Wbincludes:Security: различия между версиями

Контроллер — это сложное устройство с множеством сервисов и программ, которое предназначено для работы внутри доверенного контура локальной сети.

В заводской конфигурации на контроллере открыты:

• Wi-Fi точка доступа;
• SSH со стандартными логином и паролем;
• веб-интерфейс;
• MQTT-брокер.

Если вы устанавливаете сторонний софт, он тоже открывает порты, номера портов смотрите в документации на софт.

Всё это позволяет злоумышленнику получить доступ к вашим данным, украсть или удалить их. Например, через MQTT-брокер или веб-интерфейс можно загрузить скрипт на wb-rules, который пропишет ключ доступа злоумышленника в контроллер, а ваш пароль сменит.

Сразу после первого включения:

1. Закройте стандартную точку доступа Wi-Fi паролем или отключите, если она не нужна.
2. Смените пароль на SSH, а лучше используйте авторизацию по ключу. Инструкции.

Если контроллер в корпоративной сети или к нему есть доступ по VPN — к нему могут получить доступ другие пользователи сети. Чтобы этого избежать, установите пароль на веб-интерфейс и заблокируйте доступ к MQTT-брокеру.

Используйте для удаленного доступа Wiren Board Cloud, Tailscale, OpenVPN или аналоги.

Если контроллеру нужно назначить внешний IP-адрес. Выполните все рекомендации выше и позовите системного администратора, который дополнительно настроит контроллер для противодействия угрозам: переключит веб-интерфейс на https, закроет лишние порты и т.п.