วิธีการป้องกัน Raspberry Pi จากการถูกโจมตีในการตั้งค่า IoT ที่เชื่อมต่อผ่านเครือข่ายบรอดแบนด์?

การตั้งค่า:

ฉันมี Raspberry Pi เป็นโหนดหลักที่เชื่อมต่อกับอินเทอร์เน็ตผ่านการเชื่อมต่อบรอดแบนด์ raspberry pi เชื่อมต่อเซ็นเซอร์หลายตัวและไมโครคอนโทรลเลอร์อื่น ๆ Pi เชื่อมต่อกับเซิร์ฟเวอร์ที่ Cloud Hosting Provider อย่างต่อเนื่อง

คำถามคือ:

• ฉันจะหยุดผู้ใช้ที่ไม่ได้รับอนุญาตจากการเข้าถึงราสเบอร์รี่ Pi ของฉันได้อย่างไร
• ฉันจะป้องกันการโจมตี DDoS บน Pi ได้อย่างไร
• ฉันควรใช้ DDNS (Dynamic DNS) เพื่อเข้าถึง Pi ของฉันอย่างไรและอย่างไร

คำถาม ' การตั้งค่าการรักษาความปลอดภัยในบ้านเล็กอัตโนมัติ ' ให้การอ้างอิงที่เป็นประโยชน์สำหรับเคล็ดลับความปลอดภัยทั่วไป แต่ยังมีขั้นตอนเฉพาะที่คุณควรปฏิบัติตามเพื่อให้ราสเบอร์รี่ Pi ของคุณปลอดภัย

คำตอบของ Steve Robillard สำหรับคำถามเกี่ยวกับ Raspberry Pi Stack Exchange แสดงบางประเด็นที่เฉพาะเจาะจงเกี่ยวกับการใช้ Pi ที่คุณสามารถจัดการได้เช่นการเปลี่ยนรหัสผ่านเริ่มต้นการใช้iptablesงาน ฯลฯ นอกจากนี้เขายังมีลิงก์ไปยังSecuring Debian Manualซึ่งเป็นประโยชน์ ขนาดใหญ่ครอบคลุมได้อย่างเหลือเชื่อและครอบคลุมข้อกังวลหลัก ๆ

เนื่องจากคุณน่าจะเชื่อมต่อกับ Pi ผ่าน SSH ให้พิจารณาการพิสูจน์ตัวตนด้วยคีย์แทนการใช้รหัสผ่าน - ใบรับรอง SSH นั้นแทบจะเป็นไปไม่ได้ที่จะคาดเดาแม้กระทั่งจากผู้โจมตีที่มุ่งมั่นซึ่งแตกต่างจากรหัสผ่านที่อ่อนแอ ดังที่ระบุไว้ในบทความที่เชื่อมโยงดูที่Fail2banซึ่งจะบล็อก IP ผู้ใช้ที่แสดงสัญญาณที่เป็นอันตราย (เช่นเดารหัสผ่านไม่ถูกต้อง)

เกี่ยวกับข้อกังวล DDoS ของคุณ: ถ้ามีคนตัดสินใจที่จะเริ่มการโจมตีแบบ DDoS ต่อPi ของคุณคุณมีโอกาสน้อยมาก การโจมตีบางอย่างสามารถเข้าถึง665 Gbpsซึ่งเป็นไปไม่ได้ที่ Pi ของคุณจะป้องกัน แต่ฉันจะถามคำถามนี้: ทำไมผู้โจมตีถึงต้องการ DDoS Pi ของคุณ ปฏิเสธการบริการอาจจะไม่ให้ประโยชน์มากที่จะให้ผู้โจมตีและจำนวนมากของอุปกรณ์ IOT แทนที่จะถูก hacked จะเข้าร่วมในการโจมตี DDoS

แต่ถ้าคุณมีความหวาดระแวงมากคุณอาจอุปกรณ์บางทีอาจจะเป็นรายการที่อนุญาตที่พี่ของคุณได้รับการคาดหวังว่าจะเชื่อมต่อและก็ปล่อยแพคเก็ตอื่น ๆ iptablesที่มี มันขึ้นอยู่กับคุณที่จะตัดสินใจว่ามันคุ้มค่ากับปัญหาหรือไม่

เกี่ยวกับ DDNS ฉันพบว่าคู่มือของ HowToGeekค่อนข้างชัดเจน - คุณต้องตรวจสอบเราเตอร์ของคุณเพื่อรับการตั้งค่า DDNS และกำหนดค่านั้น NoIP มีภาพหน้าจอสำหรับเราเตอร์รุ่นใหญ่ส่วนใหญ่ คุณน่าจะโชคดีกว่าที่ขอสิ่งนี้แยกต่างหาก (และคุณอาจพบคำตอบสำหรับผู้ใช้ขั้นสูง )

นอกจากคำตอบของ Aurora0001 หากคุณต้องการความคุ้มครองจาก dDoS คุณควรเลือกรับบริการเช่น Cloudflare ช่วยปกป้องคุณจากการโจมตีของ dDoS โดยชี้ระเบียน DNS ของคุณไปยังเซิร์ฟเวอร์และรักษาความปลอดภัยโดเมน / เซิร์ฟเวอร์ของคุณ การป้องกัน DDoS: การปกป้องต้นกำเนิด

ตกลง. ให้ความคิดเห็นจนถึงนี่เป็นวิธีที่ฉันเข้าหา:

1. ตั้งค่า DDNS ผ่านผู้ให้บริการที่มีความสามารถ
2. ตั้งค่า OpenVPN บน PI ของคุณและกำหนดเส้นทางพอร์ต UDP 1194 (หรือพอร์ตใดก็ตามที่คุณตั้งค่าไว้) จากเราเตอร์ไปยัง PI การเชื่อมต่อภายนอกทั้งหมดไปยัง PI ของคุณจะต้องมีไคลเอนต์ OpenVPN ที่ตั้งค่าไว้อย่างถูกต้อง (คุณสามารถใช้โทรศัพท์ได้!)
3. ในฐานะมาตรการรองให้รักษาความปลอดภัยการเข้าถึงขาเข้าของ PI โดยใช้ IPTables เป็นเรื่องยากที่จะทำด้วยมือดังนั้นให้ติดตั้ง Webmin (Debian) เพื่อกำหนดค่า จากที่นี่ค้นหาด้วย Google เพื่อหาวิธีการกำหนดค่า IPTables ของคุณกับ DDOS

คุณอาจชอบ VPN อื่น ๆ แต่ฉันใช้ OpenVPN ประมาณ 10 ปีแล้วเพื่อความยืดหยุ่นอย่างเหลือเชื่อ