Jak chronić Raspberry Pi przed atakiem w konfiguracji IoT podłączonej przez sieć szerokopasmową?

9

Ustawić:

Mam Raspberry Pi jako główny węzeł, który jest podłączony do Internetu za pośrednictwem łącza szerokopasmowego, raspberry pi łączy kilka czujników i inne mikrokontrolery. Pi jest stale podłączony do serwera w chmurze dostawcy hostingu.

Pytania są następujące:

  • Jak powstrzymać nieautoryzowanych użytkowników przed dostępem do mojego Raspberry Pi?
  • Jak zapobiec atakowi DDoS na Pi?
  • Jak i powinienem korzystać z DDNS (Dynamic DNS) w celu uzyskania dostępu do mojego Pi?
security networking raspberry-pi Shakti Phartiyal
źródło
1
Powiązane: Zabezpieczanie małej automatyki domowej . Istnieje kilka ogólnych wskazówek, które mogą być interesujące.
Aurora0001
3
DDNS nie należy do tego samego pytania, co inne punkty. Powinieneś zadać jedno pytanie na pytanie.
Sean Houlihane
Czy nie ma routera?
Xavier J
@codenoir Istnieje router sieciowy
Shakti Phartiyal
Jeszcze jedno pytanie. Czy musisz uzyskiwać dostęp do Pi poza siecią domową lub biurową?
Xavier J

Odpowiedzi:

10

Pytanie „ Zabezpieczanie konfiguracji małej automatyki domowej ” stanowi przydatne odniesienie do ogólnych wskazówek bezpieczeństwa, ale jest też kilka konkretnych kroków, które należy wykonać, aby zabezpieczyć Raspberry Pi.

Odpowiedź Steve'a Robillarda na pytanie na temat wymiany stosów Raspberry Pi przedstawia niektóre z konkretnych problemów z używaniem Pi, które można rozwiązać, takie jak zmiana domyślnych haseł, używanie iptablesitp. Pomocny jest także link do Podręcznika Zabezpieczania Debiana , który, choć bardzo duży, jest niezwykle wszechstronny i obejmuje większość głównych problemów.

Ponieważ prawdopodobnie będziesz łączyć się z Pi za pośrednictwem protokołu SSH, rozważ użycie uwierzytelniania opartego na kluczach zamiast hasła - certyfikat SSH jest praktycznie niemożliwy do odgadnięcia, nawet przez określonego napastnika, w przeciwieństwie do potencjalnie słabego hasła. Jak zauważono w połączonym artykule, spójrz także na Fail2ban , który zablokuje IP wszystkich użytkowników, którzy pokażą złośliwe znaki (np. Błędne odgadnięcie hasła).

Jeśli chodzi o twoje obawy związane z DDoS: jeśli ktoś zdecyduje się na atak DDoS przeciwko Twojemu Pi , masz niewielkie szanse. Niektóre ataki mogą sięgać nawet 665 Gb / s , co byłoby niemożliwe do obrony przed Pi. Ale postawiłbym pytanie: dlaczego atakujący miałby chcieć zrobić DDoS swojemu Pi? Odmowa usługi prawdopodobnie nie przyniesie wiele korzyści atakującemu, a wiele urządzeń IoT jest hakowanych w celu udziału w atakach DDoS .

Niemniej jednak, jeśli były bardzo paranoikiem, można chyba białej listy urządzeń, że Pi został Oczekuje się połączyć, i po prostu spaść z innych pakietów iptables. Od Ciebie zależy, czy warto.

Jeśli chodzi o DDNS, uważam, że przewodnik HowToGeek jest dość jasny - w zasadzie musisz sprawdzić router pod kątem ustawienia DDNS i skonfigurować go. NoIP ma zrzuty ekranu dla większości głównych modeli routerów. Prawdopodobnie miałbyś więcej szczęścia, pytając o to osobno (i możesz już znaleźć odpowiedź na temat superużytkownika ).

Aurora0001
źródło
1
Jeśli @ShaktiPhartiyal chce użyć Pi do aktualizacji DDNS w stosunku do routera, miałem problem z uzyskaniem tego w bezpieczny sposób. Mój post zawiera link do konfiguracji DDNS, a także zawiera odpowiedź, aby go bezpiecznie zaktualizować.
Shaulinator
@Shaulinator mój router nie obsługuje ddns dla dostawców domen takich jak namecheap
Shakti Phartiyal
@ShaktiPhartiyal, używam dnsdynamic, który jest bezpłatny. Wpis, do którego podłączyłem, zmusza Raspberry Pi do pracy nad obsługą DDNS vs.
Shaulinator
@Shaulinator Dziękuję za aktualizację sprawdzi to samo i poinformuje cię ..
Shakti Phartiyal
5

Wraz z odpowiedzią Aurora0001, jeśli chcesz ochrony przed dDoS, powinieneś zdecydować się na usługi takie jak Cloudflare. Chroni cię przed atakami dDoS, kierując rekordy DNS na ich serwery i zabezpieczając Twoją domenę / serwer. Zapobieganie DDoS: ochrona pochodzenia

Kochanek IoT
źródło
3
Zgoda. Jeśli pytasz o dDoS, po prostu musisz zapłacić komuś za wdrożenie ochrony dla ciebie.
Sean Houlihane
1
@SeanHoulihane Podstawowy plan jest bezpłatny.
Miłośnik IoT
Warto dodać to do odpowiedzi.
Sean Houlihane
@ IoTLover dziękuję za odpowiedź. To wraz z odpowiedzią Aurora0001 daje wystarczająco dobry wgląd.
Shakti Phartiyal
5

W porządku. Biorąc pod uwagę dotychczasowe komentarze, oto jak do tego podejdę:

  1. Skonfiguruj DDNS za pośrednictwem dowolnego kompetentnego dostawcy.
  2. Skonfiguruj OpenVPN na swoim PI i skieruj port UDP 1194 (lub inny port, na którym go ustawiłeś) z routera do PI. Wszystkie połączenia zewnętrzne z Twoim PI będą musiały mieć poprawnie skonfigurowanego klienta OpenVPN (możesz nawet użyć telefonu!)
  3. Jako drugi środek należy zabezpieczyć dostęp przychodzący do PI przy użyciu IPTables. Ręczne wykonywanie tego zadania jest uciążliwe, więc zainstaluj Webmina (Debiana), aby go skonfigurować. Odtąd wyszukaj w Google sposoby na ulepszenie konfiguracji IPTables w stosunku do DDOS.

Może wolisz inną VPN, ale używam OpenVPN od około 10 lat ze względu na jego niesamowitą elastyczność.

Xavier J
źródło
Dziękujemy, na pewno to wypróbujesz, koncepcja openVPN wygląda na bezpieczną. Nawiasem mówiąc, aws.amazon.com/vpc ma jakiekolwiek zastosowanie w mojej konfiguracji?
Shakti Phartiyal