Come proteggere Raspberry Pi dagli attacchi in una configurazione IoT connessa tramite una rete a banda larga?

9

Il set up:

Ho un Raspberry Pi come nodo principale che è collegato a Internet tramite una connessione a banda larga, il Raspberry Pi collega diversi sensori e altri microcontrollori. Il Pi è continuamente collegato a un server presso un provider di hosting cloud.

Le domande sono:

  • Come posso impedire agli utenti non autorizzati di accedere al mio raspberry Pi?
  • Come posso prevenire un attacco DDoS al Pi?
  • Come e dovrei usare DDNS (DNS dinamico) per accedere al mio Pi?
security  networking  raspberry-pi 
Shakti Phartiyal
fonte
1
Correlati: Protezione piccolo setup domotica . Ci sono alcuni suggerimenti generali lì, che potrebbero essere di interesse.
Aurora0001
3
DDNS non appartiene alla stessa domanda degli altri punti. Dovresti porre una domanda per domanda.
Sean Houlihane,
Non c'è un router ???
Xavier J,
@codenoir Esiste un router netgear
Shakti Phartiyal,
Un'altra domanda. Devi accedere al Pi dall'esterno della rete domestica o dell'ufficio?
Xavier J,

Risposte:

10

La domanda " Protezione della configurazione della piccola automazione domestica " fornisce un utile riferimento per suggerimenti generali sulla sicurezza, ma ci sono anche alcuni passaggi specifici che dovresti seguire per proteggere Raspberry Pi.

La risposta di Steve Robillard a una domanda su Raspberry Pi Stack Exchange delinea alcuni dei problemi specifici relativi all'uso di un Pi che è possibile affrontare, come la modifica delle password predefinite, l'utilizzo iptables, ecc. Si collega anche al Manuale Debian di sicurezza , che, sebbene molto di grandi dimensioni, è incredibilmente completo e copre le maggiori preoccupazioni.

Dal momento che probabilmente ti collegherai al Pi tramite SSH, considera l' autenticazione basata su chiave invece di usare una password: un certificato SSH è praticamente impossibile da indovinare, anche da un determinato aggressore, a differenza di una password potenzialmente debole. Come notato nell'articolo collegato, dai un'occhiata anche a Fail2ban , che bloccherà IP tutti gli utenti che mostrano segni dannosi (ad esempio ipotesi di password errate).

Per quanto riguarda le tue preoccupazioni DDoS: se qualcuno decide di lanciare un attacco DDoS contro il tuo Pi , hai poche possibilità. Alcuni attacchi possono raggiungere fino a 665 Gbps , il che sarebbe impossibile per il tuo Pi da difendere. Ma vorrei porre questa domanda: perché un utente malintenzionato dovrebbe voler DDoS il tuo Pi? Negare il tuo servizio probabilmente non offrirebbe molti vantaggi a un utente malintenzionato e molti dispositivi IoT vengono invece hackerati per partecipare agli attacchi DDoS .

Tuttavia, se tu fossi molto paranoico, potresti forse inserire nella whitelist i dispositivi a cui ci si aspettava che il tuo Pi si connettesse, e semplicemente rilasciare qualsiasi altro pacchetto iptables. Sta a te decidere se valga la pena.

Per quanto riguarda DDNS, trovo la guida di HowToGeek abbastanza chiara: in sostanza, è necessario controllare il router per un'impostazione DDNS e configurarla. NoIP ha schermate per la maggior parte dei principali modelli di router. Probabilmente avresti più fortuna a chiederlo separatamente (e potresti già trovare una risposta su Super User ).

Aurora0001
fonte
1
Se @ShaktiPhartiyal vuole utilizzare il Pi per aggiornare il DDNS rispetto al router, ho avuto un problema a far sì che il Pi facesse in modo sicuro. Il mio post ha un walk through collegato per la configurazione di DDNS e contiene anche una risposta per aggiornarlo in modo sicuro.
Shaulinator
@Shaulinator il mio router non supporta ddns per provider di domini come namecheap
Shakti Phartiyal
@ShaktiPhartiyal, utilizzo dnsdynamic che è gratuito. Il post a cui mi sono collegato è fare in modo che il tuo Raspberry Pi faccia il lavoro per supportare DDNS vs il tuo router, che dovrebbe funzionare anche su provider come namecheap.
Shaulinator
@Shaulinator Grazie per l'aggiornamento controllerà lo stesso e ti farà sapere ..
Shakti Phartiyal
5

Insieme alla risposta di Aurora0001 se desideri protezione da dDoS, dovresti optare per servizi come Cloudflare. Ti protegge dagli attacchi dDoS indirizzando i tuoi record DNS ai loro server e proteggendo il tuo dominio / server. Prevenzione DDoS: proteggere l'origine

Amante dell'IoT
fonte
3
Concordato. Se stai chiedendo di dDoS, devi solo pagare qualcuno per implementare la protezione per te.
Sean Houlihane,
1
@SeanHoulihane Il piano di base è gratuito.
IoT Lover,
Vale la pena aggiungerlo alla risposta.
Sean Houlihane,
@IoTLover grazie per la risposta. Questo, insieme alla risposta di Aurora0001, fornisce una visione abbastanza buona.
Shakti Phartiyal,
5

Va bene. Dati i commenti finora, ecco come mi avvicinerei:

  1. Configurare DDNS tramite qualsiasi provider competente.
  2. Imposta OpenVPN sul tuo PI e instrada la porta UDP 1194 (o qualsiasi porta su cui lo hai impostato) dal router al PI. Tutte le connessioni esterne al tuo PI dovranno avere un client OpenVPN correttamente configurato (potresti persino usare un telefono!)
  3. Come misura secondaria, proteggere l'accesso in entrata sull'IP utilizzando IPTables. È una seccatura da fare a mano, quindi installa Webmin (Debian) per configurarlo. Da qui, fai una ricerca su Google su come rafforzare la tua configurazione di IPTables contro DDOS.

Potresti preferire qualche altra VPN, ma uso OpenVPN da circa 10 anni per la sua incredibile flessibilità.

Xavier J
fonte
Grazie sicuramente lo proverai, il concetto di openVPN sembra sicuro. A proposito aws.amazon.com/vpc è di qualche utilità nella mia configurazione?
Shakti Phartiyal,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.