एक ब्रॉडबैंड नेटवर्क के माध्यम से जुड़े IoT सेटअप में रास्पबेरी पाई को हमले से कैसे बचाया जाए?

9

स्थापित करना:

मेरे पास रास्पबेरी पाई है क्योंकि मास्टर नोड जो एक ब्रॉडबैंड कनेक्शन के माध्यम से इंटरनेट से जुड़ा है, रास्पबेरी पीआई कई सेंसर और अन्य माइक्रोकंट्रोलर को जोड़ता है। क्लाउड होस्टिंग प्रोवाइडर पर पाई लगातार सर्वर से जुड़ी रहती है।

प्रश्न हैं:

  • मैं अनधिकृत उपयोगकर्ताओं को अपने रास्पबेरी पाई तक पहुंचने से कैसे रोकूं?
  • मैं पाई पर DDoS हमले को कैसे रोकूं?
  • अपने पाई तक पहुंचने के लिए मुझे डीडीएनएस (डायनामिक डीएनएस) का उपयोग कैसे और कैसे करना चाहिए?
security  networking  raspberry-pi 
शक्ति फलतियाल
स्रोत
1
संबंधित: छोटे घर स्वचालन सेटअप सुरक्षित करना । वहाँ कुछ सामान्य सुझाव हैं, जो ब्याज की हो सकती है।
Aurora0001
3
DDNS अन्य बिंदुओं के समान प्रश्न में नहीं है। आपको प्रति प्रश्न एक प्रश्न पूछना चाहिए।
सीन होलीहेन
क्या कोई राउटर नहीं है ???
जेवियर
@ कोडीनोयर एक नेटगियर राउटर है
शक्ति फरियाल
एक और प्रश्न। क्या आपको अपने घर या कार्यालय नेटवर्क के बाहर से पाई का उपयोग करना है?
जेवियर

जवाबों:

10

प्रश्न ' सिक्योरिंग स्मॉल होम ऑटोमेशन सेटअप ' सामान्य सुरक्षा युक्तियों के लिए एक उपयोगी संदर्भ प्रदान करता है, लेकिन ऐसे कुछ विशिष्ट चरण भी हैं जिनका आपको अपने रास्पबेरी पाई को सुरक्षित रखने के लिए अनुसरण करना चाहिए।

रास्पबेरी पाई स्टैक एक्सचेंज पर एक सवाल के जवाब में स्टीव रोबिलार्ड ने पाई का उपयोग करते हुए कुछ विशिष्ट मुद्दों की रूपरेखा तैयार की, जैसे कि आप डिफ़ॉल्ट पासवर्ड बदलते हुए iptables, उपयोग कर सकते हैं , आदि। वह मदद करने वाले डेबियन मैनुअल के लिंक की भी मदद करता है , जो हालांकि बहुत बड़ा, अविश्वसनीय रूप से व्यापक है, और सबसे प्रमुख चिंताओं को शामिल करता है।

चूँकि आप संभवतः SSH के माध्यम से Pi से जुड़ रहे होंगे, एक पासवर्ड का उपयोग करने के बजाय कुंजी-आधारित प्रमाणीकरण पर विचार करें - एक SSH प्रमाणपत्र संभावित रूप से कमजोर पासवर्ड के विपरीत, निर्धारित हमलावर द्वारा भी अनुमान लगाना असंभव है। जैसा कि लिंक किए गए लेख में कहा गया है, Fail2ban पर भी एक नज़र डालें , जो दुर्भावनापूर्ण संकेत (उदाहरण के लिए गलत पासवर्ड अनुमान) दिखाने वाले किसी भी उपयोगकर्ता को आईपी ब्लॉक करेगा।

अपनी DDoS चिंताओं के बारे में: यदि कोई आपके Pi के खिलाफ DDoS हमले शुरू करने का फैसला करता है , तो आप बहुत कम मौका देते हैं। कुछ हमले 665 Gbps तक पहुंच सकते हैं , जो आपके Pi के खिलाफ बचाव के लिए असंभव होगा। : लेकिन, मैं इस सवाल पैदा होता है कि क्यों एक हमलावर होगा चाहते DDoS अपने पाई के लिए? आपको सेवा से वंचित करना शायद किसी हमलावर को अधिक लाभ नहीं देगा, और बहुत सारे IoT उपकरणों को डीडीओएस हमलों में भाग लेने के लिए हैक किया जा रहा है ।

फिर भी, यदि आप बहुत अधिक पागल थे, तो आप शायद ऐसे श्वेतसूची वाले उपकरण ले सकते थे जिनसे आपके पाई को जुड़ने की उम्मीद थी , और बस किसी भी अन्य पैकेट को छोड़ दें iptables। यह तय करना आपके ऊपर है कि क्या परेशानी के लायक है।

DDNS के बारे में, मुझे पता है कि HowToGeek की गाइड काफी स्पष्ट है- अनिवार्य रूप से, आपको DDNS सेटिंग के लिए अपने राउटर की जांच करनी होगी, और उसे कॉन्फ़िगर करना होगा। अधिकांश प्रमुख राउटर मॉडल के लिए NoIP में स्क्रीनशॉट हैं। आपके पास शायद अलग से यह पूछने के लिए बेहतर भाग्य होगा (और आप पहले से ही सुपर उपयोगकर्ता पर एक उत्तर पा सकते हैं )।

ऑरोरा 0001
स्रोत
1
यदि @ShaktiPhartiyal डीडीएनएस बनाम राउटर को अपडेट करने के लिए पाई का उपयोग करना चाहता है, तो मुझे एक मुद्दा मिल गया था ताकि पाई को सुरक्षित रूप से किया जा सके। मेरी पोस्ट में DDNS की स्थापना के लिए लिंक के माध्यम से एक चलना है और इसमें सुरक्षित रूप से अपडेट करने का उत्तर भी शामिल है।
Shaulinator
@ शॉलिनेटर मेरा राउटर डोमेन प्रदाताओं जैसे नामचर्चा के लिए ddns का समर्थन नहीं करता है
शक्ति पूर्ति
@ शांतिप्रतिशील, मैं dnsdynamic का उपयोग करता हूं जो मुफ़्त है। मैं जिस पोस्ट से जुड़ा हूं वह आपके रास्पबेरी पाई को डीडीएनएस बनाम आपके राउटर का समर्थन करने के लिए काम कर रहा है, जो कि नामचपे जैसे प्रदाताओं पर भी काम करना चाहिए।
शालिनेटर
@Shaulinator अपडेट के लिए धन्यवाद, आप उसी की जांच करेंगे और आपको बताएंगे ..
शक्ति पूर्ति
5

अरोड़ा 0001 के जवाब के साथ अगर आप dDoS से सुरक्षा चाहते हैं तो आपको Cloudflare जैसी सेवाओं का विकल्प चुनना चाहिए। यह आपके डीएनएस रिकॉर्ड को उनके सर्वर पर इंगित करके और आपके डोमेन / सर्वर को सुरक्षित करके dDoS हमलों से बचाता है। DDoS रोकथाम: मूल की रक्षा

IoT प्रेमी
स्रोत
3
माना। यदि आप dDoS के बारे में पूछ रहे हैं, तो आपको केवल आपके लिए सुरक्षा को लागू करने के लिए किसी को भुगतान करने की आवश्यकता है।
सीन होलीहेन
1
@ सीनहालीहेन मूल योजना मुफ्त में है।
IoT प्रेमी
जवाब में कहा कि वर्थ।
शॉन हुलिएन
@IoTLover जवाब के लिए धन्यवाद। अरोरा 0001 के उत्तर के साथ यह एक अच्छी जानकारी देता है।
शक्ति फलतिया
5

ठीक है। अब तक की टिप्पणियों को देखते हुए, यहां बताया गया है कि मैं इसे कैसे देखूंगा:

  1. किसी भी सक्षम प्रदाता के माध्यम से डीडीएनएस सेट अप करें।
  2. अपने PI पर OpenVPN सेट करें, और रूटर से PI तक UDP पोर्ट 1194 (या जो भी पोर्ट आप इसे स्थापित करते हैं) रूट करें। आपके PI के सभी बाहरी कनेक्शनों के लिए एक ठीक से कॉन्फ़िगर किया गया OpenVPN क्लाइंट होना चाहिए (आप एक फ़ोन का उपयोग भी कर सकते हैं!)
  3. द्वितीयक उपाय के रूप में, IPTables का उपयोग करके PI पर इनबाउंड एक्सेस को सुरक्षित करें। यह हाथ से करने के लिए बट में दर्द है, इसलिए इसे कॉन्फ़िगर करने के लिए वेबमिन (डेबियन) स्थापित करें। यहां से, डीडीओएस के खिलाफ अपने IPTables कॉन्फ़िगरेशन को सख्त करने के तरीकों पर एक Google खोज करें।

आप कुछ अन्य वीपीएन पसंद कर सकते हैं, लेकिन मैंने अपने अविश्वसनीय लचीलेपन के लिए लगभग 10 वर्षों के लिए ओपनवीपीएन का उपयोग किया है।

जेवियर जे
स्रोत
धन्यवाद, यह सुनिश्चित करने के लिए बाहर की कोशिश करेंगे, OpenVPN अवधारणा सुरक्षित दिखती है। वैसे मेरे सेटअप में किसी भी उपयोग के aws.amazon.com/vpc है?
शक्ति फलतिया
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.