Como proteger o Raspberry Pi contra ataques em uma configuração de IoT conectada através de uma rede de banda larga?

9

A instalação:

Eu tenho um Raspberry Pi como o nó principal conectado à Internet através de uma conexão de banda larga, o Rasberry Pi conecta vários sensores e outros microcontroladores. O Pi é conectado continuamente a um servidor em um Cloud Hosting Provider.

As perguntas são:

  • Como faço para impedir que usuários não autorizados acessem meu raspberry Pi?
  • Como evito um ataque DDoS no Pi?
  • Como e devo usar o DDNS (DNS dinâmico) para acessar meu Pi?
Shakti Phartiyal
fonte
11
Relacionado: Protegendo pequenas configurações de automação residencial . Existem algumas dicas gerais, que podem ser interessantes.
Aurora0001
3
O DDNS não pertence à mesma pergunta que os outros pontos. Você deve fazer uma pergunta por pergunta.
Sean Houlihane
Não há roteador ???
Xavier J
@codenoir Existe um roteador de rede
Shakti Phartiyal 16/05
Mais uma pergunta. Você precisa acessar o Pi de fora da sua rede doméstica ou do escritório?
Xavier J

Respostas:

10

A pergunta ' Protegendo a instalação pequena da automação residencial ' fornece uma referência útil para dicas gerais de segurança, mas também existem algumas etapas específicas que você deve seguir para manter seu Raspberry Pi seguro.

A resposta de Steve Robillard a uma pergunta no Raspberry Pi Stack Exchange descreve alguns dos problemas específicos com o uso de um Pi que você pode resolver, como alterar senhas padrão, usar iptablesetc. Ele também fornece links úteis para o Securing Debian Manual , que, embora muito grande, é incrivelmente abrangente e cobre as principais preocupações.

Como você provavelmente estará se conectando ao Pi por SSH, considere a autenticação baseada em chave em vez de usar uma senha - é praticamente impossível adivinhar um certificado SSH, mesmo por um invasor determinado, diferente de uma senha potencialmente fraca. Conforme observado no artigo vinculado, observe também o Fail2ban , que bloqueará o IP de qualquer usuário que mostre sinais maliciosos (por exemplo, suposições incorretas de senha).

Em relação às suas preocupações com DDoS: se alguém decide iniciar um ataque DDoS contra o seu Pi , você tem poucas chances. Alguns ataques podem atingir 665 Gbps , o que seria impossível para o seu Pi se defender. Mas, eu colocaria a seguinte pergunta: por que um invasor deseja fazer DDoS no seu Pi? Negar seu serviço provavelmente não traria muitos benefícios a um invasor, e muitos dispositivos de IoT estão sendo invadidos para participar de ataques DDoS .

No entanto, se você fosse muito paranóico, você poderia dispositivos talvez whitelist que seu Pi foi esperado para se conectar, e simplesmente descartar quaisquer outros pacotes com iptables. Cabe a você decidir se vale a pena.

Com relação ao DDNS, acho o guia do HowToGeek bastante claro - essencialmente, você precisa verificar se há uma configuração de DDNS no roteador e configurá-la. NoIP tem capturas de tela para a maioria dos principais modelos de roteadores. Você provavelmente teria mais sorte em fazer isso separadamente (e você já poderá encontrar uma resposta no Superusuário ).

Aurora0001
fonte
11
Se o @ShaktiPhartiyal quiser usar o Pi para atualizar o DDNS contra o roteador, tive um problema ao fazer o Pi com segurança. Minha postagem apresenta um link para a configuração do DDNS e também contém uma resposta para atualizá-lo com segurança.
Shaulinator 16/05/19
@Shaulinator meu roteador não suporta DDNS para provedores de domínio como namecheap
Shakti Phartiyal
@ ShaktiPhartiyal, eu uso o dnsdynamic, que é gratuito. O post ao qual eu vinculei está fazendo o seu raspberry pi fazer o trabalho para oferecer suporte ao DDNS vs seu roteador, que também deve funcionar em provedores como namecheap.
Shaulinator 16/05/19
@Shaulinator Obrigado pela atualização irá verificar o mesmo e que você saiba ..
Shakti Phartiyal
5

Juntamente com a resposta do Aurora0001, se você deseja proteção contra dDoS, deve optar por serviços como o Cloudflare. Ele protege você contra ataques dDoS, apontando seus registros DNS para seus servidores e protegendo seu domínio / servidor. Prevenção de DDoS: Protegendo a Origem

IoT Lover
fonte
3
Acordado. Se você está perguntando sobre dDoS, basta pagar alguém para implementar a proteção para você.
Sean Houlihane
11
@SeanHoulihane O plano básico é de graça.
IoT Lover
Vale acrescentar isso à resposta.
Sean Houlihane
@IoTLover obrigado pela resposta. Isso, juntamente com a resposta do Aurora0001, fornece uma visão suficientemente boa.
Shakti Phartiyal
5

OK. Dados os comentários até agora, veja como eu abordaria isso:

  1. Configure o DDNS através de qualquer provedor competente.
  2. Configure o OpenVPN no seu PI e roteie a porta 1194 UDP (ou qualquer outra porta em que você o configure) do roteador para o PI. Todas as conexões externas ao seu PI precisam ter um cliente OpenVPN configurado corretamente (você pode até usar um telefone!)
  3. Como medida secundária, proteja o acesso de entrada no PI usando IPTables. É difícil fazer isso manualmente, então instale o Webmin (Debian) para configurá-lo. A partir daqui, faça uma pesquisa no Google sobre maneiras de proteger sua configuração do IPTables no DDOS.

Você pode preferir alguma outra VPN, mas eu uso o OpenVPN há cerca de 10 anos por sua incrível flexibilidade.

Xavier J
fonte
Obrigado, você experimentará isso com certeza, o conceito openVPN parece seguro. A propósito, aws.amazon.com/vpc tem alguma utilidade na minha configuração?
Shakti Phartiyal