Как защитить Raspberry Pi от атаки в настройке IoT, подключенной через широкополосную сеть?

Настройка:

У меня Raspberry Pi в качестве главного узла, который подключен к Интернету через широкополосное соединение, Raspberry Pi соединяет несколько датчиков и других микроконтроллеров. Pi постоянно подключен к серверу у провайдера облачного хостинга.

Вопросы:

• Как я могу запретить неавторизованным пользователям доступ к моему raspberry Pi?
• Как предотвратить DDoS-атаку на Pi?
• Как и как мне использовать DDNS (динамический DNS) для доступа к моему Pi?

Вопрос « Обеспечение безопасности установки для небольших домов » предоставляет полезную справку по общим советам по безопасности, но есть также некоторые конкретные шаги, которые вы должны выполнить, чтобы обеспечить безопасность своего Raspberry Pi.

Ответ Стива Робилларда на вопрос о Raspberry Pi Stack Exchange обрисовывает в общих чертах некоторые специфические проблемы с использованием Pi, к которым вы можете обратиться, например, изменение паролей по умолчанию, использование iptablesи т. Д. Он также полезно ссылки на Руководство по безопасности Debian , которое, хотя и очень большой, невероятно всеобъемлющий и охватывает большинство основных проблем.

Поскольку вы, вероятно, будете подключаться к Pi через SSH, рассмотрите возможность аутентификации на основе ключей вместо использования пароля - сертификат SSH практически невозможно угадать, даже решительным злоумышленником, в отличие от потенциально слабого пароля. Как отмечено в связанной статье, также обратите внимание на Fail2ban , который блокирует IP- адреса любых пользователей, которые показывают вредоносные признаки (например, неверные предположения пароля).

Что касается ваших проблем с DDoS: если кто-то решит начать DDoS-атаку против вашего Pi , у вас очень мало шансов. Некоторые атаки могут достигать 665 Гбит / с , что будет невозможно для защиты вашего Пи. Но я бы поставил вопрос: почему злоумышленник хочет DDoS ваш Pi? Отказ в вашем обслуживании, вероятно, не принесет много пользы злоумышленнику, и вместо этого многие устройства IoT взламываются для участия в DDoS-атаках .

Тем не менее, если вы параноик, вы могли бы , возможно , белый список устройств , что ваш Pi был ожидать подключения и просто удалить любые другие пакеты с iptables. Вам решать, стоит ли это того.

Что касается DDNS, я нахожу руководство HowToGeek довольно ясным - по сути, вам необходимо проверить настройки маршрутизатора на DDNS и настроить его. У NoIP есть скриншоты для большинства основных моделей маршрутизаторов. Вам, вероятно, повезет, если вы спросите об этом отдельно (и вы, возможно, уже найдете ответ в Super User ).

Наряду с ответом Aurora0001, если вы хотите защитить от dDoS, вы должны выбрать такие сервисы, как Cloudflare. Он защищает вас от атак dDoS, направляя ваши записи DNS на их серверы и обеспечивая безопасность вашего домена / сервера. Предотвращение DDoS: защита происхождения

Ладно. Учитывая комментарии до сих пор, вот как я подхожу к этому:

1. Настройте DDNS через любого компетентного поставщика.
2. Настройте OpenVPN на вашем PI и направьте UDP-порт 1194 (или любой другой порт, на котором вы его настроили) от маршрутизатора к PI. Все внешние соединения с вашим PI должны иметь правильно настроенный клиент OpenVPN (вы даже можете использовать телефон!)
3. В качестве дополнительной меры защитите входящий доступ к PI с использованием IPTables. Это неприятно делать вручную, поэтому установите Webmin (Debian) для его настройки. Отсюда выполните поиск в Google, чтобы найти способы защиты вашей конфигурации IPTables от DDOS.

Вы можете предпочесть какой-нибудь другой VPN, но я пользуюсь OpenVPN уже около 10 лет для его невероятной гибкости.