Jeffrey Cross
Jeffrey Cross

Principaux conseils pour renforcer la sécurité de vos projets Homebrew IoT

Au moment triomphant de la mise en place de votre projet connecté, il est facile d’oublier à quel point les projets IoT peuvent être vulnérables sans prendre les mesures de sécurité élémentaires. Vous vous demandez peut-être pourquoi quelqu'un prend la peine de prendre le contrôle de votre maison, mais des entrées non protégées sur votre réseau peuvent fournir une mine d'informations aux pirates. Protégez-vous et vos projets avec ces astuces faciles à mettre en œuvre.

Obtenez cet article et plus dans Faire: Vol. 64. Abonnez-vous dès maintenant pour de grands projets et articles toute l'année.

Pour les cartes Raspberry Pi / Linux

1. Changer le mot de passe utilisateur par défaut

Toutes les installations de Raspbian OS utilisent le même mot de passe pour l'utilisateur pi par défaut. Les attaquants essaieront d'utiliser des mots de passe courants et par défaut pour accéder à un système avant de passer à des attaques plus sophistiquées. Arrêtez-les en utilisant la commande passwd pour remplacer le vôtre par une nouvelle valeur unique et forte.

Reportez-vous à la documentation utilisateur de Raspberry Pi pour plus de détails sur la commande passwd qui modifie le mot de passe d’un utilisateur. Consultez également les conseils relatifs à la création d’un mot de passe fort qui sera très difficile à deviner pour les attaquants ou aux attaques par «force brute».

2. Désactiver la connexion par mot de passe avec SSH

Même un bon mot de passe risque toujours de permettre à un attaquant déterminé de deviner sa valeur et d'accéder à la machine à distance avec SSH. Empêchez cela en utilisant des clés de sécurité pour vous connecter à votre forum. Ces clés n’accordent l’accès qu’à partir d’autres ordinateurs autorisés et utilisent une cryptographie sophistiquée extrêmement difficile à deviner ou à casser. Mieux encore, une fois la connexion par clé configurée, vous ne devez plus vous souvenir des mots de passe!

Reportez-vous à la section Utilisation de l'authentification par clé de la documentation sur la sécurité de Raspberry Pi pour plus d'informations sur la configuration de SSH pour la connexion par clé.

3. Gardez le système d'exploitation à jour

Aucun logiciel n'est parfait. inévitablement, on trouvera des vulnérabilités ou des bugs qui pourraient permettre à un attaquant d'accéder à votre forum. Utilisez diligemment la commande apt-get upgrade pour maintenir le système d’exploitation de votre carte à jour avec les derniers correctifs et correctifs de sécurité.

Reportez-vous à la documentation relative à la mise à niveau et à la mise à niveau de Raspberry Pi pour plus d'informations sur l'obtention du dernier logiciel à l'aide de la commande apt-get upgrade.

4. Mettre en place un pare-feu

Votre gadget IoT n’utilisera probablement pas tous les services fournis par le système d’exploitation Pi, tels que le serveur Web, le serveur de messagerie, etc. Utilisez un pare-feu pour fermer l'accès aux services inutilisés. Cela permet d'empêcher un attaquant d'accéder à votre forum par le biais de vulnérabilités et de bugs dans ses services. La meilleure approche consiste à désactiver par défaut l'accès à tous les services, puis à n'activer que les services utilisés par votre projet, tels qu'un accès Web ou autre.

Reportez-vous à la section Installer un pare-feu de la documentation de sécurité de Raspberry Pi pour savoir comment utiliser l'outil ufw afin d'activer un pare-feu sur votre carte.

5. Consultez les meilleures pratiques de sécurité Linux.

Vous pouvez suivre les mêmes conseils pour la sécurisation d’une machine Linux générale. D’incroyables ressources sont disponibles, telles que «Introduction à la sécurisation de votre VPS Linux» et «7 Mesures de sécurité pour protéger un serveur Linux» de DigitalOcean. Ces guides expliquent des outils tels que fail2ban et tripwire, qui permettent de détecter les intrusions et de dissuader les assaillants. Le monde de la sécurité Linux évolue constamment, il n'est donc jamais inutile de consulter périodiquement ces guides pour connaître les derniers outils et les meilleures pratiques.

Pour tous les appareils

1. Changer les mots de passe par défaut

Il convient de répéter - c’est la vulnérabilité numéro un pour les appareils connectés à Internet. Ceci s'applique à votre routeur, à vos caméras IP, à vos imprimantes réseau, etc. Si vous pouvez rechercher le mot de passe en ligne, les autres le peuvent aussi! Vous ne voulez pas que les pirates informatiques prennent le contrôle de tout appareil se trouvant sur votre réseau interne.

2. Gardez le micrologiciel et le logiciel à jour

Restez protégé des vulnérabilités de sécurité connues.

3. Désactivez les services et protocoles dont vous n’avez pas besoin

Si votre appareil n’utilise pas SSH, RDP ou FTP, etc., ils doivent être désactivés. Chaque manière que vous pouvez vous connecter à un périphérique est une faille de sécurité potentielle.

4. N'exposez à Internet que ce que vous devez exposer

Le pare-feu de votre routeur constitue la première ligne de défense et, dans la plupart des cas, bloquera l’accès aux périphériques de votre réseau interne, à moins que vous ne le configuriez spécifiquement. Pour vous donner accès à quelque chose sur votre réseau interne, vous avez peut-être configuré la redirection de port sur votre routeur, mais il est très important de l'activer uniquement pour un périphérique aussi sécurisé que possible. C'est une excellente explication sur ce qu'est le transfert de port.

5. Utilisez un VPN

Un réseau privé virtuel est un moyen sécurisé d’accéder aux périphériques de votre réseau interne sans les exposer à Internet. C’est comme créer un tunnel sécurisé dans votre réseau domestique. Configurez un VPN, puis utilisez votre ordinateur portable ou votre téléphone pour SSH dans votre Pi depuis n'importe où dans le monde. PiVPN est un projet de configuration d’un VPN pour votre réseau sur un PI.

6. L'obscurité n'est pas la sécurité!

Le fait que vous n’ayez pas partagé publiquement un lien vers votre appareil ne signifie pas qu’il n’est pas accessible aux autres. Il y a des robots qui parcourent littéralement Internet à la recherche de périphériques à exploiter. En règle générale, tout ce qui est exposé à Internet devrait être authentifié. Activez les mots de passe pour les interfaces Web si elles sont disponibles.

7. Utilisez un réseau invité

De nombreux routeurs modernes prennent en charge les réseaux WiFi invités, qui offrent un accès limité mais pas un accès complet à votre réseau principal. Configurez un réseau Wi-Fi invité pour vos appareils IoT, de sorte que même si le pire se produise et que la sécurité de l’un de vos appareils soit violée, votre réseau principal doit rester sécurisé. Vous trouverez ici un bon guide pour la configuration d'un réseau invité, mais les étapes pour votre routeur peuvent varier.

8. Utilisez un courtier de messages tiers

Un courtier de messagerie tiers (tel que Adafruit.io ou même Telegram Messenger) peut constituer un moyen de communication plus sécurisé avec votre appareil que de l'exposer à Internet. Votre appareil se connecte au courtier, il n’ya donc pas besoin de redirection de port. La plupart des courtiers de messages prennent également en charge l'authentification. Ils présentent également l’avantage supplémentaire de ne pas nécessiter une configuration DNS dynamique, comme la plupart des autres solutions.

Part

Laisser Un Commentaire