Comment protéger le Raspberry Pi contre les attaques dans une configuration IoT connectée via un réseau haut débit?

9

La mise en place:

J'ai un Raspberry Pi comme nœud maître qui est connecté à Internet via une connexion à large bande, le Raspberry Pi connecte plusieurs capteurs et autres microcontrôleurs. Le Pi est connecté en permanence à un serveur chez un fournisseur d'hébergement cloud.

Les questions sont:

Comment empêcher les utilisateurs non autorisés d'accéder à mon Raspberry Pi?
Comment empêcher une attaque DDoS sur le Pi?
Comment et comment utiliser DDNS (Dynamic DNS) pour accéder à mon Pi?

security networking raspberry-pi

— Shakti Phartiyal
source

1

Connexes: sécurisation de la configuration d'une petite domotique . Il y a quelques conseils généraux qui pourraient être intéressants.

— Aurora0001

3

Le DDNS n'appartient pas à la même question que les autres points. Vous devez poser une question par question.

— Sean Houlihane

N'y a-t-il pas de routeur ???

— Xavier J

@codenoir Il y a un routeur netgear

— Shakti Phartiyal

Encore une question. Devez-vous accéder au Pi depuis l'extérieur de votre réseau domestique ou professionnel?

— Xavier J

10

La question `` Sécuriser la configuration d'une petite domotique '' fournit une référence utile pour des conseils de sécurité généraux, mais il y a aussi quelques étapes spécifiques que vous devez suivre pour garder votre Raspberry Pi en sécurité.

La réponse de Steve Robillard à une question sur Raspberry Pi Stack échange présente quelques - unes des questions spécifiques à l' aide d' un Pi que vous pouvez aborder, telles que la modification des mots de passe par défaut, en utilisant iptables, etc. Il a également des liens obligeamment au Manuel Securing Debian , qui, bien que très grand, est incroyablement complet et couvre la plupart des préoccupations majeures.

Étant donné que vous vous connecterez probablement au Pi via SSH, pensez à l' authentification par clé au lieu d'utiliser un mot de passe - un certificat SSH est pratiquement impossible à deviner, même par un attaquant déterminé, contrairement à un mot de passe potentiellement faible. Comme indiqué dans l'article lié, jetez également un coup d'œil à Fail2ban , qui bloquera IP tous les utilisateurs qui montrent des signes malveillants (par exemple, des suppositions de mot de passe incorrectes).

Concernant vos préoccupations DDoS: si quelqu'un décide de lancer une attaque DDoS contre votre Pi , vous avez très peu de chances. Certaines attaques peuvent atteindre jusqu'à 665 Gbps , ce qui serait impossible à défendre contre votre Pi. Mais, je poserais cette question: pourquoi un attaquant voudrait-il DDoS votre Pi? Refuser votre service ne fournirait probablement pas beaucoup d'avantages à un attaquant, et de nombreux appareils IoT sont piratés pour participer aux attaques DDoS .

Néanmoins, si vous étiez très paranoïaque, vous pourriez peut - être des appareils que votre liste blanche Pi était censé se connecter à et simplement laisser tomber tout autre paquet avec iptables. C'est à vous de décider si cela en vaut la peine.

En ce qui concerne DDNS, je trouve le guide de HowToGeek assez clair - essentiellement, vous devez vérifier votre routeur pour un paramètre DDNS et le configurer. NoIP propose des captures d' écran pour la plupart des principaux modèles de routeurs. Vous auriez probablement plus de chance de poser cette question séparément (et vous pourriez déjà trouver une réponse sur Super User ).

— Aurora0001
source

1

Si @ShaktiPhartiyal veut utiliser le Pi pour mettre à jour le DDNS par rapport au routeur, j'ai eu un problème pour que le Pi le fasse en toute sécurité. Mon message contient un lien pour la configuration du DDNS et contient également une réponse pour le mettre à jour en toute sécurité.

— Shaulinator

@Shaulinator mon routeur ne prend pas en charge les ddns pour les fournisseurs de domaines comme namecheap

— Shakti Phartiyal

@ShaktiPhartiyal, j'utilise dnsdynamic qui est gratuit. Le post auquel j'ai lié est de faire en sorte que votre Raspberry Pi fasse le travail pour prendre en charge DDNS vs votre routeur, ce qui devrait également fonctionner avec des fournisseurs comme namecheap.

— Shaulinator

@Shaulinator Merci pour la mise à jour va vérifier la même chose et vous le faire savoir ..

— Shakti Phartiyal

5

Parallèlement à la réponse d'Aurora0001, si vous souhaitez être protégé contre les attaques dDoS, vous devez opter pour des services comme Cloudflare. Il vous protège des attaques dDoS en pointant vos enregistrements DNS vers leurs serveurs et en sécurisant votre domaine / serveur. Prévention DDoS: protéger l'origine

— Amant de l'IoT
source

3

D'accord. Si vous posez des questions sur dDoS, il vous suffit de payer quelqu'un pour mettre en place une protection pour vous.

— Sean Houlihane

1

@SeanHoulihane Le plan de base est gratuit.

— IoT Lover

Cela vaut la peine d'ajouter cela à la réponse.

— Sean Houlihane

@IoTLover merci pour la réponse. Ceci, ainsi que la réponse d'Aurora0001, donne un aperçu suffisamment bon.

— Shakti Phartiyal

5

D'accord. Compte tenu des commentaires jusqu'à présent, voici comment je l'aborderais:

Configurez DDNS via n'importe quel fournisseur compétent.
Configurez OpenVPN sur votre PI et acheminez le port UDP 1194 (ou le port sur lequel vous l'avez configuré) du routeur vers le PI. Toutes les connexions externes à votre PI devront avoir un client OpenVPN correctement configuré (vous pouvez même utiliser un téléphone!)
À titre secondaire, sécurisez l'accès entrant sur le PI à l'aide d'IPTables. C'est difficile à faire à la main, alors installez Webmin (Debian) pour le configurer. À partir de là, effectuez une recherche Google sur les moyens de renforcer votre configuration IPTables contre DDOS.

Vous préférerez peut-être un autre VPN, mais j'utilise OpenVPN depuis environ 10 ans maintenant pour son incroyable flexibilité.

— Xavier J
source

Merci de bien vouloir essayer cela, le concept openVPN semble sécurisé. Au fait, aws.amazon.com/vpc est- il utile dans ma configuration?

— Shakti Phartiyal