私はローカル エリア ネットワーク内の ESP8266 マイクロコントローラ上に Web サーバーをセットアップしました。このユニットに送信された HTTP GET 要求によって主電源のオン/オフを切り替えることができるので、家中にこれをいくつか配置する予定です。
この LAN は、標準のインターネット ボックス (ルーター + モデム) を使用してインターネットに接続されています。インターネットからのアクセスを含め、LAN 外部の誰もがマイクロコントローラに何かを送信できないようにしたいと考えています。
WPA-PSK で保護された私の Wi-Fi をハッキングできないと仮定すると、私の設定はセキュリティ侵害の懸念材料になるでしょうか? 誰かが DIY スマート コンセントをハッキングするのはどれほど難しいでしょうか?
答え1
外部からサーバーに直接アクセスすることはできないはずですが(ルーターのポートを転送しない限り)、次のような脆弱性が存在します。クロスサイトリクエストフォージェリたとえば、誰かが HTML 形式の電子メール メッセージを送信した場合 (または Web ページを読み込むように要求した場合など)、そのメッセージにインライン画像が読み込まれた場合http://192.168.1.50/control?outlet=all&action=off(またはその IP アドレスと構文が何であれ)、メール クライアントはその URL から画像を読み込もうとし、コンセントがオフになります (またはその他の動作)。
したがって、ネットワーク設定を知っているマニアックな友人がいる場合は、いたずらされることを覚悟してください。実際、実際に持っているかどうかに関係なく、他のランダムなデバイスを悪用しようとするランダムな XSRF 攻撃も覚悟しておく必要があります。コントローラーの Web サーバーがこれらのいずれかによって混乱すると、誤って破壊される可能性があります。
[更新] これをより安全にするには、Web サーバーがどのような暗号化機能を備えているかに大きく依存します。簡単に検索してもあまり情報が見つからないので、何ができるのかわかりません。最も簡単な方法は、リクエストにパスワード変数を追加することです。これは、ネットワーク上で表示され、クライアントの履歴に保存され、サーバーにログオンするなど、特に安全ではありませんが、何もしないよりはましです (変更しやすいので、奇妙な構文を使用するよりはましです)。ない他の用途で使用するのと同じパスワードを使用してください。
GET から POST に切り替えることも少しは役立ちます。特に、HTTP 標準では、GET リクエストはサーバーの状態を変更しないことになっているため、つまり、たとえばキャッシュの状態に応じて、クライアントが GET リクエストを送信したり送信しなかったりしても安全であるはずです。HTTPS を使用すると、さらに役立ちます (サーバーがサポートしている場合)。WebDAV ダイジェスト認証 (パスワード文字列の代わりに) を使用するのもよいでしょう (これもサーバーがサポートしている場合)。ただし、本当に効果を上げるには、リプレイ攻撃に対する何らかの保護を追加する必要があります。
答え2
何でも可能ですが、ポート転送 (仮想サーバーと呼ばれることもあります) によってポートがマップされていない場合 (特に 80、443、8080、または Web サーバーが使用するポート)、LAN 外部からの攻撃がルーターを経由してそのデバイスに到達する可能性はほぼゼロです。
しかし、もう一度言いますが、より徹底したセキュリティレビューを行わない限り、これを最終的な答えとして受け取らないでください。意志があれば、どんな予防策を講じても方法はあります。