リモートIoTカメラを保護するための最良のセキュリティ対策は何ですか？

私は、SSHを介してローカルにオンにでき、Raspberry Pi実行Linuxサーバーで画像を公開するリモートカメラを構築するなど、少しのホームオートメーションを行いました。

ただし、セキュリティがルーターの背後にある場合にどのプロトコルが最も適切かについては興味があります。私は、Puttyのようなものを使用し、ポートを開いてトンネルを開けるようにしましたが、これらが最も安全な方法だとは思いません。

ホームサーバーシステムにリモートでアクセスするときに、どのプロトコル/ツールが最適に使用されるのか疑問に思っています。

PuTTYは実際には非常に安全です-セッション自体は暗号化されています。これは、SSHが「すぐに使える」ものの一部です。私は自分でこの種のことをたくさんやっていますが、ここで提案するいくつかのヒットポイントがあります：

• ポート22を世界中に開かないでください-WANインターフェースの非標準ポート（22022または2222など）でリッスンするようにSSHサーバーを構成してください
• セキュリティイメージを含むWebページにアクセスするには認証が必要です。これが.htaccessファイルを使用した単純なHTTP-AUTHであっても、何もしないよりはましです。
• SSLを使用して、ルーターの背後にあるWebサーバーと通信します
• OpenVPNまたは別のVPNテクノロジーを使用して、ルーターの外部からホームマシンにアクセスします。これにより、直接SSHアクセスが不要になりますが、VPNサービスに障害が発生した場合に備えて、通常は直接SSHを利用できるようにします。

他の答えは、システムを保護するために使用できる多くのテクノロジーをカバーしています。ここにいくつかのより一般的な考え/哲学があります。

1. DMZはあなたの友人です -外部ネットワークに面したサービスを持っているほとんどすべての場合、DMZ（a。を参照）は非常に有益です。この場合、攻撃対象領域と被害を最小限に抑えることができます。DMZ内のデバイスの数を外部アクセスが必要なデバイスのみに制限することにより、攻撃対象領域を制限します。また、DMZにより、だれもがコアネットワークにアクセスするのが非常に難しくなり、被害が最小限に抑えられます。
2. ホワイトリスト、ブラックリストに登録しない -デフォルトでは、すべての単一のプロトコル、ポート、内部接続がデフォルトでブロックされます。このブロッキングは、デバイス（可能であれば）、ファイアウォール、およびルーターで設定する必要があります。アクティブに使用しているオプション、および必要なデバイスに対してのみ有効にします。脆弱なIoTデバイス（Miraiの影響を受けるデバイスなど）のプロトコルを知っていて使用する必要がある場合は、リレーとして機能するデバイス（RaspberryPiなど）をセットアップする必要があります。デバイスをネットワークから完全に分離し、RaspberryPiがデバイスが必要とするプロトコルに変換する安全なプロトコル（ssh、vpnなど）を介してのみ通信します。

• Security.SEのDMZについて

SSHは合理的な出発点であり、TLS暗号化を使用することが不可欠であり、sshアクセスにputtyを使用することがこれを達成する1つの方法です。VPNは別のものです。本当に重要なのは、強力なパスフレーズまたはキーを使用してネットワーク内のデバイスにアクセスし、ゲートウェイデバイスを最新の状態に保つことです。

非標準のポートを使用するのは賢明ですが、デバイスにデフォルト（または共通）のパスワードを設定したままにしておくと、ネットワークを保護することはできません。

リモートアクセスが必要な場合は、SSH（または非常によく似たもの）を転送するためにポートを開く必要があります。カメラのセキュリティ実装が信頼できない場合（つまり、最後のファームウェアの更新が約6か月前だった場合）、VPNを使用して、そのための分離されたネットワークセグメントを作成する必要があります。WiFiと古いファームウェアが搭載されている場合は、広く開かれている（少なくとも物理的に近接している人なら誰でも）可能性があります。