Mejoras de seguridad en el Loxone Cloud DNS
El sistema Loxone funciona sin conexión a Internet. Sin embargo, existe la opción de controlar el edificio de forma remota y utilizar servicios adicionales online. Al ofrecer la implementación de estos servicios opcionales, trabajamos continuamente con especialistas internos y externos y estándares de la industria para ofrecer el sistema más seguro del mercado.
Con Loxone, no solo protegemos hogares y edificios, sino también la privacidad y los datos de nuestros clientes. A diferencia de muchas soluciones IOT, el Miniserver de Loxone no envía ningún dato sobre el comportamiento del usuario a los servidores online. Básicamente, el sistema Loxone funciona completamente sin conexión a Internet. Sin embargo, dado que muchos clientes quieren controlar su edificio de forma remota o utilizar servicios como el Servicio Meteorológico, una conexión a Internet es necesaria en estos casos. Los especialistas en seguridad internos y externos verifican periódicamente las medidas de seguridad necesarias para ello.
Hace unas semanas, el campus de Hagenberg de la Universidad de Ciencias Aplicadas de Austria, con quien ya hemos cooperado en varios proyectos, nos informó acerca de una debilidad en el Loxone Cloud DNS. En el aviso de seguridad, se analiza la posibilidad teórica de almacenar una dirección IP incorrecta con Loxone Cloud DNS a través de paquetes de datos falsos. Esto permitiría a un atacante almacenar temporalmente la dirección IP de un sitio web similar a la interfaz web de Loxone y así acceder a la información de inicio de sesión de una instalación de Loxone de manera específica.
Deben existir varios requisitos previos para poder atacar esta vulnerabilidad. El atacante necesitaría saber la dirección MAC del Miniserver de Loxone. El Miniserver tendría que estar registrado y activo en Loxone Cloud DNS, y un usuario tendría que hacer un intento de inicio de sesión en el momento del intento del ataque, ya que el Miniserver actualiza la dirección IP cada minuto. Además, si un atacante quisiera realizar algún daño en el sitio, necesitaría saber la dirección física (ubicación) donde está instalado el Miniserver.
No se conocen casos en los que un atacante haya aprovechado esta vulnerabilidad.
La seguridad de las instalaciones de nuestros clientes y los usuarios es una de nuestras principales prioridades. Por este motivo, hemos tomado de inmediato medidas para prevenir permanentemente este escenario de ataque.
Loxone Cloud DNS: detección mejorada de paquetes de datos falsos
Con una solicitud HTTP, se puede leer la dirección IP y el puerto del Miniserver, que está configurado en el router doméstico (utilizada por la App para acceso externo o remoto, por ejemplo). En la respuesta a esta consulta HTTP, se ha eliminado el campo de «Última actualización de fecha y hora» para no revelar el ciclo de actualización del Miniserver. Esta medida se implementó el 6 de julio de 2020.
Una verificación inteligente detecta posibles atacantes tan pronto como la dirección IP cambie varias veces en un minuto. Por lo tanto, se puede identificar un ataque potencial después de una sola ocurrencia y, como resultado, la dirección IP del atacante se incluye en la lista negra durante 24 horas. Esta medida se implementó el 16 de julio de 2020.
Por lo general, se puede enviar un máximo de 50 actualizaciones por minuto al Loxone Cloud DNS desde una sola dirección IP. Si se excede este límite, la dirección IP se incluye en la lista negra durante 7 horas y todas las actualizaciones se ignoran durante este tiempo. Esta medida se implementó el 16 de julio de 2020.
Se puede enviar un máximo de 5 actualizaciones por minuto desde una dirección IP al Loxone Cloud DNS para un Miniserver. Esto es para evitar actualizaciones de spam para un Miniserver. Si se excede, la dirección IP del atacante, se incluirá en la lista negra durante 7 horas. Esta medida se implementó el 16 de julio de 2020.
Para todos los Miniservers que usan la versión 11.1 (03.09. 2020) y superior, y que usan el Loxone Cloud DNS, se introdujo una firma de los paquetes de actualización. Con la ayuda de un protocolo de enlace de autenticación, se asegura que el paquete respectivo proviene del Miniserver correspondiente. Una vez que se haya realizado una actualización con éxito usando este método de autenticación, el Miniserver no permitirá ningún futuro paquete que no esté firmado de esta manera. Esta actualización se implementó para los clientes y Partners de Loxone el 3 de septiembre de 2020.
Estas medidas tomadas con Loxone Cloud DNS garantizan un fuerte nivel de protección para las instalaciones de Loxone que utilizan este servicio. Siempre recomendamos mantener actualizadas todas las instalaciones del cliente. La actualización 11.1 previene ataques basados en los escenarios descritos anteriormente y, por lo tanto, brindan la máxima protección y seguridad en este sentido.
Nota: Los escenarios de ataque detallados anteriormente se refieren únicamente al servicio DNS de Loxone. El servicio Loxone “Remote Connect” no se ve afectado por los escenarios descritos.
Hablemos de tu proyecto
¿Interesado? Entonces hablemos de tu proyecto con tecnología inteligente Loxone. Si tienes preguntas sobre cómo tener este control en tu negocio, contacta con nosotros y te ayudamos.