リモートIoTカメラを保護するための最良のセキュリティ対策は何ですか?


27

私は、SSHを介してローカルにオンにでき、Raspberry Pi実行Linuxサーバーで画像を公開するリモートカメラを構築するなど、少しのホームオートメーションを行いました。

ただし、セキュリティがルーターの背後にある場合にどのプロトコルが最も適切かについては興味があります。私は、Puttyのようなものを使用し、ポートを開いてトンネルを開けるようにしましたが、これらが最も安全な方法だとは思いません。

ホームサーバーシステムにリモートでアクセスするときに、どのプロトコル/ツールが最適に使用されるのか疑問に思っています。


画像ストリームを暗号化する機能はありますか?
tbm0115 16

@ tbm0115デバイスに物理的にアクセスできます。技術的なノウハウではありません。まだ勉強してる。
トレバーJ.スミス

4
理想的には、カメラが画像ストリームを暗号化し、ネットワーク内の保護されたデバイス上のアプリケーションがそれを復号化すると思います。別の方法として/追加として、IoTデバイスを実行するための別のネットワークまたはネットワーク内のサブネットをセットアップし、ネットワークのその領域にセキュリティを追加することができます。
tbm0115 16

それは理にかなっています。ミックスにさらにデバイスを追加したい場合は、間違いなく実行する価値があります。ありがとう。
トレバーJ.スミス

1
その質問は非常に広範です。特にあなたの肩書き-体を考えると、私はあなたがネットワークセキュリティについて特に心配していると思いますか?それでも、アプリケーションに必要なネットワーク接続の種類によって異なります。
ジル 'SO-悪である停止

回答:


18

PuTTYは実際には非常に安全です-セッション自体は暗号化されています。これは、SSHが「すぐに使える」ものの一部です。私は自分でこの種のことをたくさんやっていますが、ここで提案するいくつかのヒットポイントがあります:

  • ポート22を世界中に開かないでください-WANインターフェースの非標準ポート(22022または2222など)でリッスンするようにSSHサーバーを構成してください
  • セキュリティイメージを含むWebページにアクセスするには認証が必要です。これが.htaccessファイルを使用した単純なHTTP-AUTHであっても、何もしないよりはましです。
  • SSLを使用して、ルーターの背後にあるWebサーバーと通信します
  • OpenVPNまたは別のVPNテクノロジーを使用して、ルーターの外部からホームマシンにアクセスします。これにより、直接SSHアクセスが不要になりますが、VPNサービスに障害が発生した場合に備えて、通常は直接SSHを利用できるようにします。

これは、OPがWindowsを使用していることを前提としています。
ケノーブ16

1
いいえ、そうではありません。上記の推奨事項は、Windowsだけでなく、すべてのOSを対象としています。
ジョン

PuttyはWindows専用のSSHクライアントです。SSHに言い換えて、SSHクライアントの例としてPuttyを指定できれば、より良い音になります。
ケノーブ16

1
PuTTYへの唯一の参照は最初の文です。私が意図したように、他のすべてはSSHを参照しています。
ジョン

14

他の答えは、システムを保護するために使用できる多くのテクノロジーをカバーしています。ここにいくつかのより一般的な考え/哲学があります。

  1. DMZはあなたの友人です -外部ネットワークに面したサービスを持っているほとんどすべての場合、DMZ(a。を参照)は非常に有益です。この場合、攻撃対象領域と被害を最小限に抑えることができます。DMZ内のデバイスの数を外部アクセスが必要なデバイスのみに制限することにより、攻撃対象領域を制限します。また、DMZにより、だれもがコアネットワークにアクセスするのが非常に難しくなり、被害が最小限に抑えられます。
  2. ホワイトリスト、ブラックリストに登録しない -デフォルトでは、すべての単一のプロトコル、ポート、内部接続がデフォルトでブロックされます。このブロッキングは、デバイス(可能であれば)、ファイアウォール、およびルーターで設定する必要があります。アクティブに使用しているオプション、および必要なデバイスに対してのみ有効にします。脆弱なIoTデバイス(Miraiの影響を受けるデバイスなど)のプロトコルを知っていて使用する必要がある場合は、リレーとして機能するデバイス(RaspberryPiなど)をセットアップする必要があります。デバイスをネットワークから完全に分離し、RaspberryPiがデバイスが必要とするプロトコルに変換する安全なプロトコル(ssh、vpnなど)を介してのみ通信します。


2

SSHは合理的な出発点であり、TLS暗号化を使用することが不可欠であり、sshアクセスにputtyを使用することがこれを達成する1つの方法です。VPNは別のものです。本当に重要なのは、強力なパスフレーズまたはキーを使用してネットワーク内のデバイスにアクセスし、ゲートウェイデバイスを最新の状態に保つことです。

非標準のポートを使用するのは賢明ですが、デバイスにデフォルト(または共通)のパスワードを設定したままにしておくと、ネットワークを保護することはできません。

リモートアクセスが必要な場合は、SSH(または非常によく似たもの)を転送するためにポートを開く必要があります。カメラのセキュリティ実装が信頼できない場合(つまり、最後のファームウェアの更新が約6か月前だった場合)、VPNを使用して、そのための分離されたネットワークセグメントを作成する必要があります。WiFiと古いファームウェアが搭載されている場合は、広く開かれている(少なくとも物理的に近接している人なら誰でも)可能性があります。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.