¿Cómo proteger Raspberry Pi del ataque en una configuración de IoT conectada a través de una red de banda ancha?

9

La puesta en marcha:

Tengo un Raspberry Pi como el nodo maestro que está conectado a Internet a través de una conexión de banda ancha, el raspberry pi conecta varios sensores y otros microcontroladores. El Pi está continuamente conectado a un servidor en un proveedor de alojamiento en la nube.

Las preguntas son:

  • ¿Cómo evito que usuarios no autorizados accedan a mi Raspberry Pi?
  • ¿Cómo evito un ataque DDoS en la Pi?
  • ¿Cómo y debo usar DDNS (DNS dinámico) para acceder a mi Pi?
security networking raspberry-pi Shakti Phartiyal
fuente
1
Relacionado: Asegurar una pequeña configuración de automatización del hogar . Hay algunos consejos generales allí, que pueden ser de interés.
Aurora0001
3
DDNS no pertenece a la misma pregunta que los otros puntos. Debe hacer una pregunta por pregunta.
Sean Houlihane
¿No hay enrutador?
Xavier J
@codenoir Hay un enrutador netgear
Shakti Phartiyal
Una pregunta más. ¿Tiene que acceder al Pi desde fuera de la red de su hogar u oficina?
Xavier J

Respuestas:

10

La pregunta ' Asegurar la configuración de automatización del hogar pequeña ' proporciona una referencia útil para consejos de seguridad generales, pero también hay algunos pasos específicos que debe seguir para mantener segura su Raspberry Pi.

La respuesta de Steve Robillard a una pregunta sobre Raspberry Pi Stack Exchange describe algunos de los problemas específicos con el uso de un Pi que puede abordar, como cambiar las contraseñas predeterminadas, usar iptables, etc. También se vincula útilmente al Manual de seguridad de Debian , que, aunque muy grande, es increíblemente completo y cubre la mayoría de las principales preocupaciones.

Dado que es probable que se conecte a Pi a través de SSH, considere la autenticación basada en claves en lugar de usar una contraseña: un certificado SSH es prácticamente imposible de adivinar, incluso por un atacante determinado, a diferencia de una contraseña potencialmente débil. Como se señaló en el artículo vinculado, también eche un vistazo a Fail2ban , que bloqueará la IP de cualquier usuario que muestre signos maliciosos (por ejemplo, adivinanzas de contraseña incorrectas).

Con respecto a sus preocupaciones DDoS: si alguien decide lanzar un ataque DDoS contra su Pi , tiene muy pocas posibilidades. Algunos ataques pueden alcanzar hasta 665 Gbps , lo que sería imposible de defender para su Pi. Pero, plantearía esta pregunta: ¿por qué un atacante querría DDoS su Pi? Negar su servicio probablemente no proporcionaría muchos beneficios a un atacante, y muchos dispositivos IoT están siendo pirateados para participar en ataques DDoS .

Sin embargo, si era muy paranoico, tal vez podría incluir en la lista blanca los dispositivos a los que se esperaba que su Pi se conectara, y simplemente descartar cualquier otro paquete iptables. Depende de usted decidir si vale la pena.

Con respecto a DDNS, encuentro que la guía de HowToGeek es bastante clara, esencialmente, debe verificar su enrutador para una configuración de DDNS y configurarla. NoIP tiene capturas de pantalla para la mayoría de los principales modelos de enrutadores. Probablemente tenga más suerte si lo pregunta por separado (y es posible que ya encuentre una respuesta en Superusuario ).

Aurora0001
fuente
1
Si @ShaktiPhartiyal quiere usar el Pi para actualizar el DDNS frente al enrutador, tuve un problema para que el Pi lo hiciera de forma segura. Mi publicación tiene un recorrido vinculado para configurar DDNS y también contiene una respuesta para actualizarla de forma segura.
Shaulinator
@Shaulinator mi enrutador no admite ddns para proveedores de dominio como namecheap
Shakti Phartiyal
@ShaktiPhartiyal, uso dnsdynamic que es gratis. La publicación a la que me vinculé está haciendo que su raspberry pi haga el trabajo para admitir DDNS frente a su enrutador, lo que también debería funcionar en proveedores como namecheap.
Shaulinator
@Shaulinator Gracias por la actualización comprobará lo mismo y te lo
haré
5

Junto con la respuesta de Aurora0001 si desea protección contra dDoS, debe optar por servicios como Cloudflare. Lo protege de ataques dDoS apuntando sus registros DNS a sus servidores y asegurando su dominio / servidor. Prevención DDoS: protección del origen

Amante de IoT
fuente
3
Convenido. Si está preguntando acerca de dDoS, solo debe pagarle a alguien para que implemente la protección por usted.
Sean Houlihane
1
@SeanHoulihane El plan básico es gratis.
IoT Lover
Vale la pena agregar eso a la respuesta.
Sean Houlihane
@IoTLover gracias por la respuesta. Esto, junto con la respuesta de Aurora0001, da una idea lo suficientemente buena.
Shakti Phartiyal
5

Bueno. Teniendo en cuenta los comentarios hasta ahora, así es como lo abordaría:

  1. Configure DDNS a través de cualquier proveedor competente.
  2. Configure OpenVPN en su PI y dirija el puerto UDP 1194 (o el puerto en el que lo configuró) desde el enrutador al PI. Todas las conexiones externas a su PI deberán tener un cliente OpenVPN configurado correctamente (¡incluso podría usar un teléfono!)
  3. Como medida secundaria, asegure el acceso entrante en el PI mediante IPTables. Es muy difícil hacerlo a mano, así que instale Webmin (Debian) para configurarlo. Desde aquí, haga una búsqueda en Google sobre formas de fortalecer su configuración de IPTables contra DDOS.

Es posible que prefiera alguna otra VPN, pero he usado OpenVPN durante aproximadamente 10 años por su increíble flexibilidad.

Xavier J
fuente
Gracias, probará esto con seguridad, el concepto openVPN parece seguro. Por cierto, ¿es útil aws.amazon.com/vpc en mi configuración?
Shakti Phartiyal