Kotiautomaation tietoturvasta

Kotiautomaation tietoturvasta

On helppo ymmärtää että kotiautomaatiojärjestelmän tietoturva-asioihin täytyy kiinnittää erityistä huomiota, varsinkin jos järjestelmään on liitetty kameroita, kodin hälytysjärjestelmä tai vaikkapa älylukkoja. Tässä muutamia poimintoja mitä järjestelmää rakennettaessa kannattaa pohtia.

Salasanat

Salasanojen vahvuutta ei voi koskaan korostaa liikaa. Ennen salasanoissa on suositettu käytettävän isoja ja pieniä kirjaimia, numeroita ja erikoismerkkejä. Paremman suojan ns. brute-force -hyökkäyksiä vastaan saa näiden lisäksi pitkillä (yli 15 merkkiä sisältävillä) salasanoilla tai lauseilla. Aiheesta lisää esimerkiksi Viestintäviraston ohjeessa.

Home Assistantissa voi olla tallennettuna useita eri salasanoja: käyttöliittymän salasana(t), MQTT, reititin, notifikaatiopalvelut, jne. Home Assistant tarjoaa salasanojen tallentamiseen käytännössä kahta eri tapaa: Salasanat voivat olla selkokielisenä configuration.yaml -tiedostossa tai erillisessä secrets.yaml -tiedostossa. Turvallisempi vaihtoehto on suojata salasanat kryptaamalla ne erillisen skriptin avulla. Salasanojen kryptaamiseen on Home Assistantissa kaksi vaihtoehtoa keyring tai credstash. Home Assistant tukee myös monivaiheista tunnistautumista, mikä parantaa suojaustasoa merkittävästi.

Etäyhteys

Kannattaa tarkkaan harkita tarvitseeko kotiautomaatiojärjestelmään päästä käsiksi kodin ulkopuolelta. Luottaako siihen että automaatiot toimivat kuten pitääkin ja että (virhe)tilanteista saa riittävät ilmoitukset vai tarvitseeko tietoja välttämättä nähdä ja asetuksia muuttaa myös kotoa poissa ollessaan. Yhteysmahdollisuus ulkopuolelta avaa myös hyökkääjille mahdollisuuden päästä kotiverkkoon sisälle.

Tavallinen suomalainen laajakaista-asiakas saa normaalisti yhden dynaamisesti (tosin harvoin) vaihtuvan julkisen IP-osoitteen, joka näkyy ulkoverkkoon. Dynaamiset IP-osoitteet saa helpommin muistettavampaan muotoon dynaamisen DNS-palvelun avulla. Tällainen palvelu on esimerkiksi suomalainen dy.fi. Palvelu vaatii kotiverkon palvelimella tai reitittimessä säännöllisesti ajettavan skriptin, joka päivittää IP-osoitteen palveluun. Kotiverkkoon yhdistetään tämän jälkeen palveluun rekisteröidyllä osoitteella: esim. kotiautomaatio.dy.fi

Riippuen kotiverkon toteutuksesta ja yhteystavasta, tarvitaan lisäksi porttiohjaus laajakaista-modeemin ja reitittimien asetuksiin, jotta liikenne löytää reitin ulkoverkon ja Home Assistant -palvelimen välillä. Yhteyden muodostamiseen kannattaa ehdottomasti käyttää salattua VPN-tunnelia tai TLS(SSL)-salattua yhteyttä avoimen salaamattoman yhteyden sijaan.

Yhteyksien hallintaa

Home Assistant mahdollistaa IP -osoitteiden eston väärien kirjautumisyritysten perusteella. Tämän saa käyttöön laittamalla configuration.yaml -tiedostoon rivit:

http:
  ip_ban_enabled: true
  login_attempts_threshold: 5

Yllä olevat rivit saavat Home Assistantin estämään kirjautumisyritykset viiden väärän kirjautumisyrityksen jälkeen. Home Assistant kirjaa estetyt IP-osoitteet konfiguraatio-hakemistossa olevaan ip_bans.yaml -tiedostoon, josta niitä voi tarvittaessa muokata. Estetyt IP-osoitteet ilmestyvät näkyviin myös käyttöliittymän etusivulle.

Laajemmat säätömahdollisuudet yhteyksien hallintaan saa kodin reitittimen palomuurin tai Home Assistantin käyttöjärjestelmän iptables/NFTables -työkalun avulla. IP-estojen lisäksi voi tällöin määrittää esimerkiksi vain tietyt sallitut IP-osoitteet, jolloin kaikki muut yhteydet estetään.

Älylaitteiden pääsy verkkoon

Monet kodin älylaitteista haluavat pitää yhteyttä laitevalmistajien omiin palveluihin. Harmittomalta tuntuvasta yhteydenpidosta ei kuitenkaan ole täyttä varmuutta mitä tietoja valmistajille välitetään. Käytettäessä laitteita Home Assistantin kanssa, laitteille riittää yhteys Home Assistantin kanssa, eikä ulkopuolisia yhteyksiä tarvitse sallia. Helpoiten tämä onnistuu määrittelemällä kodin reitittimen asetuksista onko laitteella pääsy Internetiin vai ei.

Älylaitteiden omaan tietoturvaan kannattaa myös kiinnittää huomiota. Hyökkääjä saattaa käyttää laitteiden tietoturva-aukkoja hyväkseen ja päästä sitä kautta kodin verkkoon. Kannattaa siis huolehtia että laitteiden tietoturvapäivitykset ovat ajan tasalla. Lisäksi auttaa yhteyksien salliminen vain luotetuista IP-osoitteista eli yhteydet vain Home Assistantin ja älylaitteen välillä. Toinen hyvä keino on eristää kodin älylaitteet omaan (langattomaan) virtuaaliseen kotiautomaatioverkkoon. Tällöin murtautuja onnistuessaan pääsee käsiksi vain tähän rajattuun kotiverkon osaan.

One thought on “Kotiautomaation tietoturvasta

  1. Hyvä – ja tarpeellinen postaus! Tuo ip ban -konffi oli itselle uusi, tulee välittömästi käyttöön!

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *