Como proteger o Raspberry Pi contra ataques em uma configuração de IoT conectada através de uma rede de banda larga?

A instalação:

Eu tenho um Raspberry Pi como o nó principal conectado à Internet através de uma conexão de banda larga, o Rasberry Pi conecta vários sensores e outros microcontroladores. O Pi é conectado continuamente a um servidor em um Cloud Hosting Provider.

As perguntas são:

• Como faço para impedir que usuários não autorizados acessem meu raspberry Pi?
• Como evito um ataque DDoS no Pi?
• Como e devo usar o DDNS (DNS dinâmico) para acessar meu Pi?

A pergunta ' Protegendo a instalação pequena da automação residencial ' fornece uma referência útil para dicas gerais de segurança, mas também existem algumas etapas específicas que você deve seguir para manter seu Raspberry Pi seguro.

A resposta de Steve Robillard a uma pergunta no Raspberry Pi Stack Exchange descreve alguns dos problemas específicos com o uso de um Pi que você pode resolver, como alterar senhas padrão, usar iptablesetc. Ele também fornece links úteis para o Securing Debian Manual , que, embora muito grande, é incrivelmente abrangente e cobre as principais preocupações.

Como você provavelmente estará se conectando ao Pi por SSH, considere a autenticação baseada em chave em vez de usar uma senha - é praticamente impossível adivinhar um certificado SSH, mesmo por um invasor determinado, diferente de uma senha potencialmente fraca. Conforme observado no artigo vinculado, observe também o Fail2ban , que bloqueará o IP de qualquer usuário que mostre sinais maliciosos (por exemplo, suposições incorretas de senha).

Em relação às suas preocupações com DDoS: se alguém decide iniciar um ataque DDoS contra o seu Pi , você tem poucas chances. Alguns ataques podem atingir 665 Gbps , o que seria impossível para o seu Pi se defender. Mas, eu colocaria a seguinte pergunta: por que um invasor deseja fazer DDoS no seu Pi? Negar seu serviço provavelmente não traria muitos benefícios a um invasor, e muitos dispositivos de IoT estão sendo invadidos para participar de ataques DDoS .

No entanto, se você fosse muito paranóico, você poderia dispositivos talvez whitelist que seu Pi foi esperado para se conectar, e simplesmente descartar quaisquer outros pacotes com iptables. Cabe a você decidir se vale a pena.

Com relação ao DDNS, acho o guia do HowToGeek bastante claro - essencialmente, você precisa verificar se há uma configuração de DDNS no roteador e configurá-la. NoIP tem capturas de tela para a maioria dos principais modelos de roteadores. Você provavelmente teria mais sorte em fazer isso separadamente (e você já poderá encontrar uma resposta no Superusuário ).

Juntamente com a resposta do Aurora0001, se você deseja proteção contra dDoS, deve optar por serviços como o Cloudflare. Ele protege você contra ataques dDoS, apontando seus registros DNS para seus servidores e protegendo seu domínio / servidor. Prevenção de DDoS: Protegendo a Origem

OK. Dados os comentários até agora, veja como eu abordaria isso:

1. Configure o DDNS através de qualquer provedor competente.
2. Configure o OpenVPN no seu PI e roteie a porta 1194 UDP (ou qualquer outra porta em que você o configure) do roteador para o PI. Todas as conexões externas ao seu PI precisam ter um cliente OpenVPN configurado corretamente (você pode até usar um telefone!)
3. Como medida secundária, proteja o acesso de entrada no PI usando IPTables. É difícil fazer isso manualmente, então instale o Webmin (Debian) para configurá-lo. A partir daqui, faça uma pesquisa no Google sobre maneiras de proteger sua configuração do IPTables no DDOS.

Você pode preferir alguma outra VPN, mas eu uso o OpenVPN há cerca de 10 anos por sua incrível flexibilidade.