Các thực tiễn bảo mật tốt nhất để bảo mật máy ảnh IoT từ xa là gì?

Tôi đã thực hiện một chút tự động hóa gia đình như xây dựng một camera từ xa có thể được bật thông qua SSH cục bộ và xuất bản hình ảnh trên máy chủ Raspberry Pi chạy Linux.

Mặc dù vậy, tôi tò mò về các giao thức nào được tuân theo tốt nhất khi bảo mật của bạn nằm sau bộ định tuyến. Tôi đã sử dụng những thứ như Putty và mở các cổng để tôi có thể đào hầm nhưng tôi không tưởng tượng đây là những phương pháp an toàn nhất.

Tôi đang tự hỏi những giao thức / công cụ nào được sử dụng tốt nhất khi truy cập hệ thống máy chủ gia đình từ xa.

PuTTY thực sự khá an toàn - bản thân phiên được mã hóa. Đó là một phần của những gì SSH mang lại cho bạn "vượt trội". Bản thân tôi làm rất nhiều kiểu này, và đây là một vài điểm tôi muốn đề xuất:

• Không mở cổng 22 ra thế giới - định cấu hình máy chủ SSH của bạn để nghe trên một cổng không chuẩn (ví dụ: 22022 hoặc 2222) trên giao diện WAN của bạn
• Yêu cầu xác thực để truy cập bất kỳ trang web nào có hình ảnh bảo mật của bạn. Ngay cả khi đây là HTTP-AUTH đơn giản sử dụng các tệp .htaccess, thì vẫn tốt hơn là không có gì.
• Sử dụng SSL để nói chuyện với các máy chủ web, ngay cả khi chúng ở đằng sau bộ định tuyến của bạn
• Sử dụng OpenVPN hoặc công nghệ VPN khác để truy cập vào các máy gia đình của bạn từ bất kỳ thứ gì bên ngoài bộ định tuyến của bạn. Điều đó làm giảm nhu cầu truy cập SSH trực tiếp, mặc dù tôi thường muốn giữ SSH trực tiếp khả dụng trong trường hợp dịch vụ VPN không thành công.

Các câu trả lời khác bao gồm rất nhiều công nghệ mà bạn có thể sử dụng để bảo vệ hệ thống của mình. Dưới đây là một số suy nghĩ / triết lý chung hơn.

1. DMZ là bạn của bạn - Trong hầu hết mọi trường hợp bạn có dịch vụ phải đối mặt với mạng bên ngoài, DMZ (xem a.) Sẽ rất có lợi. Trong trường hợp này, cả hai sẽ giảm thiểu bề mặt tấn công và giảm thiểu thiệt hại. Bằng cách giới hạn số lượng thiết bị trong DMZ chỉ ở những thiết bị cần truy cập bên ngoài, bạn giới hạn bề mặt tấn công. Ngoài ra DMZ sẽ khiến mọi người truy cập mạng lõi của bạn khó khăn hơn nhiều, do đó giảm thiểu thiệt hại.
2. Danh sách trắng, không có Danh sách đen - Theo mặc định, mọi giao thức, cổng và kết nối nội bộ sẽ bị chặn theo mặc định. Việc chặn này phải được thiết lập trong thiết bị (nếu có thể), tường lửa và bộ định tuyến. Chỉ bật các tùy chọn mà bạn đang tích cực sử dụng và chỉ cho các thiết bị cần một. Nếu bạn biết và phải sử dụng giao thức cho thiết bị IoT yếu (ví dụ: thiết bị bị ảnh hưởng bởi Mirai), bạn nên thiết lập một thiết bị (như RaspberryPi) để hoạt động như rơle. Bạn cách ly hoàn toàn thiết bị khỏi mạng và chỉ giao tiếp với thiết bị thông qua giao thức bảo mật (ssh, vpn, v.v.) mà RaspberryPi chuyển đổi thành giao thức mà thiết bị cần.

• Giới thiệu về DMZ từ Security.SE

SSH là một điểm khởi đầu hợp lý, điều cần thiết là bạn sử dụng mã hóa TLS và sử dụng putty để truy cập ssh là một cách để đạt được điều này. VPN là một cái khác. Điều thực sự quan trọng là bạn sử dụng các mật khẩu hoặc khóa mạnh để truy cập các thiết bị trong mạng của mình và bạn luôn cập nhật các thiết bị cổng.

Sử dụng một cổng không chuẩn là loại hợp lý, nhưng không có gì để bảo mật mạng của bạn nếu bạn để thiết bị của mình với mật khẩu mặc định (hoặc phổ biến).

Nếu bạn muốn truy cập từ xa, bạn cần một cổng mở để chuyển tiếp SSH (hoặc một cái gì đó rất giống nhau). Nếu bạn không tin tưởng vào việc triển khai bảo mật trên máy ảnh (tức là lần cập nhật firmware mới nhất cách đây khoảng 6 tháng), thì bạn cần sử dụng VPN để tạo phân đoạn mạng riêng biệt cho nó. Nếu nó có WiFi và phần sụn cũ, nó cũng có thể mở rộng và công khai (ít nhất là cho bất kỳ ai ở gần vật lý).