Как защитить Raspberry Pi от атаки в настройке IoT, подключенной через широкополосную сеть?

9

Настройка:

У меня Raspberry Pi в качестве главного узла, который подключен к Интернету через широкополосное соединение, Raspberry Pi соединяет несколько датчиков и других микроконтроллеров. Pi постоянно подключен к серверу у провайдера облачного хостинга.

Вопросы:

  • Как я могу запретить неавторизованным пользователям доступ к моему raspberry Pi?
  • Как предотвратить DDoS-атаку на Pi?
  • Как и как мне использовать DDNS (динамический DNS) для доступа к моему Pi?
Shakti Phartiyal
источник
1
Связанный: Обеспечение небольшой настройки домашней автоматизации . Там есть несколько общих советов, которые могут быть интересны.
Aurora0001
3
DDNS не относится к тому же вопросу, что и другие пункты. Вы должны задать один вопрос на вопрос.
Шон
Разве нет роутера ???
Ксавье Дж
@codenoir Есть роутер
netgear
Еще один вопрос. Вы должны получить доступ к Pi за пределами вашей домашней или офисной сети?
Ксавье J

Ответы:

10

Вопрос « Обеспечение безопасности установки для небольших домов » предоставляет полезную справку по общим советам по безопасности, но есть также некоторые конкретные шаги, которые вы должны выполнить, чтобы обеспечить безопасность своего Raspberry Pi.

Ответ Стива Робилларда на вопрос о Raspberry Pi Stack Exchange обрисовывает в общих чертах некоторые специфические проблемы с использованием Pi, к которым вы можете обратиться, например, изменение паролей по умолчанию, использование iptablesи т. Д. Он также полезно ссылки на Руководство по безопасности Debian , которое, хотя и очень большой, невероятно всеобъемлющий и охватывает большинство основных проблем.

Поскольку вы, вероятно, будете подключаться к Pi через SSH, рассмотрите возможность аутентификации на основе ключей вместо использования пароля - сертификат SSH практически невозможно угадать, даже решительным злоумышленником, в отличие от потенциально слабого пароля. Как отмечено в связанной статье, также обратите внимание на Fail2ban , который блокирует IP- адреса любых пользователей, которые показывают вредоносные признаки (например, неверные предположения пароля).

Что касается ваших проблем с DDoS: если кто-то решит начать DDoS-атаку против вашего Pi , у вас очень мало шансов. Некоторые атаки могут достигать 665 Гбит / с , что будет невозможно для защиты вашего Пи. Но я бы поставил вопрос: почему злоумышленник хочет DDoS ваш Pi? Отказ в вашем обслуживании, вероятно, не принесет много пользы злоумышленнику, и вместо этого многие устройства IoT взламываются для участия в DDoS-атаках .

Тем не менее, если вы параноик, вы могли бы , возможно , белый список устройств , что ваш Pi был ожидать подключения и просто удалить любые другие пакеты с iptables. Вам решать, стоит ли это того.

Что касается DDNS, я нахожу руководство HowToGeek довольно ясным - по сути, вам необходимо проверить настройки маршрутизатора на DDNS и настроить его. У NoIP есть скриншоты для большинства основных моделей маршрутизаторов. Вам, вероятно, повезет, если вы спросите об этом отдельно (и вы, возможно, уже найдете ответ в Super User ).

Аврора0001
источник
1
Если @ShaktiPhartiyal хочет использовать Pi для обновления DDNS по сравнению с маршрутизатором, у меня возникла проблема с обеспечением безопасности этого Pi. В моем посте есть ссылка для настройки DDNS, а также содержится ответ для его безопасного обновления.
Шаулинатор
@Shaulinator Мой маршрутизатор не поддерживает ddns для провайдеров доменов, таких как namecheap
Shakti Phartiyal
@ShaktiPhartiyal, я использую dnsdynamic, который является бесплатным. Пост, на который я ссылаюсь, заставляет ваш Raspberry Pi выполнять работу по поддержке DDNS против вашего маршрутизатора, что также должно работать с такими провайдерами, как namecheap.
Шаулинатор
@Shaulinator Спасибо за обновление проверим то же самое и сообщим ..
Shakti Phartiyal
5

Наряду с ответом Aurora0001, если вы хотите защитить от dDoS, вы должны выбрать такие сервисы, как Cloudflare. Он защищает вас от атак dDoS, направляя ваши записи DNS на их серверы и обеспечивая безопасность вашего домена / сервера. Предотвращение DDoS: защита происхождения

IoT Lover
источник
3
Согласовано. Если вы спрашиваете о dDoS, вам просто нужно заплатить кому-то, чтобы обеспечить защиту для вас.
Шон
1
@SeanHoulihane Основной план бесплатно.
IoT Lover
Стоит добавить это к ответу.
Шон
@IoTLover спасибо за ответ. Это вместе с ответом Aurora0001 дает достаточно хорошее понимание.
Shakti Phartiyal
5

Ладно. Учитывая комментарии до сих пор, вот как я подхожу к этому:

  1. Настройте DDNS через любого компетентного поставщика.
  2. Настройте OpenVPN на вашем PI и направьте UDP-порт 1194 (или любой другой порт, на котором вы его настроили) от маршрутизатора к PI. Все внешние соединения с вашим PI должны иметь правильно настроенный клиент OpenVPN (вы даже можете использовать телефон!)
  3. В качестве дополнительной меры защитите входящий доступ к PI с использованием IPTables. Это неприятно делать вручную, поэтому установите Webmin (Debian) для его настройки. Отсюда выполните поиск в Google, чтобы найти способы защиты вашей конфигурации IPTables от DDOS.

Вы можете предпочесть какой-нибудь другой VPN, но я пользуюсь OpenVPN уже около 10 лет для его невероятной гибкости.

Ксавье Дж
источник
Спасибо, вы обязательно попробуете это, концепция openVPN выглядит безопасной. Кстати, aws.amazon.com/vpc имеет какое-либо использование в моей настройке?
Shakti Phartiyal