1、避免设备直接联网
不部署防火墙或将防火墙置于设备后端的行为均不可取。 防火墙应置于该设备联网之前,在防火墙中开放特定端口实现设备的远程访问。
很多IoT设备在生产过程中都不会考虑到安全这一环,如果联网前没有防火墙保护,这相当于我们主动将攻击者邀请到我们的网络中“做客”。很多路由器一般都有内置防火墙,但其它设备我们就必须为它们穿上防火墙这件保护衣。
2、更改默认密码
拿到这些设备后我们要做的第一件事就是把初始密码改成复杂的你又记得住的密码。就算密码忘记了,也不是走投无路,现在市场上大多数设备都有恢复出厂设置的功能。
但是也有很多情况比较悲剧,很多物联网设备,尤其是安全监控设备、DVR在安全问题上实在设计得太差,就算改掉初始密码,一旦连网,内置的web界面还是无法阻止任何攻击活动的入侵。
而且,很多设备被发现存在隐藏的后门,攻击者能够利用这些后门程序对你的设备进行远程控制。所以第一条原则的重要性也就可想而知。
3条、更新固件
硬件供应商有时会为支持他们设备的软件(称为“固件”)提供安全更新程序。因此,安装设备之前先访问厂商官网查看是否有固件更新,另外也要养成定期查看的习惯。
4、检查默认设置
确保像UPnP(通用即插即用,主要用于设备的智能互联互通,能够在你不知情的情况下开放防火墙端口)这类你不需要的功能已经被设置成“禁用”。
如何才能知道路由器的防火墙是否被“挖了洞”?Censys这个搜索引擎兼具扫描功能:首先打开 whatismyipaddress.com ,然后将IP地址复制到 censys.io 的搜索框中,从下拉菜单中选择“ipv4 hosts”,点击“搜索”。
如果刚好你的ISP地址在censys的黑名单中,可以访问Steve Gibson的 Shield’s Up页面 ,上面有一个点击工具,能够帮助你发现你所在网络中哪个网关或端口被恶意打开。通过网络搜索开放端口往往能够获得有效信息,确定设备可能存在的漏洞。
如果你的计算机中安装了反病毒软件,确保升级到网络安全或互联网安全版本,开启软件防火墙的所有功能,确保能够拦截特定端口的进出流量。
另外,Glasswire (基础版39美元,专业版69美元)也是一个不错的工具,不但具备防火墙所有功能,并且能够告知用户哪些设备带宽占用最多。最近我用Glasswire发现了一个每天使用千兆字节带宽的程序(“亚马逊音乐”客户端一个糟糕的更新版本)。
5、避免购买具有内置P2P(对等网络)功能的物联网设备。
P2P物联网设备的安全防护实施起来非常困难。很多研究都表明,即使有防火墙,攻击者也能实现远程访问,因为P2P的配置特点之一就是持续不断地连接共享网络,直到成功。因此攻击者完全有可能实现远程访问。这也是人们对物联网设备安全存在恐慌心理的原因之一。
6、成本越低的设备,安全性可能越差。
90%廉价的物联网设备都不安全。当然,价格与安全性没有直接关联,但是无数案例说明,价格范围较低的设备往往漏洞和后门更多,厂商的维护和售后支持力度也不够。
2017年年底,Mirai病毒(有史以来规模最大的物联网恶意软件威胁之一)的三元凶认罪,美国司法部(DOJ)也发布了一系列保护物联网设备的安全提示。