保護物聯網安全的6條基本原則，你做到了幾條？

隨著物聯網深入普及，點進來看這篇文章的你肯定也聽說過各種關於「物聯網宿命」的預言。任何聯網的設備，例如，監控攝像、路由器、數字視頻記錄器、可穿戴設備、智能燈等都存在安全風險，並且大多數使用人群都不知道如何保護它們的網路安全。

2016到2017年，大型殭屍網路發起的攻擊都是通過入侵物聯網設備實現的。很多專家都認為互聯網安全「前路險惡」。但是也不必太悲觀，方法總比問題多。下文我們將介紹提高物聯網安全的6條基本原則，降低被攻擊風險，避免讓物聯網設備成為你最大的弱點。

第1條：避免設備直接聯網。

不部署防火牆或將防火牆置於設備後端的行為均不可取。防火牆應置於該設備聯網之前，在防火牆中開放特定埠實現設備的遠程訪問。

很多IoT設備在生產過程中都不會考慮到安全這一環，如果聯網前沒有防火牆保護，這相當於我們主動將攻擊者邀請到我們的網路中「做客」。很多路由器一般都有內置防火牆，但其它設備我們就必須為它們穿上防火牆這件保護衣。

第2條

：更改默認密碼。

拿到這些設備後我們要做的第一件事就是把初始密碼改成複雜的你又記得住的密碼。就算密碼忘記了，也不是走投無路，現在市場上大多數設備都有恢復出廠設置的功能。

但是也有很多情況比較悲劇，很多物聯網設備，尤其是安全監控設備、DVR在安全問題上實在設計得太差，就算改掉初始密碼，一旦連網，內置的web界面還是無法阻止任何攻擊活動的入侵。

而且，很多設備被發現存在隱藏的後門，攻擊者能夠利用這些後門程序對你的設備進行遠程控制。所以第一條原則的重要性也就可想而知。

第3條：更新固件。

硬體供應商有時會為支持他們設備的軟體（稱為「固件」）提供安全更新程序。因此，安裝設備之前先訪問廠商官網查看是否有固件更新，另外也要養成定期查看的習慣。

第4條：檢查默認設置。

確保像UPnP（通用即插即用，主要用於設備的智能互聯互通，能夠在你不知情的情況下開放防火牆埠）這類你不需要的功能已經被設置成「禁用」。

如何才能知道路由器的防火牆是否被「挖了洞」？Censys這個搜索引擎兼具掃描功能：首先打開whatismyipaddress.com，然後將IP地址複製到censys.io的搜索框中，從下拉菜單中選擇「ipv4 hosts」，點擊「搜索」。

如果剛好你的ISP地址在censys的黑名單中，可以訪問Steve Gibson的 Shield』s Up頁面 ，上面有一個點擊工具，能夠幫助你發現你所在網路中哪個網關或埠被惡意打開。通過網路搜索開放埠往往能夠獲得有效信息，確定設備可能存在的漏洞。

如果你的計算機中安裝了反病毒軟體，確保升級到網路安全或互聯網安全版本，開啟軟體防火牆的所有功能，確保能夠攔截特定埠的進出流量。

另外，Glasswire（基礎版39美元，專業版69美元）也是一個不錯的工具，不但具備防火牆所有功能，並且能夠告知用戶哪些設備帶寬佔用最多。最近我用Glasswire發現了一個每天使用千兆位元組帶寬的程序（「亞馬遜音樂」客戶端一個糟糕的更新版本）。

第5條：避免購買具有內置P2P（對等網路）功能的物聯網設備。

P2P物聯網設備的安全防護實施起來非常困難。很多研究都表明，即使有防火牆，攻擊者也能實現遠程訪問，因為P2P的配置特點之一就是持續不斷地連接共享網路，直到成功。因此攻擊者完全有可能實現遠程訪問。這也是人們對物聯網設備安全存在恐慌心理的原因之一。

第6條：成本越低的設備，安全性可能越差。

90%廉價的物聯網設備都不安全。當然，價格與安全性沒有直接關聯，但是無數案例說明，價格範圍較低的設備往往漏洞和後門更多，廠商的維護和售後支持力度也不夠。

2017年年底，Mirai病毒(有史以來規模最大的物聯網惡意軟體威脅之一)的三元兇認罪，美國司法部（DOJ）也發布了一系列保護物聯網設備的安全提示，詳情戳此處。

最後的溫馨提醒

很多人看到這些安全提示都會嗤之以鼻，明明道理都懂，有時候就是做不到。良好的開發、部署和操作習慣非常有必要，減少物聯網對全球安全問題的影響，最重要的還是每一個人從最基本的做起。採取主動防禦措施，自求多福。

*參考來源：krebsonsecurity.com，FB小編柚子編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！