Jeffrey Cross
Jeffrey Cross

Tips Teratas untuk Mengetatkan Keselamatan pada Projek Homebrew IoT Anda

Dalam momen kejayaan untuk mendapatkan projek yang disambungkan dan berjalan, mudah untuk melupakan bagaimana projek IOT terdedah boleh tanpa mengambil langkah-langkah keselamatan asas. Anda mungkin tertanya-tanya mengapa seseorang akan repot-repot mengendalikan lampu rumah anda, tetapi penyertaan tanpa perlindungan ke rangkaian anda boleh memberikan maklumat harta untuk penggodam. Lindungi diri anda dan projek anda dengan tip-tip yang mudah dilaksanakan ini.

Dapatkan artikel ini dan banyak lagi Buat: Vol. 64. Langgan sekarang untuk projek dan artikel yang hebat sepanjang tahun.

Untuk Raspberry Pi / Linux Boards

1. Tukar kata laluan pengguna lalai

Semua pemasangan OS Raspbian menggunakan kata laluan yang sama untuk pengguna pi default. Penyerang akan mencuba kata laluan biasa dan lalai untuk mengakses sistem sebelum mereka beralih ke serangan yang lebih canggih. Hentikan mereka dengan menggunakan arahan passwd untuk mengubah anda kepada nilai yang unik dan baru yang baru.

Lihat dokumentasi pengguna Raspberry Pi untuk butiran mengenai arahan passwd yang mengubah kata laluan pengguna. Juga periksa nasihat untuk membuat kata laluan yang kuat yang akan menjadi sangat sukar bagi penyerang meneka atau serangan 'brute-force'.

2. Lumpuhkan log masuk kata laluan dengan SSH

Malah kata laluan yang baik masih berisiko untuk penyerang yang ditentukan untuk meneka nilainya dan mengakses mesin dari jauh dengan SSH. Cegah ini dengan menggunakan kekunci keselamatan untuk log masuk ke papan anda. Kekunci-kekunci ini memberikan akses hanya dari komputer lain yang dibenarkan, dan mereka menggunakan kriptografi canggih yang sangat sukar ditebak atau dipecahkan. Lebih baik lagi, sebaik sahaja anda menyediakan log masuk berasaskan kunci, anda tidak perlu mengingati kata laluan!

Lihat bahagian Pengesahan Berasaskan Kunci berasaskan dokumentasi keselamatan Raspberry Pi untuk maklumat lanjut mengenai cara mengkonfigurasi SSH untuk login berasaskan kunci.

3. Pastikan OS dikemas kini

Tiada perisian yang sempurna; tidak dapat dielakkan, kelemahan atau pepijat akan didapati yang boleh membenarkan penyerang mengakses papan anda. Keras menggunakan perintah menaik taraf apt-get untuk memastikan sistem operasi papan anda terkini dengan patch dan pembetulan keselamatan terkini.

Lihat Raspberry Pi mengemaskini dan menaik taraf dokumentasi untuk butiran mengenai bagaimana untuk mendapatkan perisian terkini dengan arahan peningkatan apt-get.

4. Sediakan firewall

Alat IoT anda mungkin tidak menggunakan semua perkhidmatan yang disediakan oleh sistem operasi Pi, seperti pelayan web, pelayan e-mel, dan banyak lagi. Gunakan firewall untuk menutup akses kepada perkhidmatan yang tidak digunakan. Ini membantu mencegah penyerang mengakses papan anda melalui kelemahan dan pepijat dalam perkhidmatannya. Pendekatan terbaik adalah untuk mematikan akses kepada semua perkhidmatan secara lalai, dan kemudian hanya menghidupkan perkhidmatan yang digunakan oleh projek anda seperti web atau akses lain.

Lihat bahagian Install Firewall dari dokumentasi keselamatan Raspberry Pi untuk butiran mengenai cara menggunakan alat ufw untuk membolehkan firewall di papan anda.

5. Semakan amalan terbaik keselamatan Linux.

Anda boleh mengikuti nasihat yang sama untuk mendapatkan mesin Linux umum. Terdapat sumber yang hebat seperti "Pengenalan untuk Mengamankan VPS Linux Anda" dan "Langkah Keselamatan 7 untuk Melindungi Pelayan Linux". Panduan ini menerangkan alat seperti fail2ban dan tripwire yang seterusnya untuk mengesan pencerobohan dan menghalang penyerang. Dunia keselamatan Linux sentiasa berkembang sehingga tidak pernah menyakitkan untuk berkonsultasi dengan panduan ini untuk alat terkini dan amalan terbaik.

Untuk Semua Peranti

1. Tukar kata laluan lalai

Ia berulang-ulang - ia adalah kelemahan nombor satu untuk peranti yang berkaitan dengan internet. Ini terpakai kepada penghala, kamera IP, pencetak rangkaian, dan sebagainya. Jika anda boleh mencari kata laluan dalam talian, jadi boleh orang lain! Anda tidak mahu peretas menguasai mana-mana peranti yang ada di rangkaian dalaman anda.

2. Pastikan firmware dan perisian terkini

Kekal dilindungi dari kelemahan keselamatan yang diketahui.

3. Matikan perkhidmatan dan protokol yang anda tidak perlukan

Sekiranya peranti anda tidak menggunakan SSH atau RDP atau FTP, dan sebagainya, mereka perlu dilumpuhkan. Setiap cara anda boleh menyambung ke peranti adalah potensi kerentanan keselamatan.

4. Hanya dedahkan kepada internet apa yang perlu anda dedahkan

Firewall penghala anda adalah barisan pertahanan pertama dan dalam kebanyakan kes akan menyekat akses kepada peranti pada rangkaian dalaman anda melainkan anda menetapkannya secara khusus sebaliknya. Untuk memberikan diri anda akses kepada sesuatu di rangkaian dalaman anda, anda mungkin telah mengkonfigurasi port forwarding pada router anda, tetapi sangat penting untuk membolehkan ini hanya untuk peranti yang secepat mungkin. Ini adalah penjelasan yang baik mengenai apa yang diteruskan oleh pelabuhan.

5. Gunakan VPN

Rangkaian peribadi maya adalah cara yang selamat untuk mengakses peranti di rangkaian dalaman anda tanpa mendedahkannya ke internet. Ia seperti mewujudkan terowong selamat kembali ke rangkaian rumah anda. Sediakan VPN, kemudian gunakan komputer riba atau telefon anda untuk SSH ke Pi anda dari mana saja di dunia. PiVPN adalah projek untuk menubuhkan VPN untuk rangkaian anda pada PI.

6. Kegelapan bukan keselamatan!

Hanya kerana anda tidak berkongsi pautan secara umum ke peranti anda tidak bermakna ia tidak dapat diakses oleh orang lain. Terdapat bot yang secara literal mengimbas internet mencari peranti untuk mengeksploitasi. Sebagai peraturan, apa-apa yang didedahkan kepada internet sepatutnya mempunyai pengesahan di atasnya. Membolehkan kata laluan untuk antara muka web jika ia tersedia.

7. Gunakan rangkaian tetamu

Ramai router moden menyokong rangkaian WiFi Pelanggan, yang menyediakan akses terhad tetapi tidak akses penuh ke rangkaian utama anda. Sediakan rangkaian WiFi Tetamu untuk peranti IoT anda, supaya walaupun yang terburuk berlaku dan salah satu keselamatan peranti anda dilanggar, rangkaian utamanya harus tetap aman. Panduan yang baik untuk menubuhkan rangkaian tetamu boleh didapati di sini, tetapi langkah-langkah untuk penghala anda mungkin berbeza-beza.

8. Gunakan broker mesej pihak ketiga

Broker mesej pihak ketiga (seperti Adafruit.io atau juga messenger Telegram) boleh menjadi cara yang lebih selamat untuk berkomunikasi dengan peranti anda daripada mendedahkannya ke internet. Peranti anda menyambung kepada broker supaya tidak perlu untuk penghantaran port. Kebanyakan broker mesej menyokong pengesahan juga. Mereka juga mempunyai faedah tambahan yang tidak memerlukan persediaan DNS dinamik, yang mana kebanyakan penyelesaian lain memerlukan.

Kongsi

Meninggalkan Komen