Apa praktik keamanan terbaik untuk mengamankan kamera IoT jarak jauh?

Saya telah melakukan sedikit otomatisasi rumah seperti membangun kamera jarak jauh yang dapat dihidupkan melalui SSH secara lokal dan menerbitkan gambar pada Raspberry Pi yang menjalankan server Linux.

Saya ingin tahu, protokol apa yang paling baik diikuti ketika keamanan Anda berada di belakang router. Saya telah menggunakan hal-hal seperti Putty dan membuka port sehingga saya bisa terowongan tetapi saya tidak membayangkan ini adalah metode yang paling aman.

Saya bertanya-tanya protokol / alat apa yang paling baik digunakan ketika mengakses sistem server rumah dari jarak jauh.

Putty sebenarnya cukup aman - sesi itu sendiri dienkripsi. Itu bagian dari apa yang SSH berikan kepada Anda "di luar kotak". Saya melakukan banyak hal semacam ini sendiri, dan di sini ada beberapa poin penting yang saya sarankan:

• Jangan buka port 22 ke dunia - konfigurasikan server SSH Anda untuk mendengarkan pada port non-standar (mis. 22022 atau 2222) pada antarmuka WAN Anda
• Wajibkan autentikasi untuk sampai ke halaman web mana pun dengan gambar keamanan Anda. Bahkan jika ini HTTP-AUTH sederhana menggunakan file .htaccess, itu lebih baik daripada tidak sama sekali.
• Gunakan SSL untuk berbicara dengan server web, meskipun mereka ada di belakang router Anda
• Gunakan OpenVPN atau teknologi VPN lain untuk sampai ke mesin di rumah Anda dari apa pun di luar router Anda. Itu meniadakan perlunya akses SSH langsung, meskipun saya biasanya suka menjaga SSH langsung tersedia jika layanan VPN gagal.

Jawaban lainnya mencakup banyak teknologi yang dapat Anda gunakan untuk melindungi sistem Anda. Inilah beberapa pemikiran / filosofi yang lebih umum.

1. DMZ adalah teman Anda - Dalam hampir setiap kasus di mana Anda memiliki layanan yang menghadapi jaringan eksternal, DMZ (lihat a.) Akan sangat bermanfaat. Dalam hal ini akan meminimalkan permukaan serangan dan meminimalkan kerusakan. Dengan membatasi jumlah perangkat di DMZ hanya pada perangkat yang memerlukan akses eksternal, Anda membatasi permukaan serangan. DMZ juga akan membuat lebih sulit bagi siapa pun untuk mengakses jaringan inti Anda, sehingga meminimalkan kerusakan.
2. Daftar Putih, jangan Blacklist - Secara default setiap protokol, port dan koneksi internal harus diblokir secara default. Pemblokiran ini harus diatur di perangkat (jika memungkinkan), firewall dan router. Hanya aktifkan opsi yang Anda gunakan secara aktif dan hanya untuk perangkat yang membutuhkannya. Jika Anda tahu dan harus menggunakan protokol untuk perangkat IoT yang lemah (misalnya perangkat yang dipengaruhi oleh Mirai), Anda harus mengatur perangkat (seperti RaspberryPi) untuk bertindak sebagai relay. Anda sepenuhnya mengisolasi perangkat dari jaringan dan hanya berkomunikasi dengannya melalui protokol aman (ssh, vpn, dll.) Yang diubah oleh RaspberryPi menjadi protokol yang dibutuhkan perangkat.

• Tentang DMZ dari Security.SE

SSH adalah titik awal yang masuk akal, penting bahwa Anda menggunakan enkripsi TLS, dan menggunakan dempul untuk akses ssh adalah salah satu cara untuk mencapai ini. VPN adalah yang lain. Yang benar-benar penting adalah Anda menggunakan kata sandi atau kunci yang kuat untuk mengakses perangkat di dalam jaringan Anda, dan Anda menjaga agar perangkat gateway tetap mutakhir.

Menggunakan port non-standar agak masuk akal, tetapi tidak melakukan apa pun untuk mengamankan jaringan Anda jika Anda meninggalkan perangkat dengan kata sandi standar (atau umum).

Jika Anda ingin akses jarak jauh, Anda memerlukan port terbuka untuk meneruskan SSH (atau sesuatu yang sangat mirip). Jika Anda tidak mempercayai implementasi keamanan pada kamera (yaitu pembaruan firmware terakhir adalah sekitar 6 bulan yang lalu), maka Anda perlu menggunakan VPN untuk membuat segmen jaringan yang terisolasi untuk itu. Jika memiliki WiFi, dan firmware lama, mungkin juga terbuka lebar dan publik (setidaknya untuk siapa pun yang memiliki kedekatan fisik).