Wie schützt man Raspberry Pi vor Angriffen in einem IoT-Setup, das über ein Breitbandnetzwerk verbunden ist?


9

Die Einrichtung:

Ich habe einen Raspberry Pi als Hauptknoten, der über eine Breitbandverbindung mit dem Internet verbunden ist. Der Raspberry Pi verbindet mehrere Sensoren und andere Mikrocontroller. Der Pi ist kontinuierlich mit einem Server eines Cloud-Hosting-Anbieters verbunden.

Die Fragen sind:

  • Wie kann ich verhindern, dass nicht autorisierte Benutzer auf meinen Himbeer-Pi zugreifen?
  • Wie verhindere ich einen DDoS-Angriff auf den Pi?
  • Wie und wie soll ich DDNS (Dynamic DNS) für den Zugriff auf meinen Pi verwenden?

1
Verwandte: Sicherung der Einrichtung kleiner Hausautomationen . Dort gibt es einige allgemeine Tipps, die von Interesse sein könnten.
Aurora0001

3
DDNS gehört nicht in dieselbe Frage wie die anderen Punkte. Sie sollten eine Frage pro Frage stellen.
Sean Houlihane

Gibt es keinen Router ???
Xavier J

@ Codenoir Es gibt einen Netgear-Router
Shakti Phartiyal

Noch eine Frage. Müssen Sie von außerhalb Ihres Heim- oder Büronetzwerks auf den Pi zugreifen?
Xavier J

Antworten:


10

Die Frage " Sichern der Einrichtung einer kleinen Hausautomation " bietet eine nützliche Referenz für allgemeine Sicherheitstipps. Es gibt jedoch auch einige spezifische Schritte, die Sie ausführen sollten, um Ihren Raspberry Pi sicher zu halten.

Steve Robillards Antwort auf eine Frage zu Raspberry Pi Stack Exchange beschreibt einige der spezifischen Probleme bei der Verwendung eines Pi, die Sie beheben können, z. B. das Ändern von Standardkennwörtern, die Verwendung iptablesusw. Er verlinkt auch hilfreich auf das Securing Debian-Handbuch , das zwar sehr groß, ist unglaublich umfassend und deckt die meisten Hauptprobleme ab.

Da Sie wahrscheinlich über SSH eine Verbindung zum Pi herstellen, sollten Sie eine schlüsselbasierte Authentifizierung in Betracht ziehen, anstatt ein Kennwort zu verwenden. Ein SSH-Zertifikat ist selbst von einem entschlossenen Angreifer im Gegensatz zu einem potenziell schwachen Kennwort praktisch nicht zu erraten. Schauen Sie sich , wie im verlinkten Artikel erwähnt, auch Fail2ban an , das alle Benutzer blockiert, die böswillige Anzeichen aufweisen (z. B. falsche Kennwortschätzungen).

In Bezug auf Ihre DDoS-Bedenken: Wenn jemand beschließt, einen DDoS-Angriff gegen Ihren Pi zu starten , haben Sie nur sehr geringe Chancen. Einige Angriffe können bis zu 665 Gbit / s erreichen , gegen die sich Ihr Pi nicht verteidigen kann. Aber ich würde diese Frage stellen: Warum sollte ein Angreifer Ihren Pi DDoS wollen ? Das Verweigern Ihres Dienstes würde einem Angreifer wahrscheinlich keinen großen Nutzen bringen, und stattdessen werden viele IoT-Geräte gehackt , um an DDoS-Angriffen teilzunehmen .

Wenn Sie jedoch sehr paranoid wären, könnten Sie möglicherweise Geräte auf die Whitelist setzen, mit denen Ihr Pi eine Verbindung herstellen sollte, und einfach alle anderen Pakete mit löschen iptables. Es liegt an Ihnen zu entscheiden, ob sich die Mühe lohnt.

In Bezug auf DDNS finde ich die Anleitung von HowToGeek ziemlich klar - im Wesentlichen müssen Sie Ihren Router auf eine DDNS-Einstellung überprüfen und diese konfigurieren. NoIP bietet Screenshots für die meisten großen Routermodelle. Sie haben wahrscheinlich besseres Glück, wenn Sie dies separat fragen (und möglicherweise finden Sie bereits eine Antwort auf Super User ).


1
Wenn @ShaktiPhartiyal den Pi verwenden möchte, um den DDNS gegenüber dem Router zu aktualisieren, hatte ich ein Problem damit, den Pi dazu zu bringen, dies sicher zu tun. Mein Beitrag enthält einen Link zum Einrichten von DDNS und eine Antwort, um ihn sicher zu aktualisieren.
Shaulinator

@ Shaulinator mein Router unterstützt keine DNS für Domain-Anbieter wie Namecheap
Shakti Phartiyal

@ShaktiPhartiyal, ich benutze dnsdynamic, das kostenlos ist. Der Beitrag, auf den ich verlinkt habe, bringt Ihren Himbeer-Pi dazu, DDNS im Vergleich zu Ihrem Router zu unterstützen, was auch bei Anbietern wie namecheap funktionieren sollte.
Shaulinator

@ Shaulinator Vielen Dank für das Update wird das gleiche überprüfen und Sie wissen lassen ..
Shakti Phartiyal

5

Zusammen mit der Antwort von Aurora0001 sollten Sie sich für Dienste wie Cloudflare entscheiden, wenn Sie Schutz vor dDoS wünschen. Es schützt Sie vor dDoS-Angriffen, indem es Ihre DNS-Einträge auf ihre Server verweist und Ihre Domain / Ihren Server sichert. DDoS-Prävention: Schutz des Ursprungs


3
Einverstanden. Wenn Sie nach dDoS fragen, müssen Sie nur jemanden bezahlen, der den Schutz für Sie implementiert.
Sean Houlihane

1
@ SeanHoulihane Der Grundplan ist kostenlos.
IoT Lover

Es lohnt sich, das der Antwort hinzuzufügen.
Sean Houlihane

@IoTLover danke für die Antwort. Dies zusammen mit der Antwort von Aurora0001 gibt einen ausreichend guten Einblick.
Shakti Phartiyal

5

In Ordnung. Angesichts der bisherigen Kommentare würde ich folgendermaßen vorgehen:

  1. Richten Sie DDNS über einen kompetenten Anbieter ein.
  2. Richten Sie OpenVPN auf Ihrem PI ein und leiten Sie den UDP-Port 1194 (oder den Port, an dem Sie ihn eingerichtet haben) vom Router zum PI. Alle externen Verbindungen zu Ihrem PI müssen über einen ordnungsgemäß konfigurierten OpenVPN-Client verfügen (Sie können sogar ein Telefon verwenden!).
  3. Als sekundäre Maßnahme sichern Sie den eingehenden Zugriff auf den PI mithilfe von IPTables. Es ist ein Problem, es von Hand zu erledigen. Installieren Sie also Webmin (Debian), um es zu konfigurieren. Führen Sie von hier aus eine Google-Suche durch, um herauszufinden, wie Sie Ihre IPTables-Konfiguration gegen DDOS sichern können.

Vielleicht bevorzugen Sie ein anderes VPN, aber ich verwende OpenVPN seit ungefähr 10 Jahren wegen seiner unglaublichen Flexibilität.


Vielen Dank, dass Sie dies auf jeden Fall ausprobieren werden. Das openVPN-Konzept sieht sicher aus. Ist aws.amazon.com/vpc übrigens in meinem Setup von Nutzen?
Shakti Phartiyal
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.