Các thực tiễn bảo mật tốt nhất để bảo mật máy ảnh IoT từ xa là gì?


27

Tôi đã thực hiện một chút tự động hóa gia đình như xây dựng một camera từ xa có thể được bật thông qua SSH cục bộ và xuất bản hình ảnh trên máy chủ Raspberry Pi chạy Linux.

Mặc dù vậy, tôi tò mò về các giao thức nào được tuân theo tốt nhất khi bảo mật của bạn nằm sau bộ định tuyến. Tôi đã sử dụng những thứ như Putty và mở các cổng để tôi có thể đào hầm nhưng tôi không tưởng tượng đây là những phương pháp an toàn nhất.

Tôi đang tự hỏi những giao thức / công cụ nào được sử dụng tốt nhất khi truy cập hệ thống máy chủ gia đình từ xa.


Bạn có khả năng mã hóa luồng hình ảnh?
tbm0115

@ tbm0115 Tôi có quyền truy cập vật lý vào thiết bị. Các bí quyết kỹ thuật, không quá nhiều. Tôi vẫn đang học.
Trevor J. Smith

4
Lý tưởng nhất, tôi nghĩ rằng máy ảnh của bạn sẽ mã hóa luồng hình ảnh và một ứng dụng trên thiết bị được bảo mật trong mạng sẽ giải mã nó. Ngoài ra / Ngoài ra, bạn có khả năng có thể thiết lập một mạng riêng hoặc mạng con trong mạng của mình để chạy các thiết bị IoT của mình từ đó và thêm bảo mật bổ sung cho khu vực đó của mạng.
tbm0115

Điều đó làm cho rất nhiều ý nghĩa. Chắc chắn giá trị thực hiện nếu tôi muốn thêm một vài thiết bị vào hỗn hợp. Cảm ơn.
Trevor J. Smith

1
Câu hỏi đó rất rộng. Đặc biệt là tiêu đề của bạn - được trao cho cơ thể, tôi đoán bạn đặc biệt quan tâm đến an ninh mạng ? Mặc dù vậy, nó phụ thuộc vào loại kết nối mạng mà ứng dụng của bạn yêu cầu.
Gilles 'SO- ngừng trở nên xấu xa'

Câu trả lời:


18

PuTTY thực sự khá an toàn - bản thân phiên được mã hóa. Đó là một phần của những gì SSH mang lại cho bạn "vượt trội". Bản thân tôi làm rất nhiều kiểu này, và đây là một vài điểm tôi muốn đề xuất:

  • Không mở cổng 22 ra thế giới - định cấu hình máy chủ SSH của bạn để nghe trên một cổng không chuẩn (ví dụ: 22022 hoặc 2222) trên giao diện WAN của bạn
  • Yêu cầu xác thực để truy cập bất kỳ trang web nào có hình ảnh bảo mật của bạn. Ngay cả khi đây là HTTP-AUTH đơn giản sử dụng các tệp .htaccess, thì vẫn tốt hơn là không có gì.
  • Sử dụng SSL để nói chuyện với các máy chủ web, ngay cả khi chúng ở đằng sau bộ định tuyến của bạn
  • Sử dụng OpenVPN hoặc công nghệ VPN khác để truy cập vào các máy gia đình của bạn từ bất kỳ thứ gì bên ngoài bộ định tuyến của bạn. Điều đó làm giảm nhu cầu truy cập SSH trực tiếp, mặc dù tôi thường muốn giữ SSH trực tiếp khả dụng trong trường hợp dịch vụ VPN không thành công.

Điều này giả định OP đang sử dụng Windows.
kenorb

1
Không, nó không có. Các khuyến nghị ở trên là dành cho bất kỳ HĐH nào, không chỉ Windows.
John

Putty là một máy khách SSH chỉ dành cho Windows. Nếu bạn có thể viết lại nó thành SSH và đưa Putty làm máy khách SSH mẫu, sẽ nghe hay hơn.
kenorb

1
Tài liệu tham khảo duy nhất cho PuTTY là câu đầu tiên. Tất cả mọi thứ khác tham khảo SSH, như tôi có nghĩa là.
John

14

Các câu trả lời khác bao gồm rất nhiều công nghệ mà bạn có thể sử dụng để bảo vệ hệ thống của mình. Dưới đây là một số suy nghĩ / triết lý chung hơn.

  1. DMZ là bạn của bạn - Trong hầu hết mọi trường hợp bạn có dịch vụ phải đối mặt với mạng bên ngoài, DMZ (xem a.) Sẽ rất có lợi. Trong trường hợp này, cả hai sẽ giảm thiểu bề mặt tấn công và giảm thiểu thiệt hại. Bằng cách giới hạn số lượng thiết bị trong DMZ chỉ ở những thiết bị cần truy cập bên ngoài, bạn giới hạn bề mặt tấn công. Ngoài ra DMZ sẽ khiến mọi người truy cập mạng lõi của bạn khó khăn hơn nhiều, do đó giảm thiểu thiệt hại.
  2. Danh sách trắng, không có Danh sách đen - Theo mặc định, mọi giao thức, cổng và kết nối nội bộ sẽ bị chặn theo mặc định. Việc chặn này phải được thiết lập trong thiết bị (nếu có thể), tường lửa và bộ định tuyến. Chỉ bật các tùy chọn mà bạn đang tích cực sử dụng và chỉ cho các thiết bị cần một. Nếu bạn biết và phải sử dụng giao thức cho thiết bị IoT yếu (ví dụ: thiết bị bị ảnh hưởng bởi Mirai), bạn nên thiết lập một thiết bị (như RaspberryPi) để hoạt động như rơle. Bạn cách ly hoàn toàn thiết bị khỏi mạng và chỉ giao tiếp với thiết bị thông qua giao thức bảo mật (ssh, vpn, v.v.) mà RaspberryPi chuyển đổi thành giao thức mà thiết bị cần.


2

SSH là một điểm khởi đầu hợp lý, điều cần thiết là bạn sử dụng mã hóa TLS và sử dụng putty để truy cập ssh là một cách để đạt được điều này. VPN là một cái khác. Điều thực sự quan trọng là bạn sử dụng các mật khẩu hoặc khóa mạnh để truy cập các thiết bị trong mạng của mình và bạn luôn cập nhật các thiết bị cổng.

Sử dụng một cổng không chuẩn là loại hợp lý, nhưng không có gì để bảo mật mạng của bạn nếu bạn để thiết bị của mình với mật khẩu mặc định (hoặc phổ biến).

Nếu bạn muốn truy cập từ xa, bạn cần một cổng mở để chuyển tiếp SSH (hoặc một cái gì đó rất giống nhau). Nếu bạn không tin tưởng vào việc triển khai bảo mật trên máy ảnh (tức là lần cập nhật firmware mới nhất cách đây khoảng 6 tháng), thì bạn cần sử dụng VPN để tạo phân đoạn mạng riêng biệt cho nó. Nếu nó có WiFi và phần sụn cũ, nó cũng có thể mở rộng và công khai (ít nhất là cho bất kỳ ai ở gần vật lý).

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.