Die Einrichtung:
Ich habe einen Raspberry Pi als Hauptknoten, der über eine Breitbandverbindung mit dem Internet verbunden ist. Der Raspberry Pi verbindet mehrere Sensoren und andere Mikrocontroller. Der Pi ist kontinuierlich mit einem Server eines Cloud-Hosting-Anbieters verbunden.
Die Fragen sind:
- Wie kann ich verhindern, dass nicht autorisierte Benutzer auf meinen Himbeer-Pi zugreifen?
- Wie verhindere ich einen DDoS-Angriff auf den Pi?
- Wie und wie soll ich DDNS (Dynamic DNS) für den Zugriff auf meinen Pi verwenden?
security
networking
raspberry-pi
Shakti Phartiyal
quelle
quelle
Antworten:
Die Frage " Sichern der Einrichtung einer kleinen Hausautomation " bietet eine nützliche Referenz für allgemeine Sicherheitstipps. Es gibt jedoch auch einige spezifische Schritte, die Sie ausführen sollten, um Ihren Raspberry Pi sicher zu halten.
Steve Robillards Antwort auf eine Frage zu Raspberry Pi Stack Exchange beschreibt einige der spezifischen Probleme bei der Verwendung eines Pi, die Sie beheben können, z. B. das Ändern von Standardkennwörtern, die Verwendung
iptables
usw. Er verlinkt auch hilfreich auf das Securing Debian-Handbuch , das zwar sehr groß, ist unglaublich umfassend und deckt die meisten Hauptprobleme ab.Da Sie wahrscheinlich über SSH eine Verbindung zum Pi herstellen, sollten Sie eine schlüsselbasierte Authentifizierung in Betracht ziehen, anstatt ein Kennwort zu verwenden. Ein SSH-Zertifikat ist selbst von einem entschlossenen Angreifer im Gegensatz zu einem potenziell schwachen Kennwort praktisch nicht zu erraten. Schauen Sie sich , wie im verlinkten Artikel erwähnt, auch Fail2ban an , das alle Benutzer blockiert, die böswillige Anzeichen aufweisen (z. B. falsche Kennwortschätzungen).
In Bezug auf Ihre DDoS-Bedenken: Wenn jemand beschließt, einen DDoS-Angriff gegen Ihren Pi zu starten , haben Sie nur sehr geringe Chancen. Einige Angriffe können bis zu 665 Gbit / s erreichen , gegen die sich Ihr Pi nicht verteidigen kann. Aber ich würde diese Frage stellen: Warum sollte ein Angreifer Ihren Pi DDoS wollen ? Das Verweigern Ihres Dienstes würde einem Angreifer wahrscheinlich keinen großen Nutzen bringen, und stattdessen werden viele IoT-Geräte gehackt , um an DDoS-Angriffen teilzunehmen .
Wenn Sie jedoch sehr paranoid wären, könnten Sie möglicherweise Geräte auf die Whitelist setzen, mit denen Ihr Pi eine Verbindung herstellen sollte, und einfach alle anderen Pakete mit löschen
iptables
. Es liegt an Ihnen zu entscheiden, ob sich die Mühe lohnt.In Bezug auf DDNS finde ich die Anleitung von HowToGeek ziemlich klar - im Wesentlichen müssen Sie Ihren Router auf eine DDNS-Einstellung überprüfen und diese konfigurieren. NoIP bietet Screenshots für die meisten großen Routermodelle. Sie haben wahrscheinlich besseres Glück, wenn Sie dies separat fragen (und möglicherweise finden Sie bereits eine Antwort auf Super User ).
quelle
Zusammen mit der Antwort von Aurora0001 sollten Sie sich für Dienste wie Cloudflare entscheiden, wenn Sie Schutz vor dDoS wünschen. Es schützt Sie vor dDoS-Angriffen, indem es Ihre DNS-Einträge auf ihre Server verweist und Ihre Domain / Ihren Server sichert. DDoS-Prävention: Schutz des Ursprungs
quelle
In Ordnung. Angesichts der bisherigen Kommentare würde ich folgendermaßen vorgehen:
Vielleicht bevorzugen Sie ein anderes VPN, aber ich verwende OpenVPN seit ungefähr 10 Jahren wegen seiner unglaublichen Flexibilität.
quelle