保護(hù)物聯(lián)網(wǎng)安全的6條基本原則
2018年02月02日
隨著物聯(lián)網(wǎng)深入普及����,任何聯(lián)網(wǎng)的設(shè)備,例如��,監(jiān)控?cái)z像����、路由器、數(shù)字視頻記錄器�����、可穿戴設(shè)備�����、智能燈等都存在安全風(fēng)險(xiǎn)���,并且大多數(shù)使用人群都不知道如何保護(hù)它們的網(wǎng)絡(luò)安全��。
2016到2017年���,大型僵尸網(wǎng)絡(luò)發(fā)起的攻擊都是通過入侵物聯(lián)網(wǎng)設(shè)備實(shí)現(xiàn)的�。很多專家都認(rèn)為互聯(lián)網(wǎng)安全“前路險(xiǎn)惡”�。但是也不必太悲觀,方法總比問題多�。下文我們將介紹提高物聯(lián)網(wǎng)安全的6條基本原則,降低被攻擊風(fēng)險(xiǎn)�,避免讓物聯(lián)網(wǎng)設(shè)備成為你最大的弱點(diǎn)。
第1條:避免設(shè)備直接聯(lián)網(wǎng)��。
不部署防火墻或?qū)⒎阑饓χ糜谠O(shè)備后端的行為均不可取���。防火墻應(yīng)置于該設(shè)備聯(lián)網(wǎng)之前����,在防火墻中開放特定端口實(shí)現(xiàn)設(shè)備的遠(yuǎn)程訪問��。
很多IoT設(shè)備在生產(chǎn)過程中都不會(huì)考慮到安全這一環(huán)�,如果聯(lián)網(wǎng)前沒有防火墻保護(hù),這相當(dāng)于我們主動(dòng)將攻擊者邀請(qǐng)到我們的網(wǎng)絡(luò)中“做客”�。很多路由器一般都有內(nèi)置防火墻,但其它設(shè)備我們就必須為它們穿上防火墻這件保護(hù)衣��。
第2條:更改默認(rèn)密碼��。
拿到這些設(shè)備后我們要做的第一件事就是把初始密碼改成復(fù)雜的你又記得住的密碼�����。就算密碼忘記了��,也不是走投無路�����,現(xiàn)在市場(chǎng)上大多數(shù)設(shè)備都有恢復(fù)出廠設(shè)置的功能����。
但是也有很多情況比較悲劇,很多物聯(lián)網(wǎng)設(shè)備�,尤其是安全監(jiān)控設(shè)備、DVR在安全問題上實(shí)在設(shè)計(jì)得太差����,就算改掉初始密碼,一旦連網(wǎng)���,內(nèi)置的web界面還是無法阻止任何攻擊活動(dòng)的入侵�。
而且��,很多設(shè)備被發(fā)現(xiàn)存在隱藏的后門,攻擊者能夠利用這些后門程序?qū)δ愕脑O(shè)備進(jìn)行遠(yuǎn)程控制��。所以第一條原則的重要性也就可想而知�����。
第3條:更新固件��。
硬件供應(yīng)商有時(shí)會(huì)為支持他們?cè)O(shè)備的軟件(稱為“固件”)提供安全更新程序��。因此���,安裝設(shè)備之前先訪問廠商官網(wǎng)查看是否有固件更新��,另外也要養(yǎng)成定期查看的習(xí)慣����。
第4條:檢查默認(rèn)設(shè)置���。
確保像UPnP(通用即插即用�����,主要用于設(shè)備的智能互聯(lián)互通���,能夠在你不知情的情況下開放防火墻端口)這類你不需要的功能已經(jīng)被設(shè)置成“禁用”����。
如何才能知道路由器的防火墻是否被“挖了洞”?Censys這個(gè)搜索引擎兼具掃描功能:首先打開whatismyipaddress.com�,然后將IP地址復(fù)制到censys.io的搜索框中���,從下拉菜單中選擇“ipv4 hosts”�,點(diǎn)擊“搜索”�。
如果剛好你的ISP地址在censys的黑名單中,可以訪問Steve Gibson的 Shield’s Up頁面 �����,上面有一個(gè)點(diǎn)擊工具�����,能夠幫助你發(fā)現(xiàn)你所在網(wǎng)絡(luò)中哪個(gè)網(wǎng)關(guān)或端口被惡意打開�。通過網(wǎng)絡(luò)搜索開放端口往往能夠獲得有效信息,確定設(shè)備可能存在的漏洞���。
如果你的計(jì)算機(jī)中安裝了反病毒軟件�����,確保升級(jí)到網(wǎng)絡(luò)安全或互聯(lián)網(wǎng)安全版本���,開啟軟件防火墻的所有功能���,確保能夠攔截特定端口的進(jìn)出流量。
第5條:避免購買具有內(nèi)置P2P(對(duì)等網(wǎng)絡(luò))功能的物聯(lián)網(wǎng)設(shè)備����。
P2P物聯(lián)網(wǎng)設(shè)備的安全防護(hù)實(shí)施起來非常困難。很多研究都表明�,即使有防火墻,攻擊者也能實(shí)現(xiàn)遠(yuǎn)程訪問���,因?yàn)镻2P的配置特點(diǎn)之一就是持續(xù)不斷地連接共享網(wǎng)絡(luò)����,直到成功�����。因此攻擊者完全有可能實(shí)現(xiàn)遠(yuǎn)程訪問����。這也是人們對(duì)物聯(lián)網(wǎng)設(shè)備安全存在恐慌心理的原因之一��。
第6條:成本越低的設(shè)備����,安全性可能越差����。
90%廉價(jià)的物聯(lián)網(wǎng)設(shè)備都不安全�。當(dāng)然,價(jià)格與安全性沒有直接關(guān)聯(lián)�,但是無數(shù)案例說明,價(jià)格范圍較低的設(shè)備往往漏洞和后門更多����,廠商的維護(hù)和售后支持力度也不夠。
2017年年底����,Mirai病毒(有史以來規(guī)模最大的物聯(lián)網(wǎng)惡意軟件威脅之一)的三元兇認(rèn)罪,美國司法部(DOJ)也發(fā)布了一系列保護(hù)物聯(lián)網(wǎng)設(shè)備的安全提示�,詳情戳此處。
