保护远程物联网摄像机的最佳安全实践是什么？

我做了一些家庭自动化，例如构建了一个远程摄像机，该摄像机可以通过SSH在本地打开，并在运行Raspberry Pi的Linux服务器上发布图像。

不过，我很好奇，当您的安全性在路由器后面时，最好遵循哪些协议。我已经使用过腻子和打开端口之类的东西，以便可以进行隧道传输，但是我不认为这些是最安全的方法。

我想知道在远程访问家庭服务器系统时最好使用哪些协议/工具。

PuTTY实际上非常安全-会话本身已加密。这就是SSH给您“开箱即用”的一部分。我自己做了很多此类事情，以下是我建议的几点建议：

• 不要向世界开放端口22-配置SSH服务器以侦听WAN接口上的非标准端口（例如22022或2222）
• 需要身份验证才能使用您的安全图像访问任何网页。即使这是使用.htaccess文件的简单HTTP-AUTH，也总比没有好。
• 使用SSL与Web服务器通信，即使它们位于路由器后面
• 使用OpenVPN或其他VPN技术从路由器外部的任何设备进入您的家用计算机。这消除了对直接SSH访问的需求，尽管我通常喜欢在VPN服务失败的情况下保持直接SSH可用。

其他答案涵盖了可用于保护系统的许多技术。这是一些更一般的想法/哲学。

1. DMZ是您的朋友 -几乎在每种情况下，如果您有面向外部网络的服务，则DMZ（请参阅a。）将非常有益。在这种情况下，它将既减小攻击面，又减小损坏。通过将DMZ中的设备数限制为仅需要外部访问的设备数，可以限制攻击面。DMZ还会使任何人访问您的核心网络变得更加困难，从而将损失降到最低。
2. 白名单，不要列入黑名单 -默认情况下，默认情况下应阻止每个单个协议，端口和内部连接。应在设备（如果可能），防火墙和路由器中设置此阻止。仅启用您正在使用的选项，并且仅用于需要此选项的设备。如果您知道并且必须针对较弱的IoT设备（例如受Mirai影响的设备）使用协议，则应设置设备（如RaspberryPi）作为中继。您将设备与网络完全隔离，仅通过RaspberryPi转换为设备所需协议的安全协议（ssh，vpn等）与其通信。

• 关于来自Security.SE的DMZ

SSH是一个合理的起点，它是您使用TLS加密的必要条件，而使用putty进行ssh访问是实现此目的的一种方法。VPN是另一个。真正重要的是，您使用强壮的短语或密钥来访问网络中的设备，并使网关设备保持最新状态。

使用非标准端口是明智的选择，但是如果您使用默认（或通用）密码离开设备，则无法保护网络安全。

如果要进行远程访问，则需要打开一个端口以转发SSH（或类似的东西）。如果您不信任摄像头上的安全性实现（即，最近一次固件更新是在6个月前进行的），则需要使用VPN为其创建隔离的网段。如果它具有WiFi和旧固件，则它可能也是公开开放的（至少对于物理上接近的人而言）。