Uzak bir IoT kamerayı korumak için en iyi güvenlik uygulamaları nelerdir?


27

Yerel olarak SSH ile açılabilen bir uzak kamera oluşturmak ve görüntüleri Raspberry Pi run Linux sunucusunda yayınlamak gibi biraz ev otomasyonu yaptım.

Ancak, güvenliğiniz bir yönlendiricinin arkasındayken hangi protokollerin en iyi şekilde izlendiğini merak ediyorum. Putty gibi şeyler kullandım ve tüneller açabilmek için açılan portlar kullandım ancak bunların en güvenli yöntem olduğunu düşünmüyorum.

Bir ev sunucusu sistemine uzaktan erişirken hangi protokollerin / araçların en iyi şekilde kullanıldığını merak ediyorum.


Görüntü akışını şifreleme yeteneğiniz var mı?
tbm0115

@ tbm0115 Cihaza fiziksel erişimim var. Teknik bilgi, çok değil. Ben hala öğreniyorum.
Trevor J. Smith,

4
İdeal olarak, kameranızın görüntü akışını şifreleyeceğini ve ağdaki güvenli bir cihazdaki bir uygulamanın şifresini çözeceğini düşünüyorum. Alternatif olarak / Ek olarak, IoT cihazlarınızı çalıştırmak ve ağın o bölgesine ek güvenlik eklemek için ağınızda ayrı bir ağ veya alt ağ kurabilirsiniz.
tbm0115

Bu çok mantıklı. Karışıma birkaç cihaz daha eklemek istersem kesinlikle performansa değer. Teşekkürler.
Trevor J. Smith,

1
Bu soru inanılmaz derecede geniş. Özellikle unvanınız - vücuda bakıldığında, özellikle güvenliği konusunda endişelisiniz ? Buna rağmen, uygulamanızın ne tür bir ağ bağlantısı gerektirdiğine bağlıdır.
Gilles 'SO- kötülük' dur

Yanıtlar:


18

PuTTY aslında oldukça güvenli - oturumun kendisi şifreli. Bu, SSH'nin size "kutudan çıkardığı" şeyin bir parçası . Bu tür şeylerin çoğunu kendim yapıyorum ve işte size önerebileceğim birkaç önemli nokta:

  • 22 numaralı bağlantı noktasını dünyaya açmayın - SSH sunucunuzu WAN arabiriminizde standart olmayan bir bağlantı noktasını (ör. 22022 veya 2222) dinleyecek şekilde yapılandırın
  • Güvenlik resimlerinizle herhangi bir web sayfasına ulaşmak için kimlik doğrulaması isteyin. Bu .htaccess dosyalarını kullanan basit bir HTTP-AUTH olsa bile, hiç olmamasından iyidir.
  • Yönlendiricinizin arkasında olsalar bile, web sunucuları ile konuşmak için SSL kullanın
  • Ev makinelerinize yönlendirici dışındaki herhangi bir yerden erişmek için OpenVPN veya başka bir VPN teknolojisi kullanın. Bu, VPN servislerinin başarısız olması durumunda genellikle doğrudan SSH'yi hazır tutmayı sevdiğim halde, doğrudan SSH erişimi ihtiyacını ortadan kaldırıyor.

Bu, OP'nin Windows kullandığını varsayar.
kenorb

1
Hayır değil. Yukarıdaki öneriler sadece Windows için değil, herhangi bir işletim sistemi içindir.
John,

Macun yalnızca Windows için bir SSH istemcisidir. Bunu SSH'ye yeniden düzenleyebilir ve örnek bir SSH istemcisi olarak Putty'ye verebilirseniz, daha iyi ses çıkarır.
kenorb

1
PuTTY'ye yapılan tek referans ilk cümledir. Her şey demek istediğim gibi SSH'ye gönderme yapıyor.
John

14

Diğer cevaplar sisteminizi korumak için kullanabileceğiniz birçok teknolojiyi kapsar. İşte daha genel düşünceler / felsefeler.

  1. Bir DMZ sizin arkadaşınızdır - Hemen hemen her durumda harici bir ağa bakan bir servisiniz varsa, bir DMZ (bkz. A) çok faydalı olacaktır. Bu durumda hem saldırı yüzeyini en aza indirecek hem de hasarı en aza indirecektir. DMZ’deki cihazların sayısını yalnızca harici erişime ihtiyaç duyan cihazlarla sınırlayarak, saldırı yüzeyini sınırlarsınız. Ayrıca DMZ, çekirdek ağınıza erişmeyi herkes için çok zorlaştıracak, böylece hasarı en aza indirecektir.
  2. Beyaz liste, kara liste yapma - Varsayılan olarak her bir protokol, bağlantı noktası ve dahili bağlantı varsayılan olarak engellenmelidir. Bu engelleme cihaza (mümkünse), güvenlik duvarına ve yönlendiriciye kurulmalıdır. Yalnızca aktif olarak kullandığınız seçenekleri ve yalnızca bunlara ihtiyaç duyan cihazlar için etkinleştirin. Zayıf olan bir IoT cihazı için (örneğin Mirai'den etkilenen cihazlar) bir protokol kullanıyorsanız ve kullanmanız gerekiyorsa, röle görevi yapacak bir cihaz (RaspberryPi gibi) kurmalısınız. Cihazı ağdan tamamen izole ediyor ve yalnızca RaspberryPi'nin cihazın ihtiyaç duyduğu protokole dönüştürdüğü güvenli bir protokol (ssh, vpn vb.) İle iletişim kuruyorsunuz.


2

SSH makul bir başlangıç ​​noktasıdır, TLS şifrelemesini kullanmanız ve ssh erişimi için macun kullanmanız çok önemlidir. Bir VPN başka. Asıl önemli olan, ağınızdaki cihazlara erişmek için güçlü parolalar veya anahtarlar kullanmanız ve ağ geçidi cihazlarını güncel tutmanızdır.

Standart olmayan bir bağlantı noktasını kullanmak oldukça mantıklıdır, ancak cihazınızı varsayılan (ya da genel) bir parola ile terk ederseniz ağınızı korumak için hiçbir şey yapmaz.

Uzaktan erişim istiyorsanız, SSH'yi (veya çok benzer bir şeyi) iletmek için açık olan bir bağlantı noktasına ihtiyacınız vardır. Kameradaki güvenlik uygulamasına güvenmiyorsanız (yani, en son ürün yazılımı güncellemesi yaklaşık 6 ay önceydi), bunun için yalıtılmış bir ağ kesimi oluşturmak için bir VPN kullanmanız gerekir. WiFi ve eski bellenime sahipse, geniş ve açık olabilir (en azından fiziksel olarak yakın olan herkes için).

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.