Wbincludes:Security: различия между версиями
(Новая страница: «Контроллер — это сложное устройство с множеством сервисов и программ, которое предназначено для работы внутри доверенного контура локальной сети. В заводской конфигурации на контроллере открыты: * Wi-Fi точка доступа; * SSH со стандартными логином и паро...») |
|||
Строка 18: | Строка 18: | ||
Если контроллеру нужно назначить внешний IP-адрес. Выполните все рекомендации выше и позовите системного администратора, который дополнительно настроит контроллер для противодействия угрозам: переключит веб-интерфейс на https, закроет лишние порты и т.п. | Если контроллеру нужно назначить внешний IP-адрес. Выполните все рекомендации выше и позовите системного администратора, который дополнительно настроит контроллер для противодействия угрозам: переключит веб-интерфейс на https, закроет лишние порты и т.п. | ||
Версия 10:31, 25 июня 2024
Контроллер — это сложное устройство с множеством сервисов и программ, которое предназначено для работы внутри доверенного контура локальной сети.
В заводской конфигурации на контроллере открыты:
- Wi-Fi точка доступа;
- SSH со стандартными логином и паролем;
- веб-интерфейс;
- MQTT-брокер.
Всё это позволяет злоумышленнику получить доступ к вашим данным, украсть или удалить их. Например, через MQTT-брокер или веб-интерфейс можно загрузить скрипт на wb-rules, который пропишет ключ доступа злоумышленника в контроллер, а ваш пароль сменит.
Сразу после первого включения:
- Закройте стандартную точку доступа Wi-Fi паролем или отключите, если она не нужна.
- Смените пароль на SSH, а лучше используйте авторизацию по ключу. Инструкции.
Если контроллер в корпоративной сети или к нему есть доступ по VPN — к нему могут получить доступ другие пользователи сети. Чтобы этого избежать, установите пароль на веб-интерфейс и заблокируйте доступ к MQTT-брокеру.
Используйте для удаленного доступа Wiren Board Cloud, Tailscale, OpenVPN или аналоги.
Если контроллеру нужно назначить внешний IP-адрес. Выполните все рекомендации выше и позовите системного администратора, который дополнительно настроит контроллер для противодействия угрозам: переключит веб-интерфейс на https, закроет лишние порты и т.п.