IoT cihazlarını harici İnternet'e sunarken port yönlendirmeyi nasıl önleyebilirim?


15

IoT cihazları için kendi kişisel bulutumu oluşturmak için neye ihtiyacım var? Sorusunda bazı iyi yanıtlar aldım. ve oradan anladığım şeylerden biri, HUB veya GATEWAY'imi harici internete "ifşa etmem" gerektiğidir. Bunun için önerilen çözüm port yönlendirme .

Bunu ayrı bir soru olarak yarattım, çünkü sadece tüm cevaplar hakkındaki yorumlarla doğru bir şekilde takip etmek zor olurdu, biri biraz kaybolabilir. Ayrıca, bu bilgi benzer bir sorusu olan biri için yararlı olabilir.

Yönlendiricimin yapılandırmasına gitme ve bağlantı noktası yönlendirmeyi yapılandırma zorunluluğunu sevmiyorum çünkü bu, IoT altyapısının bir parçası olmasına rağmen "aygıtlarım" dan biri olmayan bir aygıtı yapılandırmam gerektiği anlamına geliyor. Zaten mevcut olan ev ağını mümkün olduğunca daha az bozucu olmalıdır. Ayrıca, belirli bir yönlendiricinin yönetici şifresini bilmediğim örneklerle karşılaştım ve bunu elde etmek gerçekten zor oldu.

Eminim ki, daha güçlü bir IoT HUB'a sahip olmak belki de Linux çalıştırmak anlamına gelse de, bunun ne olabileceğini bilmiyorum. Bu "alternatif" yol, bağlantı noktası yönlendirme yapılandırmasından kaçınmaya izin veriyorsa, biraz daha karmaşık HUB'a sahip olmak sorun değildir.

Ekip görüntüleyici gibi uygulamaların bağlantı noktası yönlendirmeyi nasıl yapılandırması gerekmediğini düşünmenin bir yolu olduğundan eminim.

Yani soru şu ki, dünyanın herhangi bir yerinden bağlantı noktası iletimi olmayan herhangi bir yerden erişmek için IoT gömülü bir cihazı harici internete "maruz bırakmanın" bir yolunu biliyor mu?

Yanıtlar:


10

Yönlendiricinizi ileriye taşıyamazsanız, delik delmeye başvurmanız gerekebilir :

Delik delme, bilgisayar ağlarında, biri veya her ikisinin güvenlik duvarlarının arkasında veya ağ adresi çevirisi (NAT) kullanan yönlendiricilerin arkasında olduğu iki taraf arasında doğrudan bağlantı kurmaya yönelik bir tekniktir. Bir deliği delmek için her istemci, her istemci için harici ve dahili adresi ve bağlantı noktası bilgilerini geçici olarak depolayan sınırsız bir üçüncü taraf sunucusuna bağlanır. Sunucu daha sonra her istemcinin bilgilerini diğerine iletir ve bu bilgileri kullanarak her istemci doğrudan bağlantı kurmaya çalışır; geçerli bağlantı noktası numaralarını kullanan bağlantılar sonucunda kısıtlayıcı güvenlik duvarları veya yönlendiriciler her iki taraftan gelen paketleri kabul eder ve iletir.

NAT ağınızın müşterileri dışındaki cihazların açık bağlantı noktalarına bağlanması olamayacağını yönlendirici vasıtası ile ağınız, ama bir 'komisyoncu' bağlanmasını ağınızdaki cihazlar kısıtlamaz. Biraz dolaylama kullanarak , herhangi bir bağlantı noktası açmadan iki cihaz arasında doğrudan bir bağlantı kurabilirsiniz - bu aslında Skype ve Hamachi gibi hizmetlerin yaptığı şeydir.

Tabii ki, bu bağlantıyı koordine etmek için harici bir sunucu gerektirir ve muhtemelen delik delme yapan sunucuya güvenmek istersiniz.

Bryan Ford, Pyda Srisuresh ve Dan Kegel'in Ağ Adresi Çevirmenleri Arasında Eşler Arası İletişim Delik delme mekanizmaları ve ne kadar güvenilir olduğu hakkında daha fazla bilgi için ilginç bir okuma.


Olağanüstü! Yine de bir soru, bu üçüncü taraf sunucu veya "broker" da evimin içinde olabilir mi? Örneğin, gömülü bir Linux kartı mı? Aksi takdirde, bu yaklaşım IoT dağıtımında harici 3. taraf öğelerine sahip olmaktan daha büyük bir sorun ortaya çıkaracaktır. Gömülü bir Linux kartı bu olamazsa, o zaman ne olurdu?
m4l490n

3
@ m4l490n: Bir şekilde ağınızın dışında olması gerekir . Bunun bir bulut sunucu yerde olabilir hayal ediyorum ya eğer Linux kurulu kullanabilirsiniz o liman iletilir oldu. UDP delik delme, yalnızca İnternet'te bir yerde herkese açık olan bir sunucunuz / cihazınız olduğunda çalışır. İdeal değil, ancak bağlanmak için internette bir şeylerin dışarıda olması gerektiği gerçeğini ele alamazsınız . Ev ağınıza gömülü bir Linux panosunun hiçbir avantajı olmayacağını düşünüyorum; Yalnızca ileri noktasına sahip olduğunu yerine IOT cihazın.
Aurora0001

1
Mükemmel! Her ne kadar cevabınızın doğrudan amacı olmasa da sorumun asıl niyeti olmasa da, sonunda bir bulut sunucusunun IoT altyapısındaki rolünü anlıyorum !.
m4l490n

Anlıyorsam, yönlendirici durumunun değiştirildiği bağlantı noktası iletmenin aksine, delik bir tür sanaldır. Bağlantının her iki ucu sadece sunucuyla mı iletişim kuruyor? Genel ağ çoktan çoğa olduğundan, IoT için tipik bir model olacağını düşünüyorum.
Sean Houlihane

7

Cihazların harici bağlantılardan istenmeyen trafiği ele almak için düşük kaynaklara sahip olduğu ve elbette yönlendiricilerle herhangi bir bağlantı noktası yönlendirme ve güvenlik duvarı sorununu ele alma ihtiyacı olan IoT dünyasında, birçok IoT arka uç çözümünde görebileceğiniz aşağıdaki yaklaşıma yol açtı:

Aygıtlar, istenmeyen ağ bilgilerini kabul etmez. Tüm bağlantılar ve rotalar cihaz tarafından yalnızca giden bir şekilde kurulacaktır. Böylece cihaz giden bağlantıları açacaktır, bu nedenle güvenlik duvarı / yönlendirici ayarlaması gerekmeyecek ve kanalı gerektiği kadar açık tutacaktır.

Bir güzel haber IOT dünyada iletişim sorunları ve çözümleri hakkında.


MQTT için, aygıt bir istemcidir (yayıncı veya abone veya her ikisi) ve aracıya (sunucu) bağlantıyı başlatır.
Gambit Desteği

"cihazların giden bağlantılardan istenmeyen trafiği halletmek için düşük kaynakları var " ???? hiç mantıklı değil. Giden bağlantılar yalnızca ağ içinde başlatılabilir .
Chris Stratton

@ChrisStratton, NAT kullanılıyorsa, giden bağlantılar doğrudan bağlantı noktası yönlendirme kullanan cihazlara yönlendirilebilir. Ayrıca kendi IP adreslerine sahip olabilirler ve doğrudan internetten erişilebilirler.
Shachar

"Giden" kelimesinin anlamını yanlış anlıyor ve yanlışlıkla onu aslında "gelen" olduğu yerde kullanıyor gibi görünüyorsunuz. Giden bağlantı, bir bulut sunucusuna ulaşan bir IoT cihazıdır. Gelen bağlantı, ağınızdaki bir cihaza erişmeye çalışan ev ağınızın dışındaki bir şeydir (telefonunuzu sokakta yürürken söyleyin).
Chris Stratton

@ChrisStratton, Haklısın, Giden yazdığımda, dışarıdan gelen trafiği kastediyordum, temelde sensör için "Inbound" bağlantısı. Ben cevap, teşekkürler kaydetmiştiniz
Shachar

3

Port Vurmayı deneyin . Hâlâ ileriye doğru bağlantı noktası gerekir, ancak bağlantı noktası yalnızca pinglerin gizli bir kombinasyonunu (seçtiğiniz) gönderdikten sonra açıktır. Daha sonra limanı başka bir gizli ping kombinasyonuyla kapatabilirsiniz. OpenWrt ile wifi yönlendirici gibi gömülü linux üzerinde çalışabilir.


3

Herhangi bir IoT cihazının halka açık internetten erişilmesine izin vermenizi tavsiye edemesem de, IPv6'yı kullanarak bunu yerel olarak yapabilirsiniz.

ISS'niz ve yerel ağınız IPv6 için yapılandırılmışsa ve IoT cihazlarınız bunu destekliyorsa, internette herhangi bir yerden yönlendirilebilen bir IPv6 adresini otomatik olarak alabilirler (IPv6, NAT ve bağlantı noktası iletme ihtiyacını ortadan kaldırır). Yalnızca durum bilgisi olan güvenlik duvarlarının (yönlendiriciniz) her bir aygıtın trafiğine izin verecek şekilde yapılandırıldığından emin olmanız gerekir. Bazıları buna (güvenli olmayan) varsayılan olarak izin verebilir.


2

Evde bir VPN sunucusu kurun, sonra istediğiniz yerden bağlanın. Bence bu, her türlü IoT cihazını açık İnternet'e maruz bırakmamaktan çok daha güvenli olacak.


Bu sadece bir tür geçit değil mi?
Helmar

hm? VPN, bir cihaz ile ağ arasındaki noktadan noktaya (genellikle şifreli) bir bağlantıdır. bağlantı cihazının ağın bir parçasıymış gibi davranmasını sağlar. Sanırım bunu bir ağ geçidi olarak düşünebilirsiniz ... ama bu bir hizmet.
Maurice

Elbette, ancak bu hizmet hala ev yönlendiricisini geçmelidir - genellikle bağlantı noktası iletme veya kesintisiz giden bağlantılar aracılığıyla.
Helmar

evet, VPN'nin çalıştığı bağlantı noktasını yine de yönlendirmeniz gerekir. ancak tek tek cihazları açığa çıkarmaktan daha güvenlidir (elde etmeye çalıştığınız şeye bağlı olarak potansiyel olarak daha az kullanışlı)
Maurice
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.