원격 IoT 카메라를 보호하는 가장 좋은 보안 방법은 무엇입니까?


27

SSH를 통해 로컬로 켜고 Raspberry Pi run Linux 서버에 이미지를 게시 할 수있는 원격 카메라를 만드는 것과 같은 약간의 홈 자동화를 수행했습니다.

그러나 보안이 라우터 뒤에있을 때 어떤 프로토콜을 가장 잘 따르는 지 궁금합니다. 퍼티와 같은 것을 사용하고 터널을 열 수 있도록 포트를 열었지만 이것이 가장 안전한 방법이라고는 생각하지 않습니다.

홈 서버 시스템에 원격으로 액세스 할 때 어떤 프로토콜 / 도구가 가장 잘 사용되는지 궁금합니다.


이미지 스트림을 암호화 할 수 있습니까?
tbm0115

@ tbm0115 장치에 물리적으로 액세스 할 수 있습니다. 기술 노하우. 나는 아직도 배우고있다.
Trevor J. Smith

4
이상적으로는 카메라가 이미지 스트림을 암호화하고 네트워크의 보안 장치에있는 응용 프로그램이 암호를 해독한다고 생각합니다. 또는 추가로, 네트워크에 별도의 네트워크 또는 서브넷을 설정하여 IoT 장치를 실행하고 네트워크의 해당 영역에 추가 보안을 추가 할 수 있습니다.
tbm0115

그것은 많은 의미가 있습니다. 믹스에 몇 가지 장치를 추가하려는 경우 성능이 좋습니다. 감사.
Trevor J. Smith

1
그 질문은 엄청나게 광범위합니다. 특히 제목-본문을 고려할 때 특히 네트워크 보안에 관심이 있다고 생각 하십니까? 그럼에도 불구하고 응용 프로그램에 필요한 네트워크 연결 종류에 따라 다릅니다.
Gilles 'SO- 악한 중지

답변:


18

퍼티는 사실은 꽤 안전 - 세션 자체가 암호화됩니다. 그것은 SSH 가 "바로"제공 하는 것의 일부입니다 . 나는이 유형의 일을 많이하며, 여기 내가 제안 할 몇 가지 히트 포인트가 있습니다.

  • 포트 22를 세계로 열지 마십시오. WAN 인터페이스에서 비표준 포트 (예 : 22022 또는 2222)를 수신하도록 SSH 서버를 구성하십시오.
  • 보안 이미지가있는 웹 페이지에 액세스하려면 인증이 필요합니다. 이것이 .htaccess 파일을 사용하는 간단한 HTTP-AUTH라도 아무 것도 아닌 것이 좋습니다.
  • 라우터 뒤에 있어도 SSL을 사용하여 웹 서버와 통신
  • 라우터 밖에서 OpenVPN 또는 다른 VPN 기술을 사용하여 가정용 컴퓨터에 액세스하십시오. VPN 서비스가 실패 할 경우 직접 SSH를 계속 사용하고 싶지만 직접 SSH 액세스가 필요하지 않습니다.

이것은 OP가 Windows를 사용하고 있다고 가정합니다.
kenorb

1
아닙니다. 위의 권장 사항은 Windows뿐만 아니라 모든 OS에 대한 것입니다.
John

퍼티는 Windows 전용 SSH 클라이언트입니다. SSH로 문구를 바꾸고 Putty를 SSH 클라이언트의 예로 제시하면 더 잘 들릴 것입니다.
kenorb

1
PuTTY에 대한 유일한 참조는 첫 번째 문장입니다. 내가 의미 한대로 다른 모든 것은 SSH를 참조합니다.
John

14

다른 답변은 시스템을 보호하는 데 사용할 수있는 많은 기술을 다룹니다. 좀 더 일반적인 생각과 철학이 있습니다.

  1. DMZ는 당신의 친구입니다 -거의 모든 경우에 외부 네트워크를 향한 서비스가있는 경우 DMZ (a 참조)는 매우 유리합니다. 이 경우 공격면을 최소화하고 피해를 최소화합니다. DMZ의 장치 수를 외부 액세스가 필요한 장치로만 제한하면 공격 영역이 제한됩니다. 또한 DMZ는 모든 사람이 코어 네트워크에 액세스하는 것을 훨씬 어렵게하여 피해를 최소화합니다.
  2. 화이트리스트, 블랙리스트 안 함 -기본적으로 모든 단일 프로토콜, 포트 및 내부 연결은 기본적으로 차단되어야합니다. 이 차단은 장치 (가능한 경우), 방화벽 및 라우터에서 설정해야합니다. 현재 사용중인 옵션 만 필요한 옵션에 대해서만 활성화하십시오. 약한 IoT 장치 (예 : Mirai의 영향을받는 장치)에 대한 프로토콜을 알고 사용해야하는 경우 릴레이 역할을하도록 RaspberryPi와 같은 장치를 설정해야합니다. 장치를 네트워크에서 완전히 분리하고 RaspberryPi가 장치에 필요한 프로토콜로 변환하는 보안 프로토콜 (ssh, vpn 등)을 통해서만 통신하십시오.


2

SSH는 합리적인 시작점이며, TLS 암호화를 사용하는 데 필수적이며 ssh 액세스에 퍼티를 사용하는 것이이를 달성하는 한 가지 방법입니다. VPN은 또 다른 것입니다. 실제로 중요한 것은 강력한 암호 또는 키를 사용하여 네트워크 내의 장치에 액세스하고 게이트웨이 장치를 최신 상태로 유지하는 것입니다.

비표준 포트를 사용하는 것은 합리적이지만 장치를 기본 (또는 일반적인) 암호로두면 네트워크를 보호 할 수 없습니다.

원격 액세스를 원하면 SSH (또는 매우 유사한 것)를 전달하기 위해 열린 포트가 필요합니다. 카메라의 보안 구현을 신뢰할 수없는 경우 (즉, 마지막 펌웨어 업데이트가 약 6 개월 전에 완료된 경우) VPN을 사용하여 격리 된 네트워크 세그먼트를 만들어야합니다. Wi-Fi 및 오래된 펌웨어가있는 경우, 공개적으로 공개되어있을 수 있습니다 (적어도 물리적으로 근접한 사람은 누구나).

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.