IoT cihazlarını harici İnternet'e sunarken port yönlendirmeyi nasıl önleyebilirim?

IoT cihazları için kendi kişisel bulutumu oluşturmak için neye ihtiyacım var? Sorusunda bazı iyi yanıtlar aldım. ve oradan anladığım şeylerden biri, HUB veya GATEWAY'imi harici internete "ifşa etmem" gerektiğidir. Bunun için önerilen çözüm port yönlendirme .

Bunu ayrı bir soru olarak yarattım, çünkü sadece tüm cevaplar hakkındaki yorumlarla doğru bir şekilde takip etmek zor olurdu, biri biraz kaybolabilir. Ayrıca, bu bilgi benzer bir sorusu olan biri için yararlı olabilir.

Yönlendiricimin yapılandırmasına gitme ve bağlantı noktası yönlendirmeyi yapılandırma zorunluluğunu sevmiyorum çünkü bu, IoT altyapısının bir parçası olmasına rağmen "aygıtlarım" dan biri olmayan bir aygıtı yapılandırmam gerektiği anlamına geliyor. Zaten mevcut olan ev ağını mümkün olduğunca daha az bozucu olmalıdır. Ayrıca, belirli bir yönlendiricinin yönetici şifresini bilmediğim örneklerle karşılaştım ve bunu elde etmek gerçekten zor oldu.

Eminim ki, daha güçlü bir IoT HUB'a sahip olmak belki de Linux çalıştırmak anlamına gelse de, bunun ne olabileceğini bilmiyorum. Bu "alternatif" yol, bağlantı noktası yönlendirme yapılandırmasından kaçınmaya izin veriyorsa, biraz daha karmaşık HUB'a sahip olmak sorun değildir.

Ekip görüntüleyici gibi uygulamaların bağlantı noktası yönlendirmeyi nasıl yapılandırması gerekmediğini düşünmenin bir yolu olduğundan eminim.

Yani soru şu ki, dünyanın herhangi bir yerinden bağlantı noktası iletimi olmayan herhangi bir yerden erişmek için IoT gömülü bir cihazı harici internete "maruz bırakmanın" bir yolunu biliyor mu?

Yönlendiricinizi ileriye taşıyamazsanız, delik delmeye başvurmanız gerekebilir :

Delik delme, bilgisayar ağlarında, biri veya her ikisinin güvenlik duvarlarının arkasında veya ağ adresi çevirisi (NAT) kullanan yönlendiricilerin arkasında olduğu iki taraf arasında doğrudan bağlantı kurmaya yönelik bir tekniktir. Bir deliği delmek için her istemci, her istemci için harici ve dahili adresi ve bağlantı noktası bilgilerini geçici olarak depolayan sınırsız bir üçüncü taraf sunucusuna bağlanır. Sunucu daha sonra her istemcinin bilgilerini diğerine iletir ve bu bilgileri kullanarak her istemci doğrudan bağlantı kurmaya çalışır; geçerli bağlantı noktası numaralarını kullanan bağlantılar sonucunda kısıtlayıcı güvenlik duvarları veya yönlendiriciler her iki taraftan gelen paketleri kabul eder ve iletir.

NAT ağınızın müşterileri dışındaki cihazların açık bağlantı noktalarına bağlanması olamayacağını yönlendirici vasıtası ile iç ağınız, ama bir 'komisyoncu' bağlanmasını ağınızdaki cihazlar kısıtlamaz. Biraz dolaylama kullanarak , herhangi bir bağlantı noktası açmadan iki cihaz arasında doğrudan bir bağlantı kurabilirsiniz - bu aslında Skype ve Hamachi gibi hizmetlerin yaptığı şeydir.

Tabii ki, bu bağlantıyı koordine etmek için harici bir sunucu gerektirir ve muhtemelen delik delme yapan sunucuya güvenmek istersiniz.

Bryan Ford, Pyda Srisuresh ve Dan Kegel'in Ağ Adresi Çevirmenleri Arasında Eşler Arası İletişim Delik delme mekanizmaları ve ne kadar güvenilir olduğu hakkında daha fazla bilgi için ilginç bir okuma.

Cihazların harici bağlantılardan istenmeyen trafiği ele almak için düşük kaynaklara sahip olduğu ve elbette yönlendiricilerle herhangi bir bağlantı noktası yönlendirme ve güvenlik duvarı sorununu ele alma ihtiyacı olan IoT dünyasında, birçok IoT arka uç çözümünde görebileceğiniz aşağıdaki yaklaşıma yol açtı:

Aygıtlar, istenmeyen ağ bilgilerini kabul etmez. Tüm bağlantılar ve rotalar cihaz tarafından yalnızca giden bir şekilde kurulacaktır. Böylece cihaz giden bağlantıları açacaktır, bu nedenle güvenlik duvarı / yönlendirici ayarlaması gerekmeyecek ve kanalı gerektiği kadar açık tutacaktır.

Bir güzel haber IOT dünyada iletişim sorunları ve çözümleri hakkında.

Port Vurmayı deneyin . Hâlâ ileriye doğru bağlantı noktası gerekir, ancak bağlantı noktası yalnızca pinglerin gizli bir kombinasyonunu (seçtiğiniz) gönderdikten sonra açıktır. Daha sonra limanı başka bir gizli ping kombinasyonuyla kapatabilirsiniz. OpenWrt ile wifi yönlendirici gibi gömülü linux üzerinde çalışabilir.

Herhangi bir IoT cihazının halka açık internetten erişilmesine izin vermenizi tavsiye edemesem de, IPv6'yı kullanarak bunu yerel olarak yapabilirsiniz.

ISS'niz ve yerel ağınız IPv6 için yapılandırılmışsa ve IoT cihazlarınız bunu destekliyorsa, internette herhangi bir yerden yönlendirilebilen bir IPv6 adresini otomatik olarak alabilirler (IPv6, NAT ve bağlantı noktası iletme ihtiyacını ortadan kaldırır). Yalnızca durum bilgisi olan güvenlik duvarlarının (yönlendiriciniz) her bir aygıtın trafiğine izin verecek şekilde yapılandırıldığından emin olmanız gerekir. Bazıları buna (güvenli olmayan) varsayılan olarak izin verebilir.

Evde bir VPN sunucusu kurun, sonra istediğiniz yerden bağlanın. Bence bu, her türlü IoT cihazını açık İnternet'e maruz bırakmamaktan çok daha güvenli olacak.