Uzak bir IoT kamerayı korumak için en iyi güvenlik uygulamaları nelerdir?

Yerel olarak SSH ile açılabilen bir uzak kamera oluşturmak ve görüntüleri Raspberry Pi run Linux sunucusunda yayınlamak gibi biraz ev otomasyonu yaptım.

Ancak, güvenliğiniz bir yönlendiricinin arkasındayken hangi protokollerin en iyi şekilde izlendiğini merak ediyorum. Putty gibi şeyler kullandım ve tüneller açabilmek için açılan portlar kullandım ancak bunların en güvenli yöntem olduğunu düşünmüyorum.

Bir ev sunucusu sistemine uzaktan erişirken hangi protokollerin / araçların en iyi şekilde kullanıldığını merak ediyorum.

PuTTY aslında oldukça güvenli - oturumun kendisi şifreli. Bu, SSH'nin size "kutudan çıkardığı" şeyin bir parçası . Bu tür şeylerin çoğunu kendim yapıyorum ve işte size önerebileceğim birkaç önemli nokta:

• 22 numaralı bağlantı noktasını dünyaya açmayın - SSH sunucunuzu WAN arabiriminizde standart olmayan bir bağlantı noktasını (ör. 22022 veya 2222) dinleyecek şekilde yapılandırın
• Güvenlik resimlerinizle herhangi bir web sayfasına ulaşmak için kimlik doğrulaması isteyin. Bu .htaccess dosyalarını kullanan basit bir HTTP-AUTH olsa bile, hiç olmamasından iyidir.
• Yönlendiricinizin arkasında olsalar bile, web sunucuları ile konuşmak için SSL kullanın
• Ev makinelerinize yönlendirici dışındaki herhangi bir yerden erişmek için OpenVPN veya başka bir VPN teknolojisi kullanın. Bu, VPN servislerinin başarısız olması durumunda genellikle doğrudan SSH'yi hazır tutmayı sevdiğim halde, doğrudan SSH erişimi ihtiyacını ortadan kaldırıyor.

Diğer cevaplar sisteminizi korumak için kullanabileceğiniz birçok teknolojiyi kapsar. İşte daha genel düşünceler / felsefeler.

1. Bir DMZ sizin arkadaşınızdır - Hemen hemen her durumda harici bir ağa bakan bir servisiniz varsa, bir DMZ (bkz. A) çok faydalı olacaktır. Bu durumda hem saldırı yüzeyini en aza indirecek hem de hasarı en aza indirecektir. DMZ’deki cihazların sayısını yalnızca harici erişime ihtiyaç duyan cihazlarla sınırlayarak, saldırı yüzeyini sınırlarsınız. Ayrıca DMZ, çekirdek ağınıza erişmeyi herkes için çok zorlaştıracak, böylece hasarı en aza indirecektir.
2. Beyaz liste, kara liste yapma - Varsayılan olarak her bir protokol, bağlantı noktası ve dahili bağlantı varsayılan olarak engellenmelidir. Bu engelleme cihaza (mümkünse), güvenlik duvarına ve yönlendiriciye kurulmalıdır. Yalnızca aktif olarak kullandığınız seçenekleri ve yalnızca bunlara ihtiyaç duyan cihazlar için etkinleştirin. Zayıf olan bir IoT cihazı için (örneğin Mirai'den etkilenen cihazlar) bir protokol kullanıyorsanız ve kullanmanız gerekiyorsa, röle görevi yapacak bir cihaz (RaspberryPi gibi) kurmalısınız. Cihazı ağdan tamamen izole ediyor ve yalnızca RaspberryPi'nin cihazın ihtiyaç duyduğu protokole dönüştürdüğü güvenli bir protokol (ssh, vpn vb.) İle iletişim kuruyorsunuz.

• Security.SE'den DMZ Hakkında

SSH makul bir başlangıç ​​noktasıdır, TLS şifrelemesini kullanmanız ve ssh erişimi için macun kullanmanız çok önemlidir. Bir VPN başka. Asıl önemli olan, ağınızdaki cihazlara erişmek için güçlü parolalar veya anahtarlar kullanmanız ve ağ geçidi cihazlarını güncel tutmanızdır.

Standart olmayan bir bağlantı noktasını kullanmak oldukça mantıklıdır, ancak cihazınızı varsayılan (ya da genel) bir parola ile terk ederseniz ağınızı korumak için hiçbir şey yapmaz.

Uzaktan erişim istiyorsanız, SSH'yi (veya çok benzer bir şeyi) iletmek için açık olan bir bağlantı noktasına ihtiyacınız vardır. Kameradaki güvenlik uygulamasına güvenmiyorsanız (yani, en son ürün yazılımı güncellemesi yaklaşık 6 ay önceydi), bunun için yalıtılmış bir ağ kesimi oluşturmak için bir VPN kullanmanız gerekir. WiFi ve eski bellenime sahipse, geniş ve açık olabilir (en azından fiziksel olarak yakın olan herkes için).