Які найкращі методи безпеки для захисту віддаленої камери IoT?

Я трохи зробив домашню автоматизацію, наприклад, побудова віддаленої камери, яку можна вмикати локально через SSH та публікувати зображення на сервері Linux Raspberry Pi.

Мені цікаво, але про те, які протоколи найкраще дотримуватися, коли ваша безпека стоїть за маршрутизатором. Я використовував такі речі, як Putty і відкрив порти, щоб я міг пройти тунель, але не думаю, що це найбільш безпечні методи.

Мені цікаво, які протоколи / інструменти найкраще використовувати при віддаленому доступу до системи домашнього сервера.

PuTTY насправді досить безпечний - сам сеанс зашифрований. Це частина того, що SSH дає вам "поза коробкою". Я дуже багато цього роблю, і ось декілька моментів, які я б запропонував:

• Не відкривайте порт 22 у світі - налаштуйте ваш SSH-сервер на прослуховування нестандартного порту (наприклад, 22022 або 2222) у вашому інтерфейсі WAN
• Потрібна автентифікація, щоб потрапити на будь-які веб-сторінки із зображеннями безпеки. Навіть якщо це простий HTTP-AUTH з використанням файлів .htaccess, це краще, ніж нічого.
• Використовуйте SSL для розмови з веб-серверами, навіть якщо вони стоять за вашим маршрутизатором
• Використовуйте OpenVPN або іншу технологію VPN, щоб дістатися до ваших домашніх машин з будь-якого, що знаходиться поза маршрутизатором. Це унеможливлює прямий доступ до SSH, хоча я зазвичай люблю тримати прямий SSH доступним у випадку відмови служб VPN.

Інші відповіді охоплюють багато технологій, які ви можете використовувати для захисту своєї системи. Ось ще кілька загальних думок / філософій.

1. DMZ - ваш друг - Майже у кожному випадку, коли у вас є послуга, яка стикається із зовнішньою мережею, DMZ (див. A. ) Буде дуже корисним. У цьому випадку це як мінімізує атакуючу поверхню, так і мінімізує пошкодження. Обмеживши кількість пристроїв у DMZ лише тими, які потребують зовнішнього доступу, ви обмежуєте атакуючу поверхню. Також DMZ зробить набагато складнішим доступ для будь-якої мережі до вашої базової мережі, мінімізуючи збиток.
2. Білий список, не чорний список - за замовчуванням кожен окремий протокол, порт і внутрішнє з'єднання повинні бути заблоковані за замовчуванням. Це блокування має бути налаштовано в пристрої (якщо можливо), брандмауері та маршрутизаторі. Увімкніть лише ті параметри, які ви активно використовуєте, і лише для тих пристроїв, які потребують цього. Якщо ви знаєте і повинні використовувати протокол для слабкого пристрою IoT (наприклад, пристроїв, на які впливає Mirai), вам слід налаштувати пристрій (наприклад, RaspberryPi), щоб діяти як реле. Ви повністю ізолюєте пристрій від мережі та спілкуєтесь із ним лише за допомогою захищеного протоколу (ssh, vpn тощо), який RaspberryPi перетворює на протокол, необхідний цьому пристрою.

• Про DMZ від Security.SE

SSH є розумною відправною точкою, важливо, щоб ви використовували шифрування TLS, а використання шпаклівки для доступу до ssh є одним із способів цього досягти. VPN - це інше. Що насправді важливо, це те, що ви використовуєте сильні парольні фрази або клавіші для доступу до пристроїв у вашій мережі, а ви постійно оновлюєте пристрої шлюзу.

Використовувати нестандартний порт - це розумно, але нічого не робить для захисту вашої мережі, якщо ви залишите свій пристрій за замовчуванням (або загальним) паролем.

Якщо ви хочете віддалений доступ, вам потрібен порт для пересилання SSH (або щось дуже подібне). Якщо ви не довіряєте впровадженню безпеки на камеру (тобто останнє оновлення прошивки було понад 6 місяців тому), вам потрібно використовувати VPN, щоб створити для неї ізольований мережевий сегмент. Якщо він має WiFi та стару прошивку, він може бути широко відкритим та відкритим (принаймні для тих, хто знаходиться у фізичній близькості).