Comment éviter la redirection de port lorsque j'expose des appareils IoT à Internet externe?

J'ai reçu de bonnes réponses à la question De quoi ai-je besoin pour créer mon propre cloud personnel pour les appareils IoT? et l'une des choses que j'ai comprises à partir de là, c'est que je dois «exposer» mon HUB ou PASSERELLE à Internet externe. La solution proposée pour cela est la redirection de port .

J'ai créé cela comme une question distincte car il serait difficile de suivre correctement juste avec des commentaires sur toutes les réponses, quelqu'un pourrait se perdre un peu. De plus, ces informations peuvent être utiles pour une personne ayant une question similaire.

Je n'aime pas l'idée de devoir aller dans la configuration de mon routeur et de configurer la redirection de port car cela signifie que je dois configurer un appareil qui, bien qu'il fasse partie de l'infrastructure IoT, ne fait pas partie de "mes" appareils. Il doit perturber le moins possible le réseau domestique déjà existant. De plus, j'ai eu des cas où je ne connais pas le mot de passe administrateur d'un routeur particulier et il a été très difficile de l'obtenir.

Je suis sûr qu'il existe un moyen de contourner cela, même si cela signifie avoir un hub IoT plus puissant peut-être exécutant Linux, je ne sais tout simplement pas ce que cela pourrait être. Il est OK d'avoir un HUB un peu plus complexe si cette manière "alternative" permet d'éviter cette configuration de redirection de port.

Je dis que je suis sûr qu'il existe un moyen de penser que des applications comme Team Viewer n'ont pas besoin de configurer la redirection de port.

La question est donc la suivante: quelqu'un connaît-il un moyen «d'exposer» un appareil embarqué IoT à Internet externe afin d'y accéder de n'importe où dans le monde qui n'implique pas la redirection de port?

Si vous ne pouvez pas transférer votre routeur, vous devrez peut-être recourir à la perforation :

Le poinçonnage est une technique de mise en réseau informatique permettant d'établir une connexion directe entre deux parties, l'une ou les deux se trouvant derrière des pare-feu ou derrière des routeurs qui utilisent la traduction d'adresses réseau (NAT). Pour percer un trou, chaque client se connecte à un serveur tiers sans restriction qui stocke temporairement les informations d'adresse et de port externes et internes pour chaque client. Le serveur relaie ensuite les informations de chaque client à l'autre, et en utilisant ces informations, chaque client essaie d'établir une connexion directe; en raison des connexions utilisant des numéros de port valides, des pare-feu ou routeurs restrictifs acceptent et transfèrent les paquets entrants de chaque côté.

Le NAT sur votre routeur signifie que les clients en dehors de votre réseau ne peuvent pas se connecter aux ports ouverts des appareils à l' intérieur de votre réseau, mais il n'empêche pas les appareils de votre réseau de se connecter à un `` courtier ''. En utilisant un peu d'indirection , vous pouvez établir une connexion directe entre deux appareils sans ouvrir réellement de ports - c'est essentiellement ce que font des services comme Skype et Hamachi.

Bien sûr, cela nécessite un serveur externe pour coordonner la connexion, et vous voudrez probablement faire confiance au serveur qui effectuait la perforation.

Communication Peer-to-Peer à travers les traducteurs d'adresses réseau par Bryan Ford, Pyda Srisuresh et Dan Kegel est une lecture intéressante pour plus d'informations sur les mécanismes de perforation et sa fiabilité.

Dans le monde IoT, où les appareils ont de faibles ressources pour gérer le trafic indésirable des connexions externes et bien sûr la nécessité de gérer tous les problèmes de redirection de port et de pare-feu avec les routeurs a conduit à l'approche suivante que vous pouvez voir dans de nombreuses solutions d'arrière-plan IoT:

Les appareils n'accepteront aucune information réseau non sollicitée. Toutes les connexions et routes seront établies par l'appareil de manière sortante uniquement. Ainsi, l'appareil ouvrira une connexion sortante, donc aucun ajustement de pare-feu / routeur ne sera nécessaire et il gardera le canal ouvert aussi longtemps qu'il le faudra.

Un bel article sur les problèmes de communication et les solutions dans le monde IoT.

Essayez Port Knocking . Vous devez toujours rediriger le port, mais le port n'est ouvert qu'après l'envoi d'une combinaison secrète (vous choisissez) de pings. Ensuite, vous pouvez fermer le port avec un autre combo secret de pings. Il peut fonctionner sur Linux embarqué, tel qu'un routeur wifi avec OpenWrt.

Bien que je ne puisse pas recommander que vous autorisiez tout appareil IoT à être accessible à partir d'Internet public, vous pouvez y parvenir de manière native en utilisant IPv6.

Si votre FAI et votre réseau local sont configurés pour IPv6 et que vos appareils IoT le prennent en charge, ils peuvent automatiquement obtenir une adresse IPv6 qui est routable de n'importe où sur Internet (IPv6 supprime le besoin de NAT et de redirection de port). Il vous suffit de vous assurer que tous les pare-feu avec état (votre routeur) sont configurés pour autoriser le trafic vers chaque appareil. Certains peuvent autoriser cela (de manière non sécurisée) par défaut.

Configurez un serveur VPN à la maison, puis connectez-vous depuis n'importe où. Je pense que ce serait beaucoup plus sûr que d'exposer n'importe quel type d'appareil IoT à Internet ouvert.