怎么讓物聯(lián)網(wǎng)設(shè)備更安全？這三個辦法你應(yīng)該知道

時間：2020-07-14 08:30:01

關(guān)鍵字：物聯(lián)網(wǎng) 端口

手機看文章

掃描二維碼
隨時隨地手機看文章

[導(dǎo)讀] 無論現(xiàn)在還是將來，使物聯(lián)網(wǎng)（IoT）設(shè)備保持安全是十分必要的。完成這項任務(wù)需要時間和專業(yè)知識，并需要掌握整個物聯(lián)網(wǎng)生態(tài)系統(tǒng)的發(fā)展方向。通過反思過去幾年物聯(lián)網(wǎng)領(lǐng)域的一些失敗案例，物聯(lián)網(wǎng)設(shè)

無論現(xiàn)在還是將來，使物聯(lián)網(wǎng)（IoT）設(shè)備保持安全是十分必要的。完成這項任務(wù)需要時間和專業(yè)知識，并需要掌握整個物聯(lián)網(wǎng)生態(tài)系統(tǒng)的發(fā)展方向。

通過反思過去幾年物聯(lián)網(wǎng)領(lǐng)域的一些失敗案例，物聯(lián)網(wǎng)設(shè)備的開發(fā)商和制造商可獲得一些啟示，小編認為這是確保物聯(lián)網(wǎng)設(shè)備安全的一個方法。

此外，我們需要快速認清網(wǎng)絡(luò)上的一個安全誤區(qū)。用戶必須輸入物聯(lián)網(wǎng)設(shè)備的數(shù)字IP地址才能訪問網(wǎng)絡(luò) ，但這并不意味著物聯(lián)網(wǎng)設(shè)備可以安全地在網(wǎng)絡(luò)上運行。事實上，有許多腳本和程序可以簡單地掃描普通設(shè)備和易受攻擊系統(tǒng)的整個有效IP地址范圍，但有時，執(zhí)行這個操作很可能是系統(tǒng)受損的網(wǎng)絡(luò)。

有鑒于此，筆者整理了一些簡單有效的方法可以使物聯(lián)網(wǎng)設(shè)備更安全。

不使用通用默認密碼

大多數(shù)受到破壞的物聯(lián)網(wǎng)設(shè)備存在漏洞是因為它們具有硬編碼的默認密碼。開發(fā)商給telnet訪問或Web儀表板分配了一個通用的管理員密碼，用戶或安裝人員通常不會去更改這些密碼。

很多人都會知道通用密碼，而用戶會在網(wǎng)上留下大量的上網(wǎng)記錄，這就會致使信息泄露。這也是導(dǎo)致2016年以來最大的僵尸網(wǎng)絡(luò)——Mirai產(chǎn)生的原因之一。

正對這種情況，設(shè)備制造商在設(shè)備底部打印隨機密碼。這正是無線路由器制造商正在做的事情。使用這種方法，每個設(shè)備都出廠時具有不同的登錄憑據(jù)，如果用戶沒有物理訪問設(shè)備，則無法知道默認設(shè)置。這不是一個完美的方法，但它確實關(guān)閉了可能招致黑客和僵尸網(wǎng)絡(luò)攻擊的一扇門。

關(guān)閉所有端口

物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)中的許多設(shè)備都有開放的telnet端口。開放的端口使得制造商可以遠程登錄這些設(shè)備，從而進行設(shè)備維護或更改底層操作系統(tǒng)。我們對物聯(lián)網(wǎng)制造商提出的建議是：如果可能的話，不要打開傳入端口。

事實證明，這個方法比物聯(lián)網(wǎng)設(shè)備開放端口傳出TCP / IP連接到可信任的主機要好的多。這個方法也可阻止使用開放的telnet和SSH端口來感染其主機的Mirai僵尸網(wǎng)絡(luò)。

但這帶來了一個問題，如果用戶需要遠程訪問或維護的路徑，那該怎么辦？有一個解決方案是使用反向隧道的SSH功能。使用現(xiàn)有的消息傳遞連接（例如MQTT），用戶可以操控設(shè)備在需要時“打電話回家”，建立與控制服務(wù)器的連接并打開反向隧道。

此反向隧道可用于SSH到IoT設(shè)備。通過這種方法，黑客永遠連接不上用戶的物聯(lián)網(wǎng)設(shè)備，并且用戶還可以解決連接網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）的設(shè)備的問題。

構(gòu)建安全Web應(yīng)用程序

Web服務(wù)器的內(nèi)置物聯(lián)網(wǎng)設(shè)備有很多。服務(wù)器給設(shè)備提供了一個很好的獨立平臺：用戶可以輸入打印機或安全攝像頭的IP地址來控制設(shè)備或監(jiān)控設(shè)備的狀態(tài)，且不需要制造商提供持續(xù)的云服務(wù)。

但是，物聯(lián)網(wǎng)設(shè)備構(gòu)建者不一定知道如何構(gòu)建安全的Web應(yīng)用程序，這本身就是一門技術(shù)。開放式Web應(yīng)用程序安全項目OWASP列出了十大最常見的Web應(yīng)用程序漏洞，這對想成為Web的開發(fā)人員來說是一筆巨大的財富。

2017年3月，攝像機和數(shù)字視頻錄像機（DVR）的大型制造商大華為其設(shè)備發(fā)布了安全補丁，以解決其設(shè)備上嵌入式Web服務(wù)器的問題。但這個方案存在漏洞：允許黑客使用設(shè)計的URL來提取設(shè)備的所有用戶名和密碼，為連接到互聯(lián)網(wǎng)的任何人提供了打開了每個設(shè)備的功能。

即使制造商已經(jīng)掌握了安全Web應(yīng)用程序的技術(shù)，仍然存在未知漏洞的可能性。考慮到這一點，在需要時建立一個系統(tǒng)來對Web應(yīng)用程序或物聯(lián)網(wǎng)設(shè)備上的任何軟件進行快速更新至關(guān)重要。通過在開發(fā)階段給予適當?shù)年P(guān)注，可以使物聯(lián)網(wǎng)設(shè)備查找和接收軟件更新，從而可以有效地修補未來的錯誤，并且使設(shè)備可以在其整個生命周期內(nèi)保持安全。