ブロードバンドネットワーク経由で接続されたIoTセットアップでRaspberry Piを攻撃から保護する方法

セットアップ：

ブロードバンド接続を介してインターネットに接続されているマスターノードとしてRaspberry Piを使用しています。raspberrypiは、いくつかのセンサーや他のマイクロコントローラーを接続します。Piはクラウドホスティングプロバイダーのサーバーに継続的に接続されます。

質問は次のとおりです。

• 権限のないユーザーがラズベリーPiにアクセスできないようにするにはどうすればよいですか？
• PiへのDDoS攻撃を防ぐにはどうすればよいですか？
• PiへのアクセスにDDNS（ダイナミックDNS）をどのように使用する必要がありますか？

「小さなホームオートメーションセットアップの保護」という質問は、一般的なセキュリティのヒントの参考になる参考資料ですが、Raspberry Piを安全に保つために実行する必要のある特定の手順もあります。

Raspberry Pi Stack Exchangeに関する質問に対するSteve Robillardの回答は、デフォルトのパスワードの変更、の使用など、対処可能なPiの使用に関するいくつかの特定の問題の概要を示していますiptables。彼は、Securing Debian Manualにもリンクしています大きく、信じられないほど包括的で、ほとんどの主要な懸念をカバーしています。

SSHを介してPiに接続する可能性が高いので、パスワードを使用する代わりにキーベースの認証を検討してください。SSH証明書は、潜在的に脆弱なパスワードとは異なり、攻撃者であっても推測することは事実上不可能です。リンクされた記事に記載されているように、悪意のある兆候（たとえば、不正なパスワードの推測）を示すユーザーをIPブロックするFail2banも確認してください。

DDoSの懸念について：誰かがあなたのPiに対してDDoS攻撃を仕掛けようと決めた場合、あなたはほとんどチャンスがありません。一部の攻撃は最大665 Gbpsに達する可能性があり、Piが防御することは不可能です。しかし、私はこの質問を提起します。なぜ攻撃者はあなたのPiをDDoSしたいのですか？サービスを拒否しても、攻撃者に多くの利益をもたらすことはおそらくないでしょう。代わりに、多くのIoTデバイスがハッキングされてDDoS攻撃に参加しています。

それでも、非常に偏執的である場合は、Pi が接続することが期待されているデバイスをホワイトリストに登録し、他のパケットを単にでドロップすることができますiptables。トラブルに値するかどうかはあなた次第です。

DDNSについては、HowToGeekのガイドは非常に明確です。基本的に、ルーターのDDNS設定を確認し、それを構成する必要があります。NoIPには、ほとんどの主要なルーターモデルのスクリーンショットがあります。あなたはおそらくこれを別々に尋ねる幸運があるでしょう（そしてあなたはすでにスーパーユーザーで答えを見つけるかもしれません）。

Aurora0001の回答に加えて、dDoSからの保護が必要な場合は、Cloudflareなどのサービスを選択する必要があります。DNSレコードをサーバーにポイントし、ドメイン/サーバーを保護することで、dDoS攻撃からユーザーを保護します。 DDoS防止：起源の保護

はい。これまでのコメントを踏まえて、ここに私がそれに取り組む方法を示します。

1. 有能なプロバイダーを通じてDDNSをセットアップします。
2. PIにOpenVPNを設定し、UDPポート1194（または設定したポート）をルーターからPIにルーティングします。PIへのすべての外部接続には、適切に構成されたOpenVPNクライアントが必要です（電話を使用することもできます！）
3. 二次的な対策として、IPTablesを使用してPIでインバウンドアクセスを保護します。手作業で行うのは面倒なので、Webmin（Debian）をインストールして構成します。ここから、DDOSに対してIPTables構成を強化する方法をGoogle検索します。

他のVPNを好むかもしれませんが、私はOpenVPNを信じられないほどの柔軟性のために約10年間使用しています。