Was sind die besten Sicherheitsmethoden zum Sichern einer Remote-IoT-Kamera?

27

Ich habe ein bisschen Hausautomation betrieben, beispielsweise eine Remote-Kamera erstellt, die über SSH lokal eingeschaltet werden kann und Bilder auf einem Raspberry Pi-Linux-Server veröffentlicht.

Ich bin jedoch gespannt, welche Protokolle am besten eingehalten werden, wenn sich Ihre Sicherheit hinter einem Router befindet. Ich habe Dinge wie Putty verwendet und Ports geöffnet, damit ich hinein tunneln kann, aber ich kann mir nicht vorstellen, dass dies die sichersten Methoden sind.

Ich frage mich, welche Protokolle / Tools für den Fernzugriff auf ein Heimserversystem am besten geeignet sind.

Trevor J. Smith
quelle
Können Sie den Image-Stream verschlüsseln?
tbm0115
@ tbm0115 Ich habe physischen Zugriff auf das Gerät. Das technische Know-how, nicht so sehr. Ich lerne immernoch.
Trevor J. Smith
4
Idealerweise würde Ihre Kamera den Bildstrom verschlüsseln und eine Anwendung auf einem gesicherten Gerät im Netzwerk würde ihn entschlüsseln. Alternativ / Zusätzlich können Sie möglicherweise ein separates Netzwerk oder ein Subnetz in Ihrem Netzwerk einrichten, um Ihre IoT-Geräte von diesem Bereich des Netzwerks aus auszuführen und zusätzliche Sicherheit zu bieten.
tbm0115
Das macht sehr viel Sinn. Auf jeden Fall eine Aufführung wert, wenn ich dem Mix ein paar weitere Geräte hinzufügen möchte. Vielen Dank.
Trevor J. Smith
1
Diese Frage ist unglaublich weit. Vor allem Ihr Titel - in Anbetracht der Körper, ich denke, Sie sind speziell über die Netzwerksicherheit besorgt ? Es hängt jedoch davon ab, welche Art von Netzwerkkonnektivität Ihre Anwendung benötigt.
Gilles 'SO- hör auf böse zu sein'

Antworten:

18

PuTTY ist eigentlich ziemlich sicher - die Sitzung selbst ist verschlüsselt. Das ist ein Teil dessen, was SSH Ihnen "out of the box" gibt. Ich mache eine Menge solcher Dinge selbst und hier sind ein paar wichtige Punkte, die ich vorschlagen würde:

  • Öffnen Sie Port 22 nicht für die Welt - konfigurieren Sie Ihren SSH-Server so, dass er einen nicht standardmäßigen Port (z. B. 22022 oder 2222) auf Ihrer WAN-Schnittstelle überwacht
  • Authentifizierung erforderlich, um auf Webseiten mit Ihren Sicherheitsabbildern zuzugreifen. Auch wenn dies ein einfaches HTTP-AUTH unter Verwendung von .htaccess-Dateien ist, ist es besser als nichts.
  • Verwenden Sie SSL, um mit Webservern zu kommunizieren, auch wenn diese sich hinter Ihrem Router befinden
  • Verwenden Sie OpenVPN oder eine andere VPN-Technologie, um von irgendetwas außerhalb Ihres Routers zu Ihren Heimcomputern zu gelangen. Dadurch ist kein direkter SSH-Zugriff mehr erforderlich, obwohl ich in der Regel direkten SSH-Zugriff für den Fall möchte, dass die VPN-Dienste ausfallen.
John
quelle
Dies setzt voraus, dass das OP Windows verwendet.
Kenorb
1
Nein, tut es nicht. Die obigen Empfehlungen gelten für jedes Betriebssystem, nicht nur für Windows.
John
Putty ist nur ein SSH-Client für Windows. Wenn Sie es in SSH umformulieren und Putty als Beispiel für einen SSH-Client angeben können, klingt dies besser.
Kenorb
1
Der einzige Hinweis auf PuTTY ist der erste Satz. Alles andere bezieht sich auf SSH, wie ich es meinte.
John
14

Die anderen Antworten decken viele der Technologien ab, mit denen Sie Ihr System schützen können. Hier sind einige allgemeinere Gedanken / Philosophien.

  1. Eine DMZ ist Ihr Freund - In fast allen Fällen, in denen Sie einen Dienst in einem externen Netzwerk haben, ist eine DMZ (siehe a.) Von großem Vorteil. In diesem Fall wird sowohl die Angriffsfläche als auch der Schaden minimiert. Indem Sie die Anzahl der Geräte in der DMZ auf diejenigen beschränken, die externen Zugriff benötigen, begrenzen Sie die Angriffsfläche. Die DMZ erschwert außerdem den Zugriff auf Ihr Kernnetzwerk und minimiert so den Schaden.
  2. Whitelist, keine Blacklist - Standardmäßig sollten alle Protokolle, Ports und internen Verbindungen standardmäßig blockiert sein. Diese Blockierung sollte im Gerät (wenn möglich), in der Firewall und im Router eingerichtet werden. Aktivieren Sie nur Optionen, die Sie aktiv verwenden, und nur für die Geräte, die eine benötigen. Wenn Sie ein Protokoll für ein schwaches IoT-Gerät kennen und verwenden müssen (z. B. Geräte, die von Mirai betroffen sind), sollten Sie ein Gerät (z. B. ein RaspberryPi) als Relais einrichten. Sie isolieren das Gerät vollständig vom Netzwerk und kommunizieren nur über ein sicheres Protokoll (ssh, vpn usw.), das der RaspberryPi in das vom Gerät benötigte Protokoll umwandelt.

AstroDan
quelle
2

SSH ist ein vernünftiger Ausgangspunkt. Es ist wichtig, dass Sie TLS-Verschlüsselung verwenden. Die Verwendung von Putty für den SSH-Zugriff ist eine Möglichkeit, dies zu erreichen. Ein VPN ist ein anderes. Was wirklich wichtig ist, ist, dass Sie starke Paspel oder Schlüssel verwenden, um auf die Geräte in Ihrem Netzwerk zuzugreifen, und dass Sie die Gateway-Geräte auf dem neuesten Stand halten.

Die Verwendung eines nicht standardmäßigen Anschlusses ist sinnvoll, trägt jedoch nicht zur Sicherung Ihres Netzwerks bei, wenn Sie Ihr Gerät mit einem Standardkennwort (oder einem allgemeinen Kennwort) verlassen.

Wenn Sie Remotezugriff wünschen, benötigen Sie einen offenen Port, um SSH (oder etwas sehr Ähnliches) weiterzuleiten. Wenn Sie der Sicherheitsimplementierung der Kamera nicht vertrauen (dh das letzte Firmware-Update war vor etwa 6 Monaten abgeschlossen), müssen Sie ein VPN verwenden, um ein isoliertes Netzwerksegment für diese Kamera zu erstellen. Wenn es über WLAN und eine alte Firmware verfügt, ist es möglicherweise auch offen und öffentlich (zumindest für Personen in physischer Nähe).

Sean Houlihane
quelle