Bagaimana cara melindungi Raspberry Pi dari serangan dalam pengaturan IoT yang terhubung melalui jaringan Broadband?

9

Pengaturan:

Saya memiliki Raspberry Pi sebagai master node yang terhubung ke internet melalui koneksi broadband, raspberry pi menghubungkan beberapa sensor dan mikrokontroler lainnya. Pi terus terhubung ke server di Penyedia Cloud Hosting.

Pertanyaannya adalah:

  • Bagaimana cara menghentikan pengguna yang tidak sah dari mengakses raspberry Pi saya?
  • Bagaimana cara mencegah serangan DDoS pada Pi?
  • Bagaimana dan bagaimana saya harus menggunakan DDNS (Dynamic DNS) untuk mengakses Pi saya?
security networking raspberry-pi Shakti Phartiyal
sumber
1
Terkait: Mengamankan pengaturan otomatisasi rumah kecil . Ada beberapa tips umum di sana, yang mungkin menarik.
Aurora0001
3
DDNS tidak termasuk dalam pertanyaan yang sama dengan poin lainnya. Anda harus mengajukan satu pertanyaan per pertanyaan.
Sean Houlihane
Apakah tidak ada router ???
Xavier J
@codenoir Ada router
netgear
Satu pertanyaan lagi. Apakah Anda harus mengakses Pi dari luar jaringan rumah atau kantor Anda?
Xavier J

Jawaban:

10

Pertanyaan ' Mengamankan pengaturan otomatisasi rumah kecil ' memberikan referensi yang berguna untuk tips keamanan umum, tetapi ada juga beberapa langkah spesifik yang harus Anda ikuti untuk menjaga Raspberry Pi Anda aman.

Jawaban Steve Robillard untuk pertanyaan tentang Raspberry Pi Stack Exchange menguraikan beberapa masalah khusus dengan menggunakan Pi yang dapat Anda atasi, seperti mengubah kata sandi default, menggunakan iptables, dll. Ia juga membantu tautan ke Manual Pengamanan Debian , yang, meskipun sangat besar, sangat komprehensif, dan mencakup sebagian besar masalah utama.

Karena Anda mungkin akan terhubung ke Pi melalui SSH, pertimbangkan otentikasi berbasis kunci alih-alih menggunakan kata sandi — sertifikat SSH sebenarnya tidak mungkin ditebak, bahkan oleh penyerang yang gigih, tidak seperti kata sandi yang berpotensi lemah. Seperti disebutkan dalam artikel yang ditautkan, lihat juga Fail2ban , yang akan memblokir IP pengguna yang menunjukkan tanda-tanda berbahaya (mis. Tebakan kata sandi yang salah).

Mengenai masalah DDoS Anda: jika seseorang memutuskan untuk meluncurkan serangan DDoS terhadap Pi Anda, Anda memiliki peluang sangat kecil. Beberapa serangan dapat mencapai hingga 665 Gbps , yang mustahil bagi Pi Anda untuk bertahan. Tapi, saya akan mengajukan pertanyaan ini: mengapa penyerang ingin melakukan DDoS Pi Anda? Menolak layanan Anda mungkin tidak akan memberikan banyak manfaat bagi penyerang, dan banyak perangkat IoT malah diretas untuk berpartisipasi dalam serangan DDoS .

Namun demikian, jika Anda sangat paranoid, Anda bisa perangkat mungkin daftar putih yang Pi Anda telah diharapkan untuk terhubung ke, dan hanya drop setiap paket lainnya dengan iptables. Terserah Anda untuk memutuskan apakah itu sepadan dengan masalahnya.

Mengenai DDNS, saya menemukan panduan HowToGeek cukup jelas — pada dasarnya, Anda perlu memeriksa router Anda untuk pengaturan DDNS, dan mengkonfigurasinya. NoIP memiliki tangkapan layar untuk sebagian besar model router utama. Anda mungkin lebih beruntung menanyakan hal ini secara terpisah (dan Anda mungkin sudah menemukan jawaban tentang Pengguna Super ).

Aurora0001
sumber
1
Jika @ShaktiPhartiyal ingin menggunakan Pi untuk memperbarui DDNS vs router, saya punya masalah meminta Pi melakukannya dengan aman. Posting saya memiliki walk through tertaut untuk mengatur DDNS dan juga berisi jawaban untuk memperbaruinya dengan aman.
Shaulinator
@Shaulinator router saya tidak mendukung ddns untuk penyedia domain seperti namecheap
Shakti Phartiyal
@ShaktiPhartiyal, saya menggunakan dnsdynamic yang gratis. Posting yang saya tautkan membuat raspberry pi Anda melakukan pekerjaan untuk mendukung DDNS vs router Anda, yang seharusnya berfungsi pada penyedia seperti namecheap juga.
Shaulinator
@Sulinulinator Terima kasih karena pembaruannya akan memeriksa hal yang sama dan beri tahu Anda ..
Shakti Phartiyal
5

Bersamaan dengan jawaban Aurora0001 jika Anda menginginkan perlindungan dari dDoS, Anda harus memilih layanan seperti Cloudflare. Ini melindungi Anda dari serangan dDoS dengan mengarahkan catatan DNS Anda ke server mereka dan mengamankan Domain / server Anda. Pencegahan DDoS: Melindungi Asal

IOT Lover
sumber
3
Sepakat. Jika Anda bertanya tentang dDoS, Anda hanya perlu membayar seseorang untuk menerapkan perlindungan bagi Anda.
Sean Houlihane
1
@SeanHoulihane Rencana dasarnya gratis.
Kekasih IoT
Layak menambahkan itu ke jawabannya.
Sean Houlihane
@IoTLover terima kasih atas jawabannya. Ini bersama dengan jawaban Aurora0001 memberikan wawasan yang cukup baik.
Shakti Phartiyal
5

Baik. Mengingat komentar sejauh ini, inilah cara saya mendekatinya:

  1. Atur DDNS melalui penyedia yang kompeten.
  2. Atur OpenVPN pada PI Anda, dan rutekan port UDP 1194 (atau port apa pun yang Anda atur) dari router ke PI. Semua koneksi eksternal ke PI Anda harus memiliki klien OpenVPN yang dikonfigurasi dengan benar (Anda bahkan bisa menggunakan telepon!)
  3. Sebagai tindakan sekunder, amankan akses masuk pada PI menggunakan Tabel IP. Ini adalah rasa sakit di pantat yang harus dilakukan dengan tangan, jadi instal Webmin (Debian) untuk mengkonfigurasinya. Dari sini, lakukan pencarian Google tentang cara untuk mengeraskan konfigurasi IPTables Anda terhadap DDOS.

Anda mungkin lebih suka VPN lain, tetapi saya telah menggunakan OpenVPN selama sekitar 10 tahun sekarang untuk fleksibilitasnya yang luar biasa.

Xavier J
sumber
Terima kasih akan mencoba ini pasti, konsep openVPN terlihat aman. Omong-omong adalah aws.amazon.com/vpc ada gunanya dalam pengaturan saya?
Shakti Phartiyal