Security: различия между версиями
(не показана 1 промежуточная версия этого же участника) | |||
Строка 3: | Строка 3: | ||
Если вы сами или кто-то вам сделал удалённый доступ к контроллеру, чтобы с улицы или с работы включать дома лампочку/смотреть показания климата — вы в зоне риска. | Если вы сами или кто-то вам сделал удалённый доступ к контроллеру, чтобы с улицы или с работы включать дома лампочку/смотреть показания климата — вы в зоне риска. | ||
Убедитесь, что удалённый доступ настроен через Wiren Board Cloud, Tailscale, VPN или аналоги. | Убедитесь, что удалённый доступ настроен через [[Cloud|Wiren Board Cloud]], [[Tailscale]], VPN или аналоги. | ||
Не можете разобраться сами, напишите нам на support@wirenboard.com | Не можете разобраться сами, напишите нам на support@wirenboard.com | ||
Строка 10: | Строка 10: | ||
{{Wbincludes:Security}} | {{Wbincludes:Security}} | ||
== Что делать, если | == Что делать, если контроллер скомпрометирован == | ||
Контроллер Wiren Board: | Контроллер Wiren Board: | ||
# Отключите | # Отключите этот контроллер от сети. | ||
# Сообщите нам в техподдержку https://support.wirenboard.com/ и ждите дальнейших инструкций. | # Сообщите нам в техподдержку https://support.wirenboard.com/ и ждите дальнейших инструкций. | ||
# Если контроллер был соединён MQTT-мостом с другим MQTT-брокером, тоже смените там логин и пароль. | # Если контроллер был соединён MQTT-мостом с другим MQTT-брокером, тоже смените там логин и пароль. |
Версия 12:14, 25 июня 2024
Как понять, что вы в зоне риска
Если вы сами или кто-то вам сделал удалённый доступ к контроллеру, чтобы с улицы или с работы включать дома лампочку/смотреть показания климата — вы в зоне риска.
Убедитесь, что удалённый доступ настроен через Wiren Board Cloud, Tailscale, VPN или аналоги.
Не можете разобраться сами, напишите нам на support@wirenboard.com
Безопасность
Контроллер — это сложное устройство с множеством сервисов и программ, которое предназначено для работы внутри доверенного контура локальной сети.
В заводской конфигурации на контроллере открыты:
- Wi-Fi точка доступа;
- SSH со стандартными логином и паролем;
- веб-интерфейс;
- MQTT-брокер.
Если вы устанавливаете сторонний софт, он тоже открывает порты, номера портов смотрите в документации на софт.
Всё это позволяет злоумышленнику получить доступ к вашим данным, украсть или удалить их. Например, через MQTT-брокер или веб-интерфейс можно загрузить скрипт на wb-rules, который пропишет ключ доступа злоумышленника в контроллер, а ваш пароль сменит.
Сразу после первого включения:
- Закройте стандартную точку доступа Wi-Fi паролем или отключите, если она не нужна.
- Смените пароль на SSH, а лучше используйте авторизацию по ключу. Инструкции.
Если контроллер в корпоративной сети или к нему есть доступ по VPN — к нему могут получить доступ другие пользователи сети. Чтобы этого избежать, установите пароль на веб-интерфейс и заблокируйте доступ к MQTT-брокеру.
Используйте для удаленного доступа Wiren Board Cloud, Tailscale, OpenVPN или аналоги.
Если контроллеру нужно назначить внешний IP-адрес. Выполните все рекомендации выше и позовите системного администратора, который дополнительно настроит контроллер для противодействия угрозам: переключит веб-интерфейс на https, закроет лишние порты и т.п.
Что делать, если контроллер скомпрометирован
Контроллер Wiren Board:
- Отключите этот контроллер от сети.
- Сообщите нам в техподдержку https://support.wirenboard.com/ и ждите дальнейших инструкций.
- Если контроллер был соединён MQTT-мостом с другим MQTT-брокером, тоже смените там логин и пароль.
Если контроллер имел доступ в локальную сеть, скорее всего злоумышленники получили доступ и к другим устройствам локальной сети. Если это были контроллеры Wiren Board — выполните рекомендации выше. На других устройствах смените пароли и проверьте антивирусом.