¿Cómo proteger Raspberry Pi del ataque en una configuración de IoT conectada a través de una red de banda ancha?

La puesta en marcha:

Tengo un Raspberry Pi como el nodo maestro que está conectado a Internet a través de una conexión de banda ancha, el raspberry pi conecta varios sensores y otros microcontroladores. El Pi está continuamente conectado a un servidor en un proveedor de alojamiento en la nube.

Las preguntas son:

• ¿Cómo evito que usuarios no autorizados accedan a mi Raspberry Pi?
• ¿Cómo evito un ataque DDoS en la Pi?
• ¿Cómo y debo usar DDNS (DNS dinámico) para acceder a mi Pi?

La pregunta ' Asegurar la configuración de automatización del hogar pequeña ' proporciona una referencia útil para consejos de seguridad generales, pero también hay algunos pasos específicos que debe seguir para mantener segura su Raspberry Pi.

La respuesta de Steve Robillard a una pregunta sobre Raspberry Pi Stack Exchange describe algunos de los problemas específicos con el uso de un Pi que puede abordar, como cambiar las contraseñas predeterminadas, usar iptables, etc. También se vincula útilmente al Manual de seguridad de Debian , que, aunque muy grande, es increíblemente completo y cubre la mayoría de las principales preocupaciones.

Dado que es probable que se conecte a Pi a través de SSH, considere la autenticación basada en claves en lugar de usar una contraseña: un certificado SSH es prácticamente imposible de adivinar, incluso por un atacante determinado, a diferencia de una contraseña potencialmente débil. Como se señaló en el artículo vinculado, también eche un vistazo a Fail2ban , que bloqueará la IP de cualquier usuario que muestre signos maliciosos (por ejemplo, adivinanzas de contraseña incorrectas).

Con respecto a sus preocupaciones DDoS: si alguien decide lanzar un ataque DDoS contra su Pi , tiene muy pocas posibilidades. Algunos ataques pueden alcanzar hasta 665 Gbps , lo que sería imposible de defender para su Pi. Pero, plantearía esta pregunta: ¿por qué un atacante querría DDoS su Pi? Negar su servicio probablemente no proporcionaría muchos beneficios a un atacante, y muchos dispositivos IoT están siendo pirateados para participar en ataques DDoS .

Sin embargo, si era muy paranoico, tal vez podría incluir en la lista blanca los dispositivos a los que se esperaba que su Pi se conectara, y simplemente descartar cualquier otro paquete iptables. Depende de usted decidir si vale la pena.

Con respecto a DDNS, encuentro que la guía de HowToGeek es bastante clara, esencialmente, debe verificar su enrutador para una configuración de DDNS y configurarla. NoIP tiene capturas de pantalla para la mayoría de los principales modelos de enrutadores. Probablemente tenga más suerte si lo pregunta por separado (y es posible que ya encuentre una respuesta en Superusuario ).

Junto con la respuesta de Aurora0001 si desea protección contra dDoS, debe optar por servicios como Cloudflare. Lo protege de ataques dDoS apuntando sus registros DNS a sus servidores y asegurando su dominio / servidor. Prevención DDoS: protección del origen

Bueno. Teniendo en cuenta los comentarios hasta ahora, así es como lo abordaría:

1. Configure DDNS a través de cualquier proveedor competente.
2. Configure OpenVPN en su PI y dirija el puerto UDP 1194 (o el puerto en el que lo configuró) desde el enrutador al PI. Todas las conexiones externas a su PI deberán tener un cliente OpenVPN configurado correctamente (¡incluso podría usar un teléfono!)
3. Como medida secundaria, asegure el acceso entrante en el PI mediante IPTables. Es muy difícil hacerlo a mano, así que instale Webmin (Debian) para configurarlo. Desde aquí, haga una búsqueda en Google sobre formas de fortalecer su configuración de IPTables contra DDOS.

Es posible que prefiera alguna otra VPN, pero he usado OpenVPN durante aproximadamente 10 años por su increíble flexibilidad.