Raspberry Pi'yi bir Geniş Bant ağı üzerinden bağlı bir IoT kurulumunda saldırıya karşı nasıl koruyabilirim?

Kurulum:

Ahududu Pi, geniş bant bağlantısı ile internete bağlı ana düğüm olarak var, ahududu pi birkaç sensör ve diğer mikrodenetleyicileri bağlar. Pi, bir Bulut Barındırma Sağlayıcısı'ndaki bir sunucuya sürekli olarak bağlanır.

Sorular:

• Yetkisiz kullanıcıların ahududu Pi'ime erişmesini nasıl önleyebilirim?
• Pi'ye DDoS saldırısını nasıl önleyebilirim?
• Pi'ye erişmek için DDNS'i (Dinamik DNS) nasıl ve nasıl kullanmalıyım?

' Küçük ev otomasyon kurulumunun güvenliğini sağlama ' sorusu , genel güvenlik ipuçları için yararlı bir referans sağlar, ancak Raspberry Pi'nizi güvende tutmak için izlemeniz gereken bazı özel adımlar da vardır.

Steve Robillard cevabı Ahududu Pi Stack Exchange üzerinde bir soruya böyle, varsayılan şifre değiştirme kullanma gibi sen yanıt verebilmelerini sağlayacak Pi kullanarak belirli bazı sorunları özetliyor iptables, vb Ayrıca yardımsever bağlanan Manuel Güvenliği Debian , hangi çok rağmen büyük, inanılmaz derecede kapsamlı ve en büyük endişeleri içeriyor.

Pi'ye muhtemelen SSH aracılığıyla bağlanacağınızdan, şifre kullanmak yerine anahtar tabanlı kimlik doğrulamayı düşünün ; potansiyel olarak zayıf bir şifrenin aksine, SSH sertifikasının belirli bir saldırgan tarafından bile tahmin edilmesi neredeyse imkansızdır. Bağlantılı makalede belirtildiği gibi, kötü niyetli işaretler (ör. Yanlış şifre tahminleri) gösteren tüm kullanıcıları engelleyecek olan Fail2ban'a da göz atın .

Senin DDoS kaygıları ile ilgili olarak: Birisi karşı bir DDoS saldırı karar verirse senin Pi , çok az şansı. Bazı saldırılar, Pi'nizin savunması imkansız olan 665 Gbps'ye kadar ulaşabilir . Ama şu soruyu soracağım: Bir saldırgan neden Pi'nizi DDoS yapmak ister ? Hizmetinizi reddetmek muhtemelen bir saldırgana pek fazla fayda sağlamaz ve bunun yerine birçok IoT cihazı DDoS saldırılarına katılmak için saldırıya uğrar .

Eğer çok paranoyak olsaydı Yine de, size Pi belki beyaz liste cihazları verebilecek edildi bağlanmak ve sadece herhangi bir diğer paketleri düşmesi beklenmektedir iptables. Soruna değip değmeyeceğine karar vermek size kalmış.

DDNS ile ilgili olarak, HowToGeek'in kılavuzunu oldukça net buluyorum - esas olarak, yönlendiricinizi bir DDNS ayarı için kontrol etmeniz ve yapılandırmanız gerekir. NoIP, çoğu ana yönlendirici modeli için ekran görüntülerine sahiptir . Muhtemelen bunu ayrıca sormada daha iyi şansınız olacaktır (ve Süper Kullanıcı'da zaten bir cevap bulabilirsiniz ).

Aurora0001'in yanı sıra dDoS'dan korunmak istiyorsanız Cloudflare gibi hizmetleri tercih etmelisiniz. DNS kayıtlarınızı sunucularına işaret ederek ve Alan / sunucunuzu güvence altına alarak sizi dDoS saldırılarına karşı korur. DDoS Önleme: Kökeni Korumak

Tamam. Şimdiye kadar yapılan yorumlar göz önüne alındığında, şöyle yaklaşıyorum:

1. Herhangi bir yetkili sağlayıcı aracılığıyla DDNS kurun.
2. PI'nızda OpenVPN'i kurun ve UDP bağlantı noktası 1194'ü (veya kurduğunuz herhangi bir bağlantı noktasını) yönlendiriciden PI'ya yönlendirin. PI'nıza yapılan tüm harici bağlantıların düzgün yapılandırılmış bir OpenVPN istemcisi olması gerekir (hatta bir telefon bile kullanabilirsiniz!)
3. İkincil bir önlem olarak, IPTable'ları kullanarak PI'ye gelen erişimi güvenli hale getirin. El ile yapmak popodaki bir acıdır, bu yüzden yapılandırmak için Webmin'i (Debian) yükleyin. Buradan, IPTables yapılandırmanızı DDOS'a karşı sertleştirmenin yolları hakkında bir Google araması yapın.

Başka bir VPN'i tercih edebilirsiniz, ancak inanılmaz esnekliği için yaklaşık 10 yıldır OpenVPN'i kullandım.