Wie sichere ich den Rasberry 3b zum Internet ab?

Allgemeine Informationen zum Nachbau und zum Forum.
PV-Monitorung / PV Überwachung
Nordsolar
Beiträge: 8
Registriert: Mi 28. Nov 2018, 14:27

Wie sichere ich den Rasberry 3b zum Internet ab?

Beitrag von Nordsolar » Di 11. Dez 2018, 18:30

:geek: Hallo,
Ehrlich gesagt macht mir mein Pi etwas Kopfzerbrechen. Die Daten vom Solarmax werden über das Hausstromnetz zum Router geleitet und gelangen dann zum Pi.
Vor kurzem habe ich einen Heise Sicherheitstest durchlaufen lassen,der aber im grünen Bereich verlaufen war.
Da meine Anlage ja im Netz sichtbar sein soll, müsste ich mich doch irgend wie schützen können. Selbst verständlich habe ich den üblichen Passwortschutz im Router.
Wie kann ich den Zugang ändern? Benutzer pi und admin , Passwort ........ sind ja wohl zu kein Schutz :oops: .
Wer kann da mal was über schreiben. :shock:

Benutzeravatar
Ulrich
Administrator
Beiträge: 369
Registriert: Sa 7. Nov 2015, 10:33
Wohnort: Essen
Kontaktdaten:

Re: Wie sichere ich den Rasberry 3b zum Internet ab?

Beitrag von Ulrich » Di 11. Dez 2018, 19:55

Das Sicherheitskonzept der Solaranzeige sieht wie folgt aus:

Den Raspberry hinter einem Router mit NAT betreiben. Ihn auf keinen Fall sichtbar vom Internet her machen. Wenn die Daten im Internet sichtbar sein sollen, dann diese auf einen externen virtuellen Server übertragen und dort anzeigen. Bekommt ein Hacker Zugang zu diesem externen Server kann er nicht viel Schaden anrichten.

Anders ist es mit dem Solaranzeigen Raspberry. Ist dieser vom Internet her sichtbar, und kann ein Hacker sich Zutritt verschaffen, hat er jedes Tool zur Verfügung um das gesamte lokale Netz zu zerstören inkl. den angeschlossenen Geräten. Da in der Zukunft immer mehr Geräte im lokalen Netz hängen wird die Gefahr mit jedem Jahr größer. Ich rate aus Erfahrung davon ab, den Raspberry vom Internet zugänglich zu machen. Der Aufwand ist enorm, so ein Linux Computer auf Dauer sicher zu machen. Auch wenn man ihn im Moment sicher hin bekommt, kann das schon wieder 1-2 Monate später anders sein. Man müsste fast täglich die Log Dateien prüfen und wöchentlich die neusten Patche einspielen. Die Virensoftware muss jederzeit auf dem neusten Stand sein und jede Änderung am Raspbian muss wohl überlegt sein.

Den Raspberry erst einmal so sicher zu machen, dass er zumindest für diesen Moment sicher ist, bedeutet einen enormen Aufwand. Im Groben müsste folgendes gemacht werden:
  1. Eine Firewall installieren und sauber konfigurieren. Nur Ports öffnen die auch wirklich gebraucht werden.
  2. fail2ban installieren und konfigurieren
  3. Alle nicht benötigten Programme deinstallieren. z.B. MySQL SQLite usw.
  4. Die benötigten Programme auf andere Ports legen und mit sicheren Kennwörtern versehen. Z.b. InfuxDB, Apatche, SSH Server, Grafana usw.
  5. Alle Mail Komponenten, die nicht gebraucht werden deinstallieren. Die Ports schließen.
  6. Keine wichtigen Daten auf dem Raspberry speichern.
  7. .... die Liste ist noch lang und kann sich mit der Zeit auch ändern, da mit jedem Betriebssystem Update neue Gefahren auftauchen können. Der Betriebssystem Update ist jedoch zwingend regelmäßig nötig!
Eine Alternative währe ein VPN Netz zum Router, sodass der Router ausschließlich über dieses VPN Netz erreichbar ist. Das muss aber der Router können. Nicht jeder Router kann einen VPN Tunnel aufbauen.

Eine weitere Alternative währe einen Raspberry zusätzlich als "Einfallstor" zu installieren, der jeglichen Datenverkehr prüft, überwacht und regelt. Das hätte den Vorteil, dass die Geräte im lokalen Netz nicht alle so stark geschützt und auf dem aktuellen Stand gehalten werden müssten. Der Nachteil ist jedoch ein noch höheren Aufwand, gerade für diesen Raspberry und noch mehr Erfahrung in der Netzwerkkonfiguration. Dafür braucht man schon einen Experten.

Wie seht Ihr das? Hat jemand noch eine weitere Idee?
--------------------------------------
Ulrich [Admin]

Antworten