แนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุดในการรักษาความปลอดภัยกล้อง IoT ระยะไกลคืออะไร

ฉันได้ทำระบบอัตโนมัติที่บ้านเช่นการสร้างกล้องระยะไกลที่สามารถเปิดใช้งานผ่าน SSH ในพื้นที่และเผยแพร่ภาพบน Raspberry Pi ที่ใช้เซิร์ฟเวอร์ Linux

อย่างไรก็ตามฉันอยากรู้ว่าโปรโตคอลใดที่ดีที่สุดเมื่อความปลอดภัยของคุณอยู่หลังเราเตอร์ ฉันใช้สิ่งต่างๆเช่น Putty และเปิดพอร์ตเพื่อให้ฉันสามารถเจาะเข้าไปได้ แต่ฉันไม่คิดว่านี่เป็นวิธีที่ปลอดภัยที่สุด

ฉันสงสัยว่าโพรโทคอล / เครื่องมือใดที่ใช้ดีที่สุดเมื่อเข้าถึงระบบเซิร์ฟเวอร์ภายในบ้านจากระยะไกล

PuTTYนั้นค่อนข้างปลอดภัย - ตัวเซสชันนั้นถูกเข้ารหัส นั่นเป็นส่วนหนึ่งของสิ่งที่SSHให้คุณ "ออกนอกกรอบ" ฉันทำสิ่งนี้มากมายด้วยตัวเองและนี่คือ hit-points ที่ฉันอยากจะแนะนำ:

• อย่าเปิดพอร์ต 22 สู่โลก - กำหนดค่าเซิร์ฟเวอร์ SSH ของคุณให้รับฟังพอร์ตที่ไม่ได้มาตรฐาน (เช่น 22022 หรือ 2222) บนอินเทอร์เฟซ WAN ของคุณ
• ต้องการการรับรองความถูกต้องเพื่อไปยังหน้าเว็บใด ๆ ที่มีภาพความปลอดภัย แม้ว่านี่จะเป็น HTTP-AUTH ธรรมดาที่ใช้ไฟล์. htaccess แต่ก็ไม่มีอะไรดีไปกว่านี้แล้ว
• ใช้ SSL เพื่อพูดคุยกับเว็บเซิร์ฟเวอร์แม้ว่าจะอยู่หลังเราเตอร์ของคุณก็ตาม
• ใช้ OpenVPN หรือเทคโนโลยี VPN อื่นเพื่อไปยังเครื่องที่บ้านของคุณจากสิ่งใดก็ตามที่อยู่นอกเราเตอร์ นั่นขัดขวางความต้องการการเข้าถึงโดยตรงของ SSH แต่ฉันมักต้องการเก็บ SSH โดยตรงไว้ในกรณีที่บริการ VPN ล้มเหลว

คำตอบอื่น ๆ ครอบคลุมเทคโนโลยีมากมายที่คุณสามารถใช้เพื่อปกป้องระบบของคุณ นี่คือความคิด / ปรัชญาทั่วไปเพิ่มเติม

1. DMZ คือเพื่อนของคุณ - ในเกือบทุกกรณีที่คุณมีบริการที่ต้องเผชิญกับเครือข่ายภายนอก DMZ (ดูก.) จะเป็นประโยชน์อย่างมาก ในกรณีนี้มันจะลดพื้นผิวการโจมตีและลดความเสียหายให้น้อยที่สุด ด้วยการ จำกัด จำนวนอุปกรณ์ใน DMZ ให้เหลือเพียงอุปกรณ์ที่ต้องการการเข้าถึงจากภายนอกคุณ จำกัด พื้นผิวการโจมตี นอกจากนี้ DMZ จะทำให้ทุกคนเข้าถึงเครือข่ายหลักของคุณได้ยากขึ้นซึ่งจะช่วยลดความเสียหายให้น้อยที่สุด
2. รายการที่อนุญาตไม่ใช่บัญชีดำ - ตามค่าเริ่มต้นทุกโปรโตคอลเดียวพอร์ตและการเชื่อมต่อภายในควรถูกบล็อกโดยค่าเริ่มต้น การบล็อกนี้ควรตั้งค่าในอุปกรณ์ (ถ้าเป็นไปได้) ไฟร์วอลล์และเราเตอร์ เปิดใช้งานตัวเลือกที่คุณใช้อย่างแข็งขันและสำหรับอุปกรณ์ที่ต้องการเท่านั้น หากคุณรู้และต้องใช้โปรโตคอลสำหรับอุปกรณ์ IoT ที่อ่อนแอ (เช่นอุปกรณ์ที่ได้รับผลกระทบจาก Mirai) คุณควรติดตั้งอุปกรณ์ (เช่น RaspberryPi) เพื่อทำหน้าที่เป็นรีเลย์ คุณแยกอุปกรณ์ออกจากเครือข่ายอย่างสมบูรณ์และสื่อสารกับมันผ่านโปรโตคอลที่ปลอดภัย (ssh, vpn เป็นต้น) ที่ RaspberryPi แปลงเป็นโปรโตคอลที่อุปกรณ์ต้องการ

• เกี่ยวกับ DMZ จาก Security.SE

SSH เป็นจุดเริ่มต้นที่สมเหตุสมผลสิ่งสำคัญคือคุณต้องใช้การเข้ารหัส TLS และการใช้สีโป๊วสำหรับการเข้าถึง SSH เป็นวิธีหนึ่งในการบรรลุเป้าหมายนี้ VPN เป็นอีกสิ่งหนึ่ง สิ่งที่สำคัญอย่างยิ่งคือคุณต้องใช้วลีหรือแป้นอย่างแรงเพื่อเข้าถึงอุปกรณ์ภายในเครือข่ายของคุณและทำให้อุปกรณ์เกตเวย์เป็นอุปกรณ์ล่าสุด

การใช้พอร์ตที่ไม่ได้มาตรฐานนั้นเป็นสิ่งที่สมเหตุสมผล แต่จะไม่ทำอะไรเลยเพื่อรักษาความปลอดภัยเครือข่ายของคุณหากคุณปล่อยให้อุปกรณ์ของคุณใช้รหัสผ่านเริ่มต้น (หรือทั่วไป)

หากคุณต้องการการเข้าถึงระยะไกลคุณต้องเปิดพอร์ตเพื่อส่งต่อ SSH (หรือสิ่งที่คล้ายกันมาก) หากคุณไม่เชื่อถือการใช้งานความปลอดภัยของกล้อง (นั่นคือการอัปเดตเฟิร์มแวร์ล่าสุดเมื่อประมาณ 6 เดือนที่ผ่านมา) คุณต้องใช้ VPN เพื่อสร้างส่วนเครือข่ายแยก หากมี WiFi และเฟิร์มแวร์เก่ามันก็อาจเปิดกว้างและเป็นสาธารณะ (อย่างน้อยก็สำหรับทุกคนที่อยู่ในบริเวณใกล้เคียง)