दूरस्थ IoT कैमरा को सुरक्षित करने के लिए सर्वोत्तम सुरक्षा प्रथाएं क्या हैं?

27

मैंने थोड़ा होम ऑटोमेशन किया है जैसे कि एक रिमोट कैमरा बनाना जो स्थानीय स्तर पर एसएसएच के माध्यम से चालू किया जा सकता है और रास्पबेरी पाई रन लिनक्स सर्वर पर चित्र प्रकाशित करता है।

मैं उत्सुक हूं, हालांकि, जब आपकी सुरक्षा एक राउटर के पीछे होती है, तो प्रोटोकॉल का सबसे अच्छा पालन किया जाता है। मैंने पोटीन और खोले गए पोर्ट जैसी चीजों का उपयोग किया है ताकि मैं सुरंग बना सकूं लेकिन मुझे नहीं लगता कि ये सबसे सुरक्षित तरीके हैं।

मैं सोच रहा हूं कि किसी होम सर्वर सिस्टम को दूरस्थ रूप से एक्सेस करते समय कौन से प्रोटोकॉल / उपकरण का उपयोग किया जाता है।

smart-home  security  raspberry-pi 
ट्रेवर जे स्मिथ
स्रोत
क्या आपके पास छवि स्ट्रीम को एन्क्रिप्ट करने की क्षमता है?
tbm0115
@ tbm0115 मेरे पास डिवाइस की भौतिक पहुंच है। तकनीकी पता है कि कैसे, इतना नहीं है। मैं अभी भी सीख रहा हूँ।
ट्रेवर जे। स्मिथ
4
आदर्श रूप से, मुझे लगता है कि आपका कैमरा छवि स्ट्रीम को एन्क्रिप्ट करेगा और नेटवर्क में एक सुरक्षित डिवाइस पर एक एप्लिकेशन इसे डिक्रिप्ट करेगा। वैकल्पिक रूप से / इसके साथ ही, आप अपने IoT उपकरणों को चलाने और नेटवर्क के उस क्षेत्र में अतिरिक्त सुरक्षा जोड़ने के लिए संभावित रूप से एक अलग नेटवर्क या आपके नेटवर्क में सबनेट सेटअप कर सकते हैं।
tbm0115
यह काफी काम की बात है। निश्चित रूप से प्रदर्शन के लायक है अगर मैं मिश्रण में कुछ और डिवाइस जोड़ना चाहता हूं। धन्यवाद।
ट्रेवर जे। स्मिथ
1
यह सवाल अविश्वसनीय रूप से व्यापक है। विशेष रूप से आपके शीर्षक - शरीर को देखते हुए, मुझे लगता है कि आप विशेष रूप से नेटवर्क सुरक्षा के बारे में चिंतित हैं ? फिर भी, यह निर्भर करता है कि आपके एप्लिकेशन को किस तरह के नेटवर्क कनेक्टिविटी की आवश्यकता है।
गिल्स एसओ- बुराई को रोकना '

जवाबों:

18

पुट्टी वास्तव में काफी सुरक्षित है - सत्र ही एन्क्रिप्ट किया गया है। यह एसएसएच आपको "आउट ऑफ द बॉक्स" देता है। मैं खुद इस प्रकार की बहुत सारी चीजें करता हूं, और यहां कुछ हिट-प्वाइंट हैं जो मैं सुझाऊंगा:

  • पोर्ट 22 को दुनिया के लिए मत खोलो - अपने WAN इंटरफ़ेस पर एक गैर-मानक पोर्ट (जैसे 22022 या 2222) को सुनने के लिए अपने SSH सर्वर को कॉन्फ़िगर करें
  • अपनी सुरक्षा छवियों के साथ किसी भी वेब पेज पर जाने के लिए प्रमाणीकरण की आवश्यकता होती है। भले ही यह .htaccess फ़ाइलों का उपयोग करके सरल HTTP-AUTH है, यह कुछ भी नहीं से बेहतर है।
  • वेब सर्वर से बात करने के लिए एसएसएल का उपयोग करें, भले ही वे आपके राउटर के पीछे हों
  • अपने राउटर के बाहर किसी भी चीज़ से अपने घर की मशीनों को प्राप्त करने के लिए ओपन वीपीएन या किसी अन्य वीपीएन तकनीक का उपयोग करें। प्रत्यक्ष एसएसएच पहुंच की आवश्यकता को कम करता है, हालांकि मैं आमतौर पर वीपीएन सेवाओं के विफल होने पर सीधे एसएसएच को उपलब्ध रखना पसंद करता हूं।
जॉन
स्रोत
यह मानता है कि OP Windows का उपयोग कर रहा है।
केनोरब
1
नहीं, यह नहीं है। उपरोक्त सिफारिशें किसी भी ओएस के लिए हैं, न कि केवल विंडोज के लिए।
जॉन
पुट्टी केवल विंडोज के लिए एक एसएसएच क्लाइंट है। यदि आप इसे SSH को रीफ़्रेज़ कर सकते हैं और पोट्टी को उदाहरण के रूप में SSH क्लाइंट दे सकते हैं, तो बेहतर लगेगा।
केनोरब
1
PuTTY का एकमात्र संदर्भ पहला वाक्य है। बाकी सब कुछ एसएसएच का संदर्भ देता है, जैसा कि मेरा मतलब था।
जॉन
14

अन्य उत्तर बहुत सारी तकनीकों को कवर करते हैं जिनका उपयोग आप अपने सिस्टम की सुरक्षा के लिए कर सकते हैं। यहाँ कुछ और सामान्य विचार / दर्शन दिए गए हैं।

  1. एक डीएमजेड आपका मित्र है - लगभग हर मामले में जहां आपके पास बाहरी नेटवर्क डीएमजेड (देखें।) का सामना करने वाली सेवा है, बहुत फायदेमंद होगी। इस मामले में यह दोनों हमले की सतह को कम करेगा और नुकसान को कम करेगा। DMZ में उपकरणों की संख्या को केवल उन लोगों तक सीमित करके, जिन्हें बाहरी पहुंच की आवश्यकता होती है, आप हमले की सतह को सीमित करते हैं। साथ ही डीएमजेड किसी को भी आपके मुख्य नेटवर्क तक पहुंचने के लिए बहुत कठिन बना देगा, इस प्रकार नुकसान को कम करेगा।
  2. श्वेतसूची, ब्लैकलिस्ट न करें - डिफ़ॉल्ट रूप से प्रत्येक एकल प्रोटोकॉल, पोर्ट और आंतरिक कनेक्शन को डिफ़ॉल्ट रूप से अवरुद्ध किया जाना चाहिए। यह अवरुद्ध करना डिवाइस में सेटअप होना चाहिए (यदि संभव हो), फ़ायरवॉल और राउटर। केवल उन विकल्पों को सक्षम करें, जिनका आप सक्रिय रूप से उपयोग कर रहे हैं और केवल उन्हीं उपकरणों के लिए जिनकी आवश्यकता है। यदि आप जानते हैं और एक IoT डिवाइस के लिए एक प्रोटोकॉल का उपयोग करना चाहिए जो कमजोर है (उदाहरण के उपकरण जो मिराई से प्रभावित हैं) तो आपको रिले के रूप में कार्य करने के लिए एक डिवाइस (रास्पबेरीपी की तरह) सेटअप करना चाहिए। आप डिवाइस को नेटवर्क से पूरी तरह से अलग कर देते हैं और केवल एक सुरक्षित प्रोटोकॉल (ssh, vpn आदि) के माध्यम से उसके साथ संचार करते हैं, जो कि रास्पबेरीपीई प्रोटोकॉल में बदल देता है जिसे डिवाइस की आवश्यकता होती है।
AstroDan
स्रोत
2

SSH एक उचित प्रारंभिक बिंदु है, इसका आवश्यक है कि आप TLS एन्क्रिप्शन का उपयोग करें, और ssh एक्सेस के लिए पोटीन का उपयोग करना इसे प्राप्त करने का एक तरीका है। एक वीपीएन दूसरा है। यह वास्तव में महत्वपूर्ण है कि आप अपने नेटवर्क के भीतर उपकरणों का उपयोग करने के लिए मजबूत पेसफ्रीज़ या कुंजियों का उपयोग करें, और यह कि आप गेटवे उपकरणों को अप-टू-डेट रखते हैं।

एक गैर-मानक पोर्ट का उपयोग करना समझदारी है, लेकिन अपने नेटवर्क को सुरक्षित करने के लिए कुछ भी नहीं करता है यदि आप अपने डिवाइस को डिफ़ॉल्ट (या सामान्य) पासवर्ड के साथ छोड़ देते हैं।

यदि आप दूरस्थ पहुँच चाहते हैं, तो आपको SSH (या कुछ समान) को अग्रेषित करने के लिए एक बंदरगाह खुला होना चाहिए। यदि आपको कैमरे पर सुरक्षा कार्यान्वयन पर भरोसा नहीं है (यानी यह अंतिम फर्मवेयर अपडेट लगभग 6 महीने पहले खत्म हो गया था), तो आपको इसके लिए एक अलग नेटवर्क सेगमेंट बनाने के लिए वीपीएन का उपयोग करने की आवश्यकता है। यदि इसमें वाईफाई और पुराना फर्मवेयर है, तो यह व्यापक रूप से खुला और सार्वजनिक हो सकता है (कम से कम भौतिक निकटता में किसी के लिए)।

सीन होलीहेन
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.