silné heslo na Wi-Fi

V okamžiku kdy do sítě zapojíš kompromitované zařízení, tak klidně všechna hesla můžeš zrušit.

filtr MAC adres

MAC filtr není bezpečnostní feature, spíš věc, která zastaví děcka (tak do 12 let max) od sousedů když se náhodou domohou hesla.

za mě je akceptovatelný stav, kdy IoT zařízení důvěryhodného výrobce má vlastní VLAN/subnet a pomocí firewallu je možné řešit jeho přístupy.

Xiaomi

asi takhle:

https://dgiese.scripts.mit.edu/talks/DEFCON26/DEFCON26-Having_fun_with_IoT-Xiaomi.pdf

od Xiaomi provozuju pouze Zigbee smart-home zařízení, a to výhradně vypínače na knoflíkové baterie.
Do LAN to v žádném případě nesmí, a do 230V zásuvky bych to taky nepřipojoval.

Re:Bezpečnost chytrých zařízení v síti
« Odpověď #2 kdy: 23. 09. 2019, 16:34:27 »
Dufam, ze ten alarm nepripajas cez wifi. Lebo nikdy nepochopim, ako moze niekto mat zabezpecovacku cez wifi, ked staci obycajna rusicka na 2.4GHz niekde pred barakom a cele zabezpecenie ide do ...
Dalej nechapem preco by zabezpecovacka mala komunikovat s nejakym externym servrom (ak nie je tvoj). Ved to je dalsie bezpecnostne riziko, nevraviac o tom, ze ked sa ta firma jedneho dna rozhodne vypnut server, tak ti ta cela apka bude na dve veci.
Ale ak stale riesis bezpecnost, tak si vytvor oddelene siete a popridavaj si zariadenia podla toho, ktore sa mozu vidiet.

Re:Bezpečnost chytrých zařízení v síti
« Odpověď #3 kdy: 23. 09. 2019, 20:25:48 »
Pokud hovoříte o opravdových alarmech  - zabezpečovačkách, tak ty používají poměrně standardizované protokoly, které využívají AES šifrování. Viz standard ANSI/SIA DC-09-2013. Je možné, že existují i další standardy, nejsem v tom odborník.

(Viz https://mafiadoc.com/sia-digital-communication-standard-internet-protocol-event-_59d8473e1723dd47923db342.html, sekce 5.4)

Zároveň ale existují i parodie na zabezpečovačky, k těm není ani třeba se vyjadřovat.

Re:Bezpečnost chytrých zařízení v síti
« Odpověď #4 kdy: 23. 09. 2019, 21:53:07 »
Díky za odpovědi. Abych upřesnil zařízení, o které se mi jedná, tak je to zabezpečovačka Ajax, což už by měl být systém na úrovni. Ústředna (hub) se připojuje ne po Wi-Fi, ale UTPčkem.
Rád bych něco, co bych se nebál připojit do domácí sítě, aby mi potom chodil stav detektorů na mobil. Bezpečnost mi teoreticky řešil GSM alarm, který by mi stavy posílal smskou, ale takové systémy většinou nemají detektor úniku vody, který bych právě potřeboval.


Re:Bezpečnost chytrých zařízení v síti
« Odpověď #5 kdy: 23. 09. 2019, 21:56:19 »
Abych upřesnil zařízení, o které se mi jedná, tak je to zabezpečovačka Ajax, což už by měl být systém na úrovni. Ústředna (hub) se připojuje ne po Wi-Fi, ale UTPčkem.

Obávám se, že Ajax opravdu není skutečná zabezpečovačka ale jedna z těch parodií plná pozlátek.
Běžné (opravdové) zabezpečovačky se dají rozšířit o digitální i analogové vstupy, takže vyhodnotit nějaké externí čidlo není vůbec problém.

Pravda, taková ústředna kvalitní zabezpečovačky stojí destíky tisíc korun, rozhodně ne to, co Ajax.

Re:Bezpečnost chytrých zařízení v síti
« Odpověď #6 kdy: 24. 09. 2019, 10:01:03 »
tady je zase teoretiků

jediné co reálně pomůže je rozdělení do vlan, izolovat je pohromadě a udělat si následně filtra jak na třetí tak na druhé vrstvě.

pak si někde doma udělat trunk port pro vrtání se ve všem a poctivě si vzít vlanu po vlaně a podívat se kdo smí kam a tyhle pravidla striktně udělat.

nevím jak na uplnejch bazmecích ale třeba na unifi to jde celkem komfortně. rozděl si síť na tolik vlan kolik považujež za reálně, kompy klidně každej svoji. pro běžnou domácnost do dvou dnů hotovo. k tomu si můžeš někde na bráně vetknout nějaké zařízení kde si doplníš filtr


Re:Bezpečnost chytrých zařízení v síti
« Odpověď #7 kdy: 24. 09. 2019, 10:05:37 »
pak si někde doma udělat trunk port pro vrtání se ve všem a poctivě si vzít vlanu po vlaně a podívat se kdo smí kam a tyhle pravidla striktně udělat.

nevím jak na uplnejch bazmecích ale třeba na unifi to jde celkem komfortně. rozděl si síť na tolik vlan kolik považujež za reálně, kompy klidně každej svoji. pro běžnou domácnost do dvou dnů hotovo. k tomu si můžeš někde na bráně vetknout nějaké zařízení kde si doplníš filtr

Toto samozřejmě jde. Ale aby to fungovalo, musíte mít defautl forward policy DROP a to všemi směry. Jakmile jste zvyklý mít do internetu ACCEPT, sveze se s ním často drobnou chybou i ACCEPT do VLANY.

V takovém případě bych asi doporučil na routeru zprovoznit VRF a mít oddělené routovací tabulky. Výsledek bude zdánlivě stejný, ale bude mnohem odolnější na chybu.

Dále, nejslabším článkem se stane samotný router. Mít bezpečnost alarmu závislou na routeru mi přijde jako úlet proti smyslu zabezpečovačky.

Re:Bezpečnost chytrých zařízení v síti
« Odpověď #8 kdy: 24. 09. 2019, 12:52:06 »
Tak jelikož se v tomto ohledu do takové míry neorientuju, myslím, že bude nejbezpečnější obyčejný GSM alarm bez napojení na domácí síť 😃

Re:Bezpečnost chytrých zařízení v síti
« Odpověď #9 kdy: 24. 09. 2019, 13:40:53 »
pak si někde doma udělat trunk port pro vrtání se ve všem a poctivě si vzít vlanu po vlaně a podívat se kdo smí kam a tyhle pravidla striktně udělat.

nevím jak na uplnejch bazmecích ale třeba na unifi to jde celkem komfortně. rozděl si síť na tolik vlan kolik považujež za reálně, kompy klidně každej svoji. pro běžnou domácnost do dvou dnů hotovo. k tomu si můžeš někde na bráně vetknout nějaké zařízení kde si doplníš filtr


Toto samozřejmě jde. Ale aby to fungovalo, musíte mít defautl forward policy DROP a to všemi směry. Jakmile jste zvyklý mít do internetu ACCEPT, sveze se s ním často drobnou chybou i ACCEPT do VLANY.

V takovém případě bych asi doporučil na routeru zprovoznit VRF a mít oddělené routovací tabulky. Výsledek bude zdánlivě stejný, ale bude mnohem odolnější na chybu.

Dále, nejslabším článkem se stane samotný router. Mít bezpečnost alarmu závislou na routeru mi přijde jako úlet proti smyslu zabezpečovačky.


Nemyslím si, předpokládám že chce řešit bezpečnost zbytku sítě a tu mu to zaručí protože si dá dle systému (na UNIFI třeba je filtr VLAN2VLAN, mikrotik zase umí seznamy) že alarm smí na internet, alarm nesmí nikam s nižší prioritou a má vyřešeno alarm uvidí jen internet přes svoji gw a zbytek je internet. To sice nechrání samotnej alarm ale je to lepší než mít nejakou krabičku kterou někdo vzáleně kompromituje a je králem lokální L2 včetně MIM/ARP SPOOF útoků.

A na routeru pak může řešit pravidla, základ všeho ovšem je neřešit to jak psal na L2 protože to by musel pokrýt všechny možné kombinace zatímco tagované pakety z access portu pro alarm protečou jen na gw a ven a nikam jinem se v principu nedostanou.

Kdysi jsem měl myšlenku celou sít uplinkem nepřipojit k gw ale k mikrotiku a to pak k gw, a byla to pozvánka na černovice/bohnice. VLANy sice zatěžují router a jsou náročnější na správu ale krásně fungují. Pak má fw i pro vnitřní provoz zatímco na L2 by musel mít všudě doma jen mikrotiky nebo něco co dělá L2 filtraci přímo v EGDE části.

Re:Bezpečnost chytrých zařízení v síti
« Odpověď #10 kdy: 30. 09. 2019, 10:12:40 »
Díky za příspěvky. Zeptám se ještě na jednu věc. Dejme tomu, že v bytě budu mít dva autonomní detektory úniku vody, které se připojí do sítě přes Wi-Fi (např. Grohe Sense Inteligentní detektor úniku vody nebo něco podobného). Co může případný útočník udělat nebo jak mě může ohrozit? Žádné další chytré věci by v bytě nebyly (pouze PC a mobily). Domácí síť využívána pouze k porhlížení internetu a internetové bankovnictví. Může třeba

Re:Bezpečnost chytrých zařízení v síti
« Odpověď #11 kdy: 30. 09. 2019, 11:02:05 »
Díky za příspěvky. Zeptám se ještě na jednu věc. Dejme tomu, že v bytě budu mít dva autonomní detektory úniku vody, které se připojí do sítě přes Wi-Fi (např. Grohe Sense Inteligentní detektor úniku vody nebo něco podobného). Co může případný útočník udělat nebo jak mě může ohrozit? Žádné další chytré věci by v bytě nebyly (pouze PC a mobily). Domácí síť využívána pouze k porhlížení internetu a internetové bankovnictví. Může třeba

Stačí jedno slabé zařízení v síti, custom firmware a L2 je jeho. Chce na to myslet při návrhu, SW konfigurace (vlany) jsou zadarmo, alternativně prostě na ty krabice dát jiný AP. A uplně nejhořší varianta jak to nouzově řešit je postavit to do jiné sítě  tj tyhle krabičky by se neviděli na L3 se zbytkem sítě. Samozřejmě když v nich bude chyba a je to hloupá síť (což domácí bývají) tak je samozřejmě na L2 celá síť jeho. Otázka je jestli nějaké primitivní botnetové akce vůči konkrétním zařízením budou pokrývat tu třetí nejjednodušší možnost když je po světě milion jíných sítí kde to bude fungovat i bez typování jiných rozsahů.