Quantcast
PplWare Mobile

Raspberry Pi em casa? Como aceder ao equipamento do exterior

                                    
                                

Autor: Pedro Pinto


  1. julio says:

    Existe várias formas de acedermos a RPI fora de casa e essa é a pior delas por ser a menos segura.

  2. agamotto says:

    Simples mas inseguro. Instalem antes wireguard.

  3. jkpd69 says:

    Deixar o equipamento exposto a internet é sempre um risco. Como forma de garantirem a segurança do vosso equipamento e de forma a complementar este post, sigam estas dicas:
    https://raspberrytips.com/security-tips-raspberry-pi/

  4. E. Richards says:

    Olá.
    1- A maior parte das pessoas com acessos “normais” em casa, não tem IP fixo, logo o mesmo endereço IP pode variar, pelo que terão de estar constantemente a verificar o seu endereço IP público atribuído pelo ISP… um serviço de DNS dinâmico como o no-ip.com. ou dynu.com tornaria o dispositivo sempre acessível através do mesmo endereço.
    2- Activar a DMZ e apontar para um dispositivo sem qualquer tipo de protecção não me parece boa política pois a DMZ abre todas as portas publicamente, do IP que estamos a redirecionar, ou seja, esse dispositivo (Raspberry) fica vulnerável a ataques vindos do exterior.
    3- Na vossa penúltima imagem onde mostram a opção “Activar DMZ”, têm a opção “Activar Firewall” desactivada… foi lapso? Ao deixarem essa opção desactivada, toda a rede doméstica fica novamente vulnerável a ataques. Cuidado!

    • Pedro Pinto says:

      Boas Richards
      1 – O lease time é elevado, pelo menos na MEO. Temos aqui solução para o que falas: https://pplware.sapo.pt/tutoriais/dynip-da-meo-alternativa-ao-servico-no-ip/
      2 – “Abre” os portos lógicos se eles estiverem abertos no dispositivo.
      3 – O Router MEO Fibergateway disponibiliza uma Firewall que controla todos os acessos de entrada e de saída aos portos de comunicação dos protocolos de transporte TCP e UDP. Assim é possível bloquear ou desbloquear estes portos para qualquer um dos protocolos. Se não estiverem abertos é o que referi no ponto 2.

  5. Security says:

    É por estas e por outras que depois há DDoS… pudera, a maioria dos equipamentos estão expostos. Só falta utilizarem o user pi e a password qwerty para acesso ssh.

  6. write says:

    VPN zero config é instalar o Tailscale, é o melhor que há, não é preciso mapeamento de ports ou outra invenção. É um serviço que funciona com o wireguard. Aceder à internet a partir de um hotspot público e fazer sair o tráfego pelo router de casa é peanuts. há cliente para raspberry e outras plataformas. é o futuro (para quem não é informático ou quer uma solução na hora)

  7. PC says:

    Não posso deixar de concordar com a malta, de todas as maneiras que há para aceder remotamente a um RPi esta é sem dúvida alguma, na minha opinião, das piores. Expor por completo todas as portas de um equipamento para fora é um risco bastante grande. É um método de se aceder, correcto, mas não é nada seguro. Isto de quem tem só 1 porta aberta, conto com mais de 1400 IP diferentes banidos (fail2ban). Port forwarding / NAT é o mais correcto para um cenário simples como este (e mesmo assim carece de segurança adicional). Como a malta já sugeriu, VPN também é uma boa solução. Sem qualquer tipo de malícia no que estou a dizer mas esta solução não é de todo indicada numa situação dita normal.

  8. plim says:

    Usar DMZ para dar acesso a qualquer dispositivo da nossa rede é só a pior prática possível!
    Sem complicar muito, mais valia abrir portas específicas com os serviços de acesso remoto utilizados.
    Ou nem é preciso isso, usem Anydesk ou outro sistema com 2FA e já está…

    • Pedro Pinto says:

      Boas plim. O que dizes não é correto. A proteção pode ser realizada em diferentes níveis, se assim não fosse não se usava DMZ para nada. É verdade que podes fazer port forwarding para portos específicos, mas se não os tiveres abertos no dispositivo o risco é o mesmo.
      Anydesk? Software de terceiros? 2FA para que cenário? Obrigado pelo contributo.

      • plim says:

        Pedro, agradeço o comentário mas gostaria de argumentar que não serei o único a pensar da mesma maneira.
        O DMZ só deverá ser utilizado quando não há nenhuma outra maneira mais segura de expor dispositivos na “web”. Sempre fui ensinado a pensar assim.
        Não precisamos ir mais longe. Num RPI, que é o caso exemplificado, o acesso default por SSH é feito pelo porto 22. Não é preciso conceder mais nenhum acesso a menos que outros serviços necessitem.
        Entre ir e recomendar deixar o DMZ ativado a uma pessoa leiga na matéria, sujeitando a que haja fragilidades completamente expostas do dispositivo partilhado, ou usar um sistema de acesso remoto “fechado” com 2FA ativado (dei o exemplo do Anydesk por permitir isso) através, por exemplo, de Google Authentication, penso que se torne óbvio para qual opção pende mais a minha opinião.
        Contudo não sou expert na matéria e pelos comentários aqui divulgados até aprendi outras maneiras de contornar a situação.

  9. Rui says:

    onde posso comprar rpi zero ?

  10. write says:

    A segurança mais que uma questão de firewalls e políticas de segurança, é uma questão de “fé”! Ter alguns ports expostos na internet não é tão dramático assim, a maioria dos ataques são despoletados de dentro para fora, não ao contrário. Ter ports de protocolos bem conhecidos e escrutinados aumenta a segurança de quem os expõe. O port do SSH aberto, os do Wireguard ou Openvpn são mais que seguros, pelo menos à luz do conhecimento actual. Digam-me, se conseguirem, quantos ataques directos, i.é,, de fora para dentro são conhecidos a estes ports/protocolos??? O grande perigo está nas páginas que acedemos e no software que instalamos nas nossas máquinas, esses é que provocam o vazamento e posteriores ataques de fora para dentro, não são os ports TCP/UDP abertos e os ataques directos.

  11. KikoFHM says:

    Boas ! Para quando uma atualização para aceder a rede meo pelo exterior?
    Por exemplo para aceder ao MEO GO noutro operador que não a meo. Numa casa sou meo noutra Vodafone era fixe levar a Apple TV e aceder aos canais premium da meo

    • Helder says:

      Boas.

      Podes, pagas é 4,99€ mês pelo serviço meo go fora de casa.

      depois consegues ter os canais premium todos, apenas não consegues ter a sporttv, quer dizer, consegues, mas tens de ativar a versão multiscreen.

      se não quiseres pagar os 4,99€ podes sempre tentar renegociar esse serviço como oferta.

      Abraço

  12. zeberil says:

    Esta “ideia” de como aceder aceder externamente a um nosso dispositivo em casa está muito mal concebida… e para piorar, dão o exemplo da Meo. Ora a Meo, felizmente, permite o modo bridge nos routers… o melhor mesmo é activar este funcionalidade, na porta 4 do router ligar um router capaz de funcionar com OpenVPN! Depois e só meter o config no telemóvel, que tenha a app OpenVPN instalada, e estamos em casa para todos eo efeitos em termos de rede. É assim que acedo aos meus equipamentos…

    KikoFHM é por ter esta configuração que o Meo Go grátis (o que se acede em casa) funciona no meu telemóvel… mas não o uso, tenho outra “coisa” bem melhor que também depende da configuração OpenVPN…

    • KikoFHM says:

      @zeberil pode indicar exemplo de um router compativel com OpenVPN sem precisar vender um RIM para o adquirir. Porque realmente, é mais simples… é “apenas” Plug in

      • zeberil says:

        Não sei a que preço está um rim ou mesmo o par deste órgão… Como exemplo, o Asus RT-AC51U… não é gigabyte. Encontra, neste momento, entre os €40-€50. Engraçado tenho aqui um “encostado” (não está avariado, meti um RT-N18U) que adquiri novo por €30 há cerca de 4-5 anos. Mas pode encontrar várias gamas/modelos desta marca com OpenVPN. Também se fazem bons negócios no OLX…

  13. John says:

    O título está mal, devia ser “Como aceder às prateleiras digitais das lojas para comprar um Raspberry Pi 4″… Há meses esgotado e sem previsão de novo stock

Deixe uma resposta

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.