無(wú)論現(xiàn)在還是將來(lái)，使物聯(lián)網(wǎng)（IoT）設(shè)備保持安全是十分必要的。完成這項(xiàng)任務(wù)需要時(shí)間和專業(yè)知識(shí)，并需要掌握整個(gè)物聯(lián)網(wǎng)生態(tài)系統(tǒng)的發(fā)展方向。

通過(guò)反思過(guò)去幾年物聯(lián)網(wǎng)領(lǐng)域的一些失敗案例，物聯(lián)網(wǎng)設(shè)備的開(kāi)發(fā)商和制造商可獲得一些啟示，小編認(rèn)為這是確保物聯(lián)網(wǎng)設(shè)備安全的一個(gè)方法。

此外， 我們需要快速認(rèn)清網(wǎng)絡(luò)上的一個(gè)安全誤區(qū)。 用戶必須輸入物聯(lián)網(wǎng)設(shè)備的數(shù)字IP地址才能訪問(wèn)網(wǎng)絡(luò) ，但這并不意味著物聯(lián)網(wǎng)設(shè)備可以安全地在網(wǎng)絡(luò)上運(yùn)行。 事實(shí)上，有許多腳本和程序可以簡(jiǎn)單地掃描普通設(shè)備和易受攻擊系統(tǒng)的整個(gè)有效IP地址范圍，但有時(shí)，執(zhí)行這個(gè)操作很可能是系統(tǒng)受損的網(wǎng)絡(luò)。

有鑒于此，筆者整理了一些簡(jiǎn)單有效的方法可以使物聯(lián)網(wǎng)設(shè)備更安全。

不使用通用默認(rèn)密碼

大多數(shù)受到破壞的物聯(lián)網(wǎng)設(shè)備存在漏洞是因?yàn)樗鼈兙哂杏簿幋a的默認(rèn)密碼。開(kāi)發(fā)商給telnet訪問(wèn)或Web儀表板分配了一個(gè)通用的管理員密碼，用戶或安裝人員通常不會(huì)去更改這些密碼。

很多人都會(huì)知道通用密碼，而用戶會(huì)在網(wǎng)上留下大量的上網(wǎng)記錄，這就會(huì)致使信息泄露。這也是導(dǎo)致2016年以來(lái)最大的僵尸網(wǎng)絡(luò)——Mirai產(chǎn)生的原因之一。

正對(duì)這種情況，設(shè)備制造商在設(shè)備底部打印隨機(jī)密碼。這正是無(wú)線路由器制造商正在做的事情。使用這種方法，每個(gè)設(shè)備都出廠時(shí)具有不同的登錄憑據(jù)，如果用戶沒(méi)有物理訪問(wèn)設(shè)備，則無(wú)法知道默認(rèn)設(shè)置。這不是一個(gè)完美的方法，但它確實(shí)關(guān)閉了可能招致黑客和僵尸網(wǎng)絡(luò)攻擊的一扇門。

關(guān)閉所有端口

物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)中的許多設(shè)備都有開(kāi)放的telnet端口。開(kāi)放的端口使得制造商可以遠(yuǎn)程登錄這些設(shè)備，從而進(jìn)行設(shè)備維護(hù)或更改底層操作系統(tǒng)。 我們對(duì)物聯(lián)網(wǎng)制造商提出的建議是：如果可能的話，不要打開(kāi)傳入端口。

事實(shí)證明，這個(gè)方法比物聯(lián)網(wǎng)設(shè)備開(kāi)放端口傳出TCP / IP連接到可信任的主機(jī)要好的多。 這個(gè)方法也可阻止使用開(kāi)放的telnet和SSH端口來(lái)感染其主機(jī)的Mirai僵尸網(wǎng)絡(luò)。

但這帶來(lái)了一個(gè)問(wèn)題，如果用戶需要遠(yuǎn)程訪問(wèn)或維護(hù)的路徑，那該怎么辦？ 有一個(gè)解決方案是使用反向隧道的SSH功能。 使用現(xiàn)有的消息傳遞連接（例如MQTT），用戶可以操控設(shè)備在需要時(shí)“打電話回家”，建立與控制服務(wù)器的連接并打開(kāi)反向隧道。

此反向隧道可用于SSH到IoT設(shè)備。 通過(guò)這種方法，黑客永遠(yuǎn)連接不上用戶的物聯(lián)網(wǎng)設(shè)備，并且用戶還可以解決連接網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）的設(shè)備的問(wèn)題。

構(gòu)建安全Web應(yīng)用程序

Web服務(wù)器的內(nèi)置物聯(lián)網(wǎng)設(shè)備有很多。服務(wù)器給設(shè)備提供了一個(gè)很好的獨(dú)立平臺(tái)：用戶可以輸入打印機(jī)或安全攝像頭的IP地址來(lái)控制設(shè)備或監(jiān)控設(shè)備的狀態(tài)，且不需要制造商提供持續(xù)的云服務(wù)。

但是，物聯(lián)網(wǎng)設(shè)備構(gòu)建者不一定知道如何構(gòu)建安全的Web應(yīng)用程序，這本身就是一門技術(shù)。開(kāi)放式Web應(yīng)用程序安全項(xiàng)目OWASP列出了十大最常見(jiàn)的Web應(yīng)用程序漏洞，這對(duì)想成為Web的開(kāi)發(fā)人員來(lái)說(shuō)是一筆巨大的財(cái)富。

2017年3月，攝像機(jī)和數(shù)字視頻錄像機(jī)（DVR）的大型制造商大華為其設(shè)備發(fā)布了安全補(bǔ)丁，以解決其設(shè)備上嵌入式Web服務(wù)器的問(wèn)題。但這個(gè)方案存在漏洞：允許黑客使用設(shè)計(jì)的URL來(lái)提取設(shè)備的所有用戶名和密碼，為連接到互聯(lián)網(wǎng)的任何人提供了打開(kāi)了每個(gè)設(shè)備的功能。

即使制造商已經(jīng)掌握了安全Web應(yīng)用程序的技術(shù)，仍然存在未知漏洞的可能性。 考慮到這一點(diǎn)，在需要時(shí)建立一個(gè)系統(tǒng)來(lái)對(duì)Web應(yīng)用程序或物聯(lián)網(wǎng)設(shè)備上的任何軟件進(jìn)行快速更新至關(guān)重要。 通過(guò)在開(kāi)發(fā)階段給予適當(dāng)?shù)年P(guān)注，可以使物聯(lián)網(wǎng)設(shè)備查找和接收軟件更新，從而可以有效地修補(bǔ)未來(lái)的錯(cuò)誤，并且使設(shè)備可以在其整個(gè)生命周期內(nèi)保持安全。