Bezpečné používání mqtt a redis v internetu

Bezpečné používání mqtt a redis v internetu
« kdy: 01. 02. 2021, 18:33:06 »
Ahoj, řešíme aplikaci, kdy bych potřeboval od jednotlivých počítaču sbírat logy a posílat je na centrální server. Problém je v tom, že počítače, ze kterých chci data sbírat jsou za firewally, případně naty a server pro analýzu dat je v internetu. Server pro analýzu logů je ELK. Uvažoval jsem, že bych data od klientů (zákazníků) posílal přes mqtt, případně přes redis.

Moje otázka zní, je bezpečné mqtt nebo redis otevírat přímo do internetu (případná blokace na ip zákazníka), nebo komunikaci obalit nějakým druhem VPN. Mám takový pocit, že na otevřené, nezabezpečné mqtt byly nějaké útoky, ale už si nejsem jistý jestli tyto protokoly už mají nějaký bezpečnostní mechanismus, případně šifrovanou komunikaci aby nedošlo k odposlechnutí komunikace.

Děkuji všem za vyjádření


M_D

  • ****
  • 348
    • Zobrazit profil
    • E-mail
Re:Bezpečné používání mqtt a redis v internetu
« Odpověď #1 kdy: 01. 02. 2021, 18:56:17 »
U MQTT asi půjde o to, jaký server je nasazen. Ale i ten základ v podobě mosquitto, tak už umí nativně TLS i s ověřováním klienta na základě předloženého certifikátu. To stejné Redis, od řady 6 je nativně podporán TLS, včetně ověřování klienta certifikátem.
Jiná věc je pak ta klientská strana, aby to uměla použít. Oboje také podporuje ověřování username+password (u Redisu <6.0 je teda jen jedno sdílené password).
Pokud jsou myšleny systémové logy typu syslog, tak je otázka, proč neopužít třeba syslog-ng, který umí nativně také odesílat logy přes TLS spojení, včetně bafrování na straně klienta při přerušení spojení a na straně serveru ověřit klienta dle certifikátu.