Security: различия между версиями
Метки: правка с мобильного устройства правка из мобильной версии Расширенная мобильная правка |
(→Безопасность: добавил про сервис проверки проблем) |
||
(не показано 6 промежуточных версий этого же участника) | |||
Строка 20: | Строка 20: | ||
== Проверка открытых портов и стандартных паролей == | == Проверка открытых портов и стандартных паролей == | ||
[[Image: check-security.png|300px|thumb|right| Пример списка опасностей.]] | |||
В ПО контролера есть возможность определять популярные проблемы безопасности: | |||
* стандартный пароль к SSH на стандартном порту 22; | |||
* открытый MQTT-брокер на стандартном порту 1883; | |||
* открытый веб-интерфейс на популярных портах 80, 8080 и т.д. | |||
Если контроллер доступен из интернета и в нём есть одна из проблем — в его веб-интерфейсе появится предупреждение и ссылка на эту инструкцию. | |||
Работает это так. Когда вы открываете веб-интерфейс контроллера, специальный сервис отправляет запрос на https://probe.wirenboard.com/ и сервер пытается подключиться по списку популярных портов и стандартных протоколов. | |||
Если ему это удаётся, он отдаёт назад на контроллер список проблем, которые отображаются пользователю в веб-интерфейсе. После устранения проблем, нажмите в браузере на странице веб-интерфейса контроллера F5, будет отправлен повторный запрос на сервер и, если всё в порядке, то сообщение о проблемах исчезнет. | |||
Чтобы сократить нагрузку на сервер и сеть, при отсутствии известных проблем, следующий запрос будет отправлен не раньше, чем через 24 часа. | |||
Важно понимать, что сервис не сканирует ваш контроллер целиком, а проверяет популярные ошибки безопасности, которые допускают пользователи. Например, если вы пробросили веб-интерфейс наружу через порт 9000, то мы его не найдём, а злоумышленники рано или поздно найдут. | |||
Также процедура не проверяет открытую точку доступа Wi-Fi. | |||
== Что делать, если контроллер скомпрометирован == | == Что делать, если контроллер скомпрометирован == | ||
Строка 26: | Строка 42: | ||
Контроллер Wiren Board: | Контроллер Wiren Board: | ||
# Отключите этот контроллер от сети. | # Отключите этот контроллер от сети. | ||
# | # Сообщите нам в техподдержку https://support.wirenboard.com/ и ждите дальнейших инструкций. | ||
# Если контроллер был соединён MQTT-мостом с другим MQTT-брокером, смените там логин и пароль. | # Если контроллер был соединён MQTT-мостом с другим MQTT-брокером, смените там логин и пароль. | ||
<!-- | |||
# Прошейте контроллер с флешки с удалением данных, инструкции: [[Wiren_Board_5:_Восстановление_прошивки|Wiren Board 5]], [[Wiren_Board_6_Firmware_Update|Wiren Board 6]], [[Wiren_Board_7_Firmware_Update|Wiren Board 7]], [[Wiren_Board_7.4_Firmware_Update|Wiren Board 7.4]], [[Wiren_Board_8_Firmware_Update|Wiren Board 8]]. | |||
# Восстановите бэкап конфигурации или настройте контроллер заново. | |||
--> | |||
Если контроллер имел доступ в локальную сеть, скорее всего злоумышленники получили доступ и к другим устройствам локальной сети. Если это были контроллеры Wiren Board — выполните рекомендации выше. На других устройствах смените пароли и проверьте антивирусом. | Если контроллер имел доступ в локальную сеть, скорее всего злоумышленники получили доступ и к другим устройствам локальной сети. Если это были контроллеры Wiren Board — выполните рекомендации выше. На других устройствах смените пароли и проверьте антивирусом. |
Версия 13:02, 17 июля 2024
Как понять, что вы в зоне риска
Если вы сами или кто-то вам сделал удалённый доступ к контроллеру, чтобы с улицы или с работы включать дома лампочку/смотреть показания климата — вы в зоне риска.
Убедитесь, что удалённый доступ настроен через Wiren Board Cloud, Tailscale, VPN или аналоги.
Не можете разобраться сами:
- Отключите контролер от сети.
- Сделайте резервные копии.
- Напишите нам на support@wirenboard.com
Резервные копии
Чтобы в случае проблем можно настройки инсталляции можно было восстановить, сделайте резервную копию, для этого скачайте архив в разделе Настройки → Система.
Подробнее о резервном копировании.
Безопасность
Контроллер — это сложное устройство с множеством сервисов и программ, которое предназначено для работы внутри доверенного контура локальной сети.
В заводской конфигурации на контроллере открыты:
- Wi-Fi точка доступа;
- SSH со стандартными логином и паролем;
- веб-интерфейс;
- MQTT-брокер.
Если вы устанавливаете сторонний софт, он тоже открывает порты, номера портов смотрите в документации на софт.
Всё это позволяет злоумышленнику получить доступ к вашим данным, украсть или удалить их. Например, через MQTT-брокер или веб-интерфейс можно загрузить скрипт на wb-rules, который пропишет ключ доступа злоумышленника в контроллер, а ваш пароль сменит.
Сразу после первого включения:
- Закройте стандартную точку доступа Wi-Fi паролем или отключите, если она не нужна.
- Смените пароль на SSH, а лучше используйте авторизацию по ключу. Инструкции.
Если контроллер в корпоративной сети или к нему есть доступ по VPN — к нему могут получить доступ другие пользователи сети. Чтобы этого избежать, установите пароль на веб-интерфейс и заблокируйте доступ к MQTT-брокеру.
Используйте для удаленного доступа Wiren Board Cloud, Tailscale, OpenVPN или аналоги.
Если контроллеру нужно назначить внешний IP-адрес. Выполните все рекомендации выше и позовите системного администратора, который дополнительно настроит контроллер для противодействия угрозам: переключит веб-интерфейс на https, закроет лишние порты и т.п.
Проверка открытых портов и стандартных паролей
В ПО контролера есть возможность определять популярные проблемы безопасности:
- стандартный пароль к SSH на стандартном порту 22;
- открытый MQTT-брокер на стандартном порту 1883;
- открытый веб-интерфейс на популярных портах 80, 8080 и т.д.
Если контроллер доступен из интернета и в нём есть одна из проблем — в его веб-интерфейсе появится предупреждение и ссылка на эту инструкцию.
Работает это так. Когда вы открываете веб-интерфейс контроллера, специальный сервис отправляет запрос на https://probe.wirenboard.com/ и сервер пытается подключиться по списку популярных портов и стандартных протоколов.
Если ему это удаётся, он отдаёт назад на контроллер список проблем, которые отображаются пользователю в веб-интерфейсе. После устранения проблем, нажмите в браузере на странице веб-интерфейса контроллера F5, будет отправлен повторный запрос на сервер и, если всё в порядке, то сообщение о проблемах исчезнет.
Чтобы сократить нагрузку на сервер и сеть, при отсутствии известных проблем, следующий запрос будет отправлен не раньше, чем через 24 часа.
Важно понимать, что сервис не сканирует ваш контроллер целиком, а проверяет популярные ошибки безопасности, которые допускают пользователи. Например, если вы пробросили веб-интерфейс наружу через порт 9000, то мы его не найдём, а злоумышленники рано или поздно найдут.
Также процедура не проверяет открытую точку доступа Wi-Fi.
Что делать, если контроллер скомпрометирован
Контроллер Wiren Board:
- Отключите этот контроллер от сети.
- Сообщите нам в техподдержку https://support.wirenboard.com/ и ждите дальнейших инструкций.
- Если контроллер был соединён MQTT-мостом с другим MQTT-брокером, смените там логин и пароль.
Если контроллер имел доступ в локальную сеть, скорее всего злоумышленники получили доступ и к другим устройствам локальной сети. Если это были контроллеры Wiren Board — выполните рекомендации выше. На других устройствах смените пароли и проверьте антивирусом.