Як захистити Raspberry Pi від нападу в установці IoT, підключеній через широкосмугову мережу?

Налаштування:

У мене є Raspberry Pi як головний вузол, який підключений до Інтернету за допомогою широкосмугового зв'язку, малиновий пі підключає кілька датчиків та інших мікроконтролерів. Pi постійно підключається до сервера у постачальника послуг хмарного хостингу.

Питання:

• Як я можу зупинити несанкціонований доступ користувачів до моєї малинової пі?
• Як запобігти атаці DDoS на Pi?
• Як і чи потрібно використовувати DDNS (Dynamic DNS) для доступу до мого Pi?

Питання " Забезпечення налаштувань автоматизації невеликих будинків " дає корисну посилання на загальні поради щодо безпеки, але є й деякі конкретні кроки, які слід дотримуватися, щоб захистити ваш Raspberry Pi.

Відповідь Стіва Робійяр в до питання про Raspberry Pi Stack біржі наведені деякі конкретні питання , за допомогою Pi , що ви можете звернутися, наприклад, зміна паролів по замовчуванням, використовуючи iptablesі т.д. Він також послужливо посилання на Забезпечення безпеки Debian Manual , який, хоча і дуже великий, неймовірно всебічний і охоплює більшість основних проблем.

Оскільки ви, ймовірно, будете підключатися до Pi через SSH, розгляньте автентифікацію на основі ключа замість використання пароля - сертифікат SSH практично неможливо здогадатися, навіть визначеним зловмисником, на відміну від потенційно слабкого пароля. Як зазначається у пов'язаній статті, також подивіться на Fail2ban , який заблокує IP-адрес усіх користувачів, які виявляють шкідливі знаки (наприклад, неправильні здогади пароля).

Що стосується ваших проблем з DDoS: якщо хтось вирішить запустити DDoS-атаку проти вашого Pi , у вас є дуже мало шансів. Деякі атаки можуть доходити до 665 Гбіт / с , що було б неможливо захистити ваш Пі. Але я поставив би це питання: чому зловмисник хоче DDoS ваш Pi? Відмова у наданні послуги, мабуть, не принесе великої користі для зловмисника, і натомість багато пристроїв IoT хакуються для участі в DDoS-атаках .

Тим не менш, якби ти був дуже параноїком, ти, можливо, можеш створити білий список пристроїв, до яких, як очікується, підключиться, і просто скинути будь-які інші пакети iptables. Ви вирішуєте, чи варто турбуватися.

Щодо DDNS, я вважаю посібник HowToGeek досить зрозумілим - по суті, вам потрібно перевірити ваш маршрутизатор на наявність параметра DDNS і налаштувати його. У більшості моделей маршрутизаторів NoIP є скріншоти . Вам, мабуть, пощастить запитати це окремо (і ви вже можете знайти відповідь на Super User ).

Поряд з відповіддю Aurora0001, якщо ви хочете захистити від dDoS, вам слід скористатися послугами типу Cloudflare. Він захищає вас від атак dDoS, вказуючи ваші DNS-записи на їхні сервери та захищаючи ваш Домен / сервер. Профілактика DDoS: захист походження

Добре. З огляду на поки що зауваження, ось як я підійшов би до цього:

1. Налаштуйте DDNS через будь-якого компетентного постачальника.
2. Налаштуйте OpenVPN на своєму PI та маршрутизуйте UDP-порт 1194 (або будь-який порт, на який ви його встановили) від маршрутизатора до PI. Усі зовнішні підключення до вашого ІМП повинні мати правильно налаштований клієнт OpenVPN (ви навіть можете користуватися телефоном!)
3. В якості другого заходу, забезпечте вхідний доступ до PI за допомогою IPTables. Біль в задній частині болить, тому встановіть Webmin (Debian), щоб налаштувати його. Звідси проведіть пошук Google щодо способів посилити конфігурацію IPTables на адресу DDOS.

Ви можете віддати перевагу якомусь іншому VPN, але я вже 10 років використовую OpenVPN для його неймовірної гнучкості.