1、避免設備直接聯(lián)網
不部署防火墻或將防火墻置于設備后端的行為均不可取���。 防火墻應置于該設備聯(lián)網之前��,在防火墻中開放特定端口實現(xiàn)設備的遠程訪問���。
很多IoT設備在生產過程中都不會考慮到安全這一環(huán)�,如果聯(lián)網前沒有防火墻保護�,這相當于我們主動將攻擊者邀請到我們的網絡中“做客”。很多路由器一般都有內置防火墻�����,但其它設備我們就必須為它們穿上防火墻這件保護衣���。
2�、更改默認密碼
拿到這些設備后我們要做的第一件事就是把初始密碼改成復雜的你又記得住的密碼����。就算密碼忘記了����,也不是走投無路,現(xiàn)在市場上大多數(shù)設備都有恢復出廠設置的功能��。
但是也有很多情況比較悲劇�,很多物聯(lián)網設備,尤其是安全監(jiān)控設備���、DVR在安全問題上實在設計得太差��,就算改掉初始密碼,一旦連網���,內置的web界面還是無法阻止任何攻擊活動的入侵����。
而且��,很多設備被發(fā)現(xiàn)存在隱藏的后門,攻擊者能夠利用這些后門程序對你的設備進行遠程控制�。所以第一條原則的重要性也就可想而知��。
3條�、更新固件
硬件供應商有時會為支持他們設備的軟件(稱為“固件”)提供安全更新程序����。因此�,安裝設備之前先訪問廠商官網查看是否有固件更新,另外也要養(yǎng)成定期查看的習慣��。
4、檢查默認設置
確保像UPnP(通用即插即用�����,主要用于設備的智能互聯(lián)互通,能夠在你不知情的情況下開放防火墻端口)這類你不需要的功能已經被設置成“禁用”。
如何才能知道路由器的防火墻是否被“挖了洞”?Censys這個搜索引擎兼具掃描功能:首先打開 whatismyipaddress.com ��,然后將IP地址復制到 censys.io 的搜索框中�,從下拉菜單中選擇“ipv4 hosts”����,點擊“搜索”��。
如果剛好你的ISP地址在censys的黑名單中��,可以訪問Steve Gibson的 Shield’s Up頁面 ,上面有一個點擊工具�����,能夠幫助你發(fā)現(xiàn)你所在網絡中哪個網關或端口被惡意打開����。通過網絡搜索開放端口往往能夠獲得有效信息�����,確定設備可能存在的漏洞。
如果你的計算機中安裝了反病毒軟件�,確保升級到網絡安全或互聯(lián)網安全版本,開啟軟件防火墻的所有功能���,確保能夠攔截特定端口的進出流量�。
另外����,Glasswire (基礎版39美元,專業(yè)版69美元)也是一個不錯的工具�����,不但具備防火墻所有功能,并且能夠告知用戶哪些設備帶寬占用最多�。最近我用Glasswire發(fā)現(xiàn)了一個每天使用千兆字節(jié)帶寬的程序(“亞馬遜音樂”客戶端一個糟糕的更新版本)。
5�、避免購買具有內置P2P(對等網絡)功能的物聯(lián)網設備。
P2P物聯(lián)網設備的安全防護實施起來非常困難����。很多研究都表明,即使有防火墻��,攻擊者也能實現(xiàn)遠程訪問��,因為P2P的配置特點之一就是持續(xù)不斷地連接共享網絡����,直到成功����。因此攻擊者完全有可能實現(xiàn)遠程訪問。這也是人們對物聯(lián)網設備安全存在恐慌心理的原因之一��。
6��、成本越低的設備��,安全性可能越差�����。
90%廉價的物聯(lián)網設備都不安全���。當然��,價格與安全性沒有直接關聯(lián)�����,但是無數(shù)案例說明�,價格范圍較低的設備往往漏洞和后門更多�,廠商的維護和售后支持力度也不夠�����。
2017年年底��,Mirai病毒(有史以來規(guī)模最大的物聯(lián)網惡意軟件威脅之一)的三元兇認罪,美國司法部(DOJ)也發(fā)布了一系列保護物聯(lián)網設備的安全提示。
