我有一个小型家庭自动化实验室（我一直说我会扩大，但没有扩大）。在此设置中，我有一个控制系统来控制灯光（利用x10协议），百叶窗，Nest恒温器和两个网络摄像头。

借助最近使用不安全的IoT设备创下的DDoS攻击记录，我想稍微保护一下我的小型设置。

家庭用户可以做些什么来保护自己的网络，同时又保持“随处连接”这一营销活动的重要组成部分？

IoT设备绝对最常见的问题是默认密码。因此，更改所有密码。为每个设备选择一个唯一的随机密码，并将其记录在纸上（纸张可以防止远程攻击者和硬盘故障）。12个随机（即计算机生成的）小写字母代表安全性和难以键入之间的良好折衷。每台设备都应使用不同的密码，以便破解一个密码不会使攻击者破解所有密码。在密码管理器中输入密码，然后在用于控制设备的计算机中使用该密码管理器。

如果设备具有不同的授权渠道，例如管理密码和日常使用密码，请对两者使用不同的密码，并且仅在所选设备上记录管理密码。

第二种通用​​安全措施是确保所有设备都位于防火墙或至少NAT设备之后。一个典型的家用路由器就足够了，但是您应该关闭UPnP，这可能会导致外部的反向通道。目的是确保没有直接的方法可以从Internet连接到设备。连接应始终通过本身需要身份验证才能通过的网关，并且您要随时修补所有安全更新。

您还应该在所有设备上应用安全更新……如果它们确实存在，则可能会出现问题。

与往常一样，“从任何地方连接”设置的安全性很大一部分是确保帐户信息的安全性。通常的规则适用：

• 不要分享您的密码
• 避免使用cookie来保存密码（尽管cookie总是很难抗拒）
• 定期更改密码
• 通过电子邮件注意其他违规行为（网络钓鱼，诈骗等），包括在可信公司系统中的违规行为。例如，如果违反了Target的客户数据库，请更改密码。
• 使用唯一的密码（感谢@Gilles）
• ...许多其他互联网安全基础知识...

如TomsGuide文章所述，这是您可以对网络执行的一系列操作的好清单：

• 不要使用WEP！，请在您的网络上使用WPA2（PSK）或更高版本，并及时了解最强大的协议。
• 保持路由器/调制解调器更新。我相信大多数路由器（尤其是较旧的路由器）不会自我更新，许多人忘记了将最新的固件更新检查/安装到其路由器。
• 为您的IoT设备创建一个单独的Wi-Fi网络。或者，在网络中设置一个子网以连接IoT设备。
• 在路由器上安装/设置防火墙。
• 禁用任何来宾网络或提升安全协议。

不幸的是，从应用程序，网站以及技术上讲，原始级别的消费者级别的安全性基本上不受您的控制。通过几乎任何类型的网络进行的所有数据交易都容易受到不当使用或意外使用的影响。

您能做的最好的事情就是保护您的在线使用并保护您的本地网络免受攻击。

除了最基本的物联网安全规则吉尔斯（Gilles）的细节外，家庭安全的第一条规则是充分保护您的入口门。路由器上的正确设置将阻止大多数攻击。如果路由器的配置不正确，则保护路由器后面的设备没有意义。路由器受损意味着您有可能在家中受到中间人攻击。

因此，首先要保护您的路由器，然后逐步处理IoT设备本身。

禁用通用即插即用

如果您不需要它，也可能带来安全风险。

能够感染UPnP的病毒，特洛伊木马，蠕虫或其他恶意程序可以感染UPnP，就像合法程序一样。虽然路由器通常会阻止传入连接，从而防止某些恶意访问，但UPnP可能允许恶意程序完全绕过防火墙。例如，特洛伊木马可以在您的计算机上安装一个远程控制程序，并在路由器的防火墙中为其打开一个漏洞，从而允许从Internet 24/7全天候访问您的计算机。如果禁用UPnP，该程序将无法打开端口，尽管它可以通过其他方式绕过防火墙和电话回家。

（来自howtogeek.com：UPnP是否存在安全风险？）

对于“从任何地方连接”方面，您几乎只能依靠提供与Nest等进行交互的软件客户端。安全客户端应使用SSH之类的东西，它不仅可以加密连接（避免窃听） ，但仅在客户端知道私钥时才允许连接。

一些银行应用程序使用的系统中，您有一个小工具，可以通过某种方式为您提供一个与服务器同步的号码，因此，使用密码时，您将拥有一个不断变化的挑战号，该挑战号仅服务器和持有者才知道小工具。我不知道这些提供类似功能的家用系统，但这将使远程控制更加安全。

某些系统允许您锁定允许进行远程连接的IP地址范围。这有点垃圾，但我想总比没有好。

一种可能的解决方案是使用专门为提高安全性而创建的设备。如果是自动化家庭，第一个障碍就是路由器，而有了一个特殊的路由器，我们可以获得一些好处。

例如，诺顿核心路由器¹提供以下功能：

1. 它检查所有经历已知攻击的数据包。
2. 频繁更新。因此，新发现的安全问题得到了快速处理。
3. 多个网络。您可以将最易受攻击的设备放在单独的网络中，从而保护其余设备。
4. 安全分数。确定可能的安全问题和泄漏并将其汇总为一个数字。

这些只是一些亮点。有关更多详细信息，请访问此更详细答案中的链接。

_{1这个想法是受这个问题和这个答案的启发而产生的，因此功劳应该归功于@ Aurora0001和@bang。此外，它很好地展示了我们在这里构建的有用内容。}

这是我从symantec.com引用的一些内容：

• 购买前研究IoT设备的功能和安全性功能
• 对网络上使用的IoT设备进行审核
• 更改设备上的默认凭据。为设备帐户和Wi-Fi网络使用强而独特的密码
• 设置Wi-Fi网络访问（WPA）时使用强加密方法
• 禁用不需要的功能和服务
• 禁用Telnet登录并在可能的情况下使用SSH
• 除非绝对必要，请在路由器上禁用通用即插即用（UPnP）
• 根据您的要求和安全策略修改IoT设备的默认隐私和安全设置
• 不需要时禁用或保护对IoT设备的远程访问
• 尽可能使用有线连接而不是无线连接
• 定期检查制造商的网站以获取固件更新
• 确保硬件中断不会导致设备的不安全状态

我坚决支持特别是3 ^次和6 ^次分-默认密码以及Telnet登录只是要求被黑客攻破。

您可以提高的另一个障碍甚至不在您的网络中。除非您确实需要外部可寻址的IPv4地址，否则可以检查您的Internet提供商是否使用Dual Stack Lite。Internet提供商经常切换到该标准以保存IPv4地址，但是有些提供商提供了IPv4选项。

Dual-Stack Lite的优点在于，它为您提供了基于运营商的NAT的优点和缺点。但这确实意味着您将无法使用DynDNS之类的服务，也无法使用基于IPv4的开放端口到外部，这也意味着对于Internet意外发出的任何IPv4请求，您完全无法访问。运营商NAT不会转发这些呼叫。无法接通的电话不会影响您的设置。

数百万的最终客户已经享受了这种增强的保护，但是如果您拥有激活的IPv4选项，则可以在不需要时考虑停用它。