Güvenlik duvarında bağlantı noktası açılmadan MQTT aracısına dışarıdan erişilebilir mi?

9

MQTT aracımın ev ağımın dışından erişilebilir olmasını istiyorum, ancak güvenlik duvarında bir bağlantı noktası açmak için biraz isteksizim. Ve ev IP adresimi kullanmaktan kaçınmak istiyorum.

Evde şifrelenmemiş bir açık komisyoncuya sahip olmak oldukça uygun, ancak açığa vuracak olursam bu işe yaramaz. Başka hangi seçeneklerim var?

mqtt 
Thomas Jensen
kaynak
@Bence Kaulics, cevabımda neyin eksik olduğuna dair herhangi bir öneriniz var mı?
hardillb
1
@hardillb Cevabınız iyi bir özet, ancak her nokta hakkında daha fazla ayrıntıya sahip olmanın yararlı olabileceğini düşünüyorum. Örneğin, iki broker arasında böyle bir köprü nasıl kurulur. Ayrıca, varsa başka fikirler de gelirim, bu ödül açıklaması bulabildiğim en iyisi, cevabınız da kendi başına duruyor. Belki de "Yeterince dikkat almadım" nedenini seçmeliydim.
Bence Kaulics
Uzman olmayan biri olarak, 2. noktanın (cevabın en değerli kısmı gibi görünüyor) biraz daha ayrıntılandırılabileceğini kabul ediyorum. Belki bir nasıl yapılır bağlantısı ile, şimdi emin.
Sean Houlihane
ne yazık ki her farklı broker türü bir köprü yapılandırmanın farklı bir yoluna sahiptir, bu nedenle genel bir cevap vermek imkansızdır (Aynı şekilde kimlik doğrulama / TLS kurulumu ile)
hardillb

Yanıtlar:

10

Bir bağlantı noktasını iletmek istemiyorsanız temel olarak 3 seçeneğiniz vardır.

  1. Evdeki istemcinin her zaman ona bağlanabilmesi için bulutta bir aracı kullanın. TLS ve kimlik doğrulamasını kullanın, böylece diğerleri istenmeyen iletileri gizleyemez veya enjekte edemez
  2. Bir bulut komisyoncusu kullanın ve dahili komisyoncu ile bulut komisyoncusu arasında bir köprü kurun (yine de bulut komisyoncusunda kullanıcı adını / parolayı şifrelemek ve ayarlamak istiyorsunuz). Bunun avantajı, internet bağlantısı kesilirse dahili şeylerin çalışmaya devam etmesidir.
  3. Ev ağınıza erişime izin vermek için tüm harici cihazlarda bir VPN (ancak dürüst olmak gerekirse, muhtemelen VPN için bir bağlantı noktası açmanız veya VPN sunucusu olmayı destekleyen bir yönlendiriciniz olması gerekir)

Ancak bir bağlantı noktasını düzgün yapılandırılmış bir yere (bulut aracısıyla hemen hemen aynı) iletmek gerçekten bir risk oluşturmaz.

hardillb
kaynak
1
Yerel ağımın devre dışı kalması durumunda, ev ağım dışındaki tüm raporlama hizmetlerinin normal şekilde çalışacağını ekleyen bulut ana köprü fikrini seviyorum. Ve yerel komisyoncu tekrar çevrimiçi olduğunda "cevapsız" verileri alacak. Harika! :)
Thomas Jensen
3

Aracı bir sunucu olduğundan, istemcilerin bağlanması için en az bir bağlantı noktası açmanız GEREKİR.

Böylece, sorununuz Internet'te bir hizmet sunmanın özel bir durumu haline gelir.

Bu, DMZ aracılığıyla, proxy veya varsayılan hizmetten daha katı kimlik doğrulamayı zorunlu kılmak için başka bir yolla yapılmıştır. Proxy'niz bulutta yaşıyorsa, bu sadece DMZ'nizi buluta genişletir.

En basit yaklaşımınız muhtemelen komisyoncunuzu sertleştirmek (anonim istemcileri devre dışı bırakmak) ve güvenlik duvarı üzerinden kime bağlanabileceğini kısıtlamaktır (önceden biliyorsanız, yalnızca belirli istemci IP adreslerine izin verin).

Gambit Desteği
kaynak
3
Bu doğru değil, yerel brokerımı bir bulutla birleştirdim. Köprü bağlantısı ev ağımın içinden başlatıldığından, port açılmasına gerek yoktur.
Thomas Jensen
3

@hardillb iyi bir yanıt verdi, ancak bazı "gerçek hayat" dokunuşları ekleyerek birkaç ayrıntı eklemeye çalışalım:

  1. Herkese açık bir MQTT brokeri seçin. HiveMQ iyi bir örnek olabilir ve aracıya nasıl bağlanacağınızı açıklayan deneme sayfası ile başlayabilirsiniz :

Public Broker'a bağlanın

Ana Bilgisayar: broker.hivemq.com

Liman: 1883

Web Soket Bağlantı Noktası: 8000

  1. Size en uygun istemciyi seçin ve genel MQTT aracısıyla dahili aracı ara bağlantısı için kullanın. Örneğin, C istemciniz Paho MQTT olabilir . İstemcinin SSL / TLS desteği vardır, böylece güvenliğiniz yüksek düzeyde kalır.

  2. Harici cihazlar için Paho MQTT gömülü seçim olabilir.

  3. HiveMQ'nun, kullandığınız kadar öde lisanslama politikası vardır, böylece bunu dikkatli bir şekilde değerlendirebilirsiniz. Her neyse, mevcut bulut listesi ve kullanılabilir MQTT aracılarını test etmek için bu sayfayı kontrol edebilirsiniz .

Amit Vujic
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.