保護物聯(lián)網(wǎng)安全的6條基本原則，你做到了幾條？

2018-02-02 16:22:35 FreeBuf　點擊量：評論 (0)

隨著物聯(lián)網(wǎng)深入普及，點進來看這篇文章的你肯定也聽說過各種關于物聯(lián)網(wǎng)宿命的預言。任何聯(lián)網(wǎng)的設備，例如，監(jiān)控攝像、路由器、數(shù)字視頻

隨著物聯(lián)網(wǎng)深入普及，點進來看這篇文章的你肯定也聽說過各種關于“物聯(lián)網(wǎng)宿命”的預言。任何聯(lián)網(wǎng)的設備，例如，監(jiān)控攝像、路由器、數(shù)字視頻記錄器、可穿戴設備、智能燈等都存在安全風險，并且大多數(shù)使用人群都不知道如何保護它們的網(wǎng)絡安全。
2016到2017年，大型僵尸網(wǎng)絡發(fā)起的攻擊都是通過入侵物聯(lián)網(wǎng)設備實現(xiàn)的。很多專家都認為互聯(lián)網(wǎng)安全“前路險惡”。但是也不必太悲觀，方法總比問題多。下文我們將介紹提高物聯(lián)網(wǎng)安全的6條基本原則，降低被攻擊風險，避免讓物聯(lián)網(wǎng)設備成為你最大的弱點。

第1條：避免設備直接聯(lián)網(wǎng)

不部署防火墻或?qū)⒎阑饓χ糜谠O備后端的行為均不可取。防火墻應置于該設備聯(lián)網(wǎng)之前，在防火墻中開放特定端口實現(xiàn)設備的遠程訪問。
很多IoT設備在生產(chǎn)過程中都不會考慮到安全這一環(huán)，如果聯(lián)網(wǎng)前沒有防火墻保護，這相當于我們主動將攻擊者邀請到我們的網(wǎng)絡中“做客”。很多路由器一般都有內(nèi)置防火墻，但其它設備我們就必須為它們穿上防火墻這件保護衣。

第2條：更改默認密碼

拿到這些設備后我們要做的第一件事就是把初始密碼改成復雜的你又記得住的密碼。就算密碼忘記了，也不是走投無路，現(xiàn)在市場上大多數(shù)設備都有恢復出廠設置的功能。

但是也有很多情況比較悲劇，很多物聯(lián)網(wǎng)設備，尤其是安全監(jiān)控設備、DVR在安全問題上實在設計得太差，就算改掉初始密碼，一旦連網(wǎng)，內(nèi)置的web界面還是無法阻止任何攻擊活動的入侵。
而且，很多設備被發(fā)現(xiàn)存在隱藏的后門，攻擊者能夠利用這些后門程序?qū)δ愕脑O備進行遠程控制。所以第一條原則的重要性也就可想而知。

第3條：更新固件

硬件供應商有時會為支持他們設備的軟件(稱為“固件”)提供安全更新程序。因此，安裝設備之前先訪問廠商官網(wǎng)查看是否有固件更新，另外也要養(yǎng)成定期查看的習慣。

第4條：檢查默認設置

確保像UPnP(通用即插即用，主要用于設備的智能互聯(lián)互通，能夠在你不知情的情況下開放防火墻端口)這類你不需要的功能已經(jīng)被設置成“禁用”。
如何才能知道路由器的防火墻是否被“挖了洞”?Censys這個搜索引擎兼具掃描功能：首先打開whatismyipaddress.com，然后將IP地址復制到censys.io的搜索框中，從下拉菜單中選擇“ipv4 hosts”，點擊“搜索”。
如果剛好你的ISP地址在censys的黑名單中，可以訪問Steve Gibson的 Shield’s Up頁面，上面有一個點擊工具，能夠幫助你發(fā)現(xiàn)你所在網(wǎng)絡中哪個網(wǎng)關或端口被惡意打開。通過網(wǎng)絡搜索開放端口往往能夠獲得有效信息，確定設備可能存在的漏洞。
如果你的計算機中安裝了反病毒軟件，確保升級到網(wǎng)絡安全或互聯(lián)網(wǎng)安全版本，開啟軟件防火墻的所有功能，確保能夠攔截特定端口的進出流量。
另外，Glasswire(基礎版39美元，專業(yè)版69美元)也是一個不錯的工具，不但具備防火墻所有功能，并且能夠告知用戶哪些設備帶寬占用最多。最近我用Glasswire發(fā)現(xiàn)了一個每天使用千兆字節(jié)帶寬的程序(“亞馬遜音樂”客戶端一個糟糕的更新版本)。

第5條：避免購買具有內(nèi)置P2P(對等網(wǎng)絡)功能的物聯(lián)網(wǎng)設備

P2P物聯(lián)網(wǎng)設備的安全防護實施起來非常困難。很多研究都表明，即使有防火墻，攻擊者也能實現(xiàn)遠程訪問，因為P2P的配置特點之一就是持續(xù)不斷地連接共享網(wǎng)絡，直到成功。因此攻擊者完全有可能實現(xiàn)遠程訪問。這也是人們對物聯(lián)網(wǎng)設備安全存在恐慌心理的原因之一。

第6條：成本越低的設備，安全性可能越差

90%廉價的物聯(lián)網(wǎng)設備都不安全。當然，價格與安全性沒有直接關聯(lián)，但是無數(shù)案例說明，價格范圍較低的設備往往漏洞和后門更多，廠商的維護和售后支持力度也不夠。
2017年年底，Mirai病毒(有史以來規(guī)模最大的物聯(lián)網(wǎng)惡意軟件威脅之一)的三元兇認罪，美國司法部(DOJ)也發(fā)布了一系列保護物聯(lián)網(wǎng)設備的安全提示，詳情戳此處。

最后的溫馨提醒

很多人看到這些安全提示都會嗤之以鼻，明明道理都懂，有時候就是做不到。良好的開發(fā)、部署和操作習慣非常有必要，減少物聯(lián)網(wǎng)對全球安全問題的影響，最重要的還是每一個人從最基本的做起。采取主動防御措施，自求多福。