Làm cách nào để bảo vệ Raspberry Pi khỏi bị tấn công trong thiết lập IoT được kết nối qua mạng Băng thông rộng?

Cài đặt:

Tôi có một Raspberry Pi là nút chính được kết nối với internet thông qua kết nối băng thông rộng, raspberry pi kết nối một số cảm biến và các bộ vi điều khiển khác. Pi liên tục được kết nối với máy chủ tại Nhà cung cấp dịch vụ đám mây.

Các câu hỏi là:

• Làm cách nào để ngăn người dùng trái phép truy cập vào mâm xôi Pi của tôi?
• Làm cách nào để ngăn chặn cuộc tấn công DDoS vào Pi?
• Tôi nên sử dụng DDNS (DNS động) như thế nào để truy cập Pi của mình?

Câu hỏi ' Bảo mật thiết lập tự động hóa nhà nhỏ ' cung cấp một tài liệu tham khảo hữu ích cho các mẹo bảo mật chung, nhưng cũng có một số bước cụ thể bạn nên tuân theo để giữ an toàn cho Raspberry Pi.

Câu trả lời của Steve Robillard cho một câu hỏi trên Raspberry Pi Stack Exchange nêu ra một số vấn đề cụ thể khi sử dụng Pi mà bạn có thể giải quyết, chẳng hạn như thay đổi mật khẩu mặc định, bằng cách sử dụng iptables, v.v. Anh ấy cũng liên kết một cách hữu ích với Hướng dẫn bảo mật Debian , mặc dù rất lớn, là vô cùng toàn diện, và bao gồm hầu hết các mối quan tâm lớn.

Vì bạn có thể sẽ kết nối với Pi thông qua SSH, hãy xem xét xác thực dựa trên khóa thay vì sử dụng mật khẩu. Chứng chỉ SSH hầu như không thể đoán được, ngay cả bởi một kẻ tấn công xác định, không giống như mật khẩu có khả năng yếu. Như đã lưu ý trong bài viết được liên kết, hãy xem Fail2ban , IP sẽ chặn bất kỳ người dùng nào có dấu hiệu độc hại (ví dụ: đoán mật khẩu không chính xác).

Về mối quan tâm DDoS của bạn: nếu ai đó quyết định khởi động một cuộc tấn công DDoS chống lại Pi của bạn , bạn sẽ có rất ít cơ hội. Một số cuộc tấn công có thể đạt tới 665 Gbps , điều mà Pi của bạn không thể chống lại. Nhưng, tôi sẽ đặt ra câu hỏi này: tại sao kẻ tấn công muốn DDoS Pi của bạn? Từ chối dịch vụ của bạn có thể sẽ không mang lại nhiều lợi ích cho kẻ tấn công và thay vào đó, rất nhiều thiết bị IoT bị hack để tham gia vào các cuộc tấn công DDoS .

Tuy nhiên, nếu bạn đã rất hoang tưởng, bạn có thể thiết bị có lẽ danh sách trắng mà Pi của bạn đã được dự kiến sẽ kết nối với, và chỉ cần thả bất kỳ gói tin khác với iptables. Tùy bạn quyết định xem nó có đáng để gặp rắc rối không.

Về DDNS, về cơ bản, tôi thấy hướng dẫn của HowToGeek khá rõ ràng, bạn cần kiểm tra bộ định tuyến của mình để biết cài đặt DDNS và định cấu hình đó. NoIP có ảnh chụp màn hình cho hầu hết các mô hình bộ định tuyến chính. Có lẽ bạn sẽ may mắn hơn khi hỏi điều này một cách riêng biệt (và bạn có thể đã tìm thấy câu trả lời trên Siêu người dùng ).

Cùng với câu trả lời của Aurora0001 nếu bạn muốn bảo vệ khỏi dDoS, bạn nên chọn tham gia các dịch vụ như Cloudflare. Nó bảo vệ bạn khỏi các cuộc tấn công dDoS bằng cách trỏ các bản ghi DNS của bạn đến máy chủ của họ và bảo vệ Tên miền / máy chủ của bạn. Ngăn chặn DDoS: Bảo vệ nguồn gốc

Được chứ. Đưa ra các ý kiến ​​cho đến nay, đây là cách tôi tiếp cận nó:

1. Thiết lập DDNS thông qua bất kỳ nhà cung cấp có thẩm quyền.
2. Thiết lập OpenVPN trên PI của bạn và định tuyến cổng UDP 1194 (hoặc bất kỳ cổng nào bạn thiết lập) từ bộ định tuyến đến PI. Tất cả các kết nối bên ngoài đến PI của bạn sẽ phải có ứng dụng khách OpenVPN được cấu hình đúng (thậm chí bạn có thể sử dụng điện thoại!)
3. Là một biện pháp thứ cấp, truy cập an toàn trong nước trên PI bằng IPTables. Thật khó khăn khi phải làm bằng tay, vì vậy hãy cài đặt Webmin (Debian) để định cấu hình nó. Từ đây, thực hiện tìm kiếm Google về các cách để tăng cường cấu hình IPTables của bạn chống lại DDOS.

Bạn có thể thích một số VPN khác, nhưng tôi đã sử dụng OpenVPN khoảng 10 năm nay vì tính linh hoạt đáng kinh ngạc của nó.