我已经做了一些家庭自动化,例如构建一个可以通过SSH本地打开并在运行Raspberry Pi的Linux服务器上发布图像的远程摄像头。

我很好奇当您的安全性位于路由器背后时,最好遵循哪种协议。我已经使用过腻子和打开端口之类的东西,以便可以进行隧道传输,但我不认为这些是最安全的方法。远程家庭服务器系统。

评论

你有能力加密图像流吗?

@ tbm0115我可以物理访问该设备。技术知识,不是很多。我还在学习。

理想情况下,我认为您的相机将对图像流进行加密,而网络中安全设备上的应用程序将对其进行解密。另选地/另外,您可能会在网络中设置一个单独的网络或子网来运行IoT设备,并为该网络区域添加额外的安全性。
这很有意义。如果我想添加更多设备,绝对值得一试。谢谢。

这个问题令人难以置信。特别是您的头衔-考虑到机构,我想您特别关注网络安全性?即使如此,它仍取决于您的应用程序需要哪种网络连接。

#1 楼

PuTTY实际上非常安全-会话本身已加密。这就是SSH给您“开箱即用”的一部分。我自己做了很多此类事情,以下是我的一些建议:


不要向世界开放端口22-将SSH服务器配置为在WAN接口上的非标准端口(例如22022或2222)上侦听
要求进行身份验证才能使用安全映像访问任何网页。即使这是使用.htaccess文件的简单HTTP-AUTH,也总比没有好。
使用SSL与Web服务器通信,即使它们位于路由器后面
使用OpenVPN或其他VPN技术来获取从路由器外部的任何设备连接到家用计算机。这消除了对直接SSH访问的需求,尽管我通常希望在VPN服务失败的情况下保持直接SSH可用。


评论


假设OP正在使用Windows。

– Kenorb
16 Dec 10'在12:30



不,不是。上面的建议适用于所有操作系统,而不仅仅是Windows。

–约翰
16 Dec 10'在13:53

Putty是仅Windows的SSH客户端。如果您可以将其改名为SSH并以Putty为例作为SSH客户端,那听起来会更好。

– Kenorb
16 Dec 10'在15:47

关于PuTTY的唯一参考是第一句话。正如我的意思,其他所有内容都引用SSH。

–约翰
16 Dec 10'在15:59

#2 楼

其他答案涵盖了可用于保护系统的许多技术。这是一些更一般的想法/理念。 )将非常有益。在这种情况下,它既可以使攻击面最小化,又可以将损害最小化。通过将DMZ中的设备数限制为仅需要外部访问的设备数,可以限制攻击面。 DMZ还会使任何人都更难以访问您的核心网络,从而最大程度地减少破坏。默认。应该在设备(如果可能),防火墙和路由器中设置此阻止。仅启用您正在使用的选项,并且仅对需要使用的设备启用。如果您知道并且必须针对较弱的IoT设备(例如受Mirai影响的设备)使用协议,则应设置设备(例如RaspberryPi)作为中继。您将设备与网络完全隔离,仅通过RaspberryPi转换为设备所需协议的安全协议(ssh,vpn等)与之通信。



关于来自Security.SE的DMZ


#3 楼

SSH是一个合理的起点,使用TLS加密对它至关重要,而使用putty进行ssh访问是实现此目的的一种方法。 VPN是另一个。真正重要的是,您要使用强大的短语或密钥来访问网络中的设备,并使网关设备保持最新状态。

使用非标准端口是一种明智的选择,但是如果您使用默认(或通用)密码离开设备,则无法保护网络安全。

如果要进行远程访问,您需要打开一个端口以转发SSH(或类似的东西)。如果您不信任摄像头上的安全性实施(即,最近一次固件更新是在6个月前完成的),则需要使用VPN为其创建隔离的网段。如果它具有WiFi和旧固件,则它可能也是公开开放的(至少对于物理上接近的人而言)。