通過安全協(xié)議保護設(shè)備通信

大多數(shù)物聯(lián)網(wǎng) (IoT) 設(shè)備都依靠網(wǎng)絡(luò)通信來實現(xiàn)其獨特的功能——無論是您可以通過手機控制的燈泡，還是您的汽車通知經(jīng)銷商該換油了。同樣，我們在手機、平板電腦、筆記本電腦和工作站上使用的應(yīng)用程序使用網(wǎng)絡(luò)從數(shù)據(jù)中心和云中的服務(wù)器發(fā)送和接收信息。在設(shè)計環(huán)境的安全性并選擇這些設(shè)備、系統(tǒng)和應(yīng)用程序時，了解它們用于這些通信的底層網(wǎng)絡(luò)協(xié)議至關(guān)重要。隨著互聯(lián)網(wǎng)的不斷發(fā)展和成熟，曾經(jīng)被認為安全的東西可能不再安全，因此重要的是要了解最新的技術(shù)，并根據(jù)情況更新您的設(shè)備或您允許的協(xié)議。攻擊者尋找軟件中的漏洞，通常首先檢查通過網(wǎng)絡(luò)在設(shè)備之間發(fā)送的數(shù)據(jù)。使用安全協(xié)議有助于確保您的數(shù)據(jù)保密并保護您的設(shè)備。

在過去的幾十年中，其中許多協(xié)議已經(jīng)顯著發(fā)展，變得更加高效和安全。重要的是要了解協(xié)議何時更改，并始終使用最新的、推薦的安全協(xié)議，以防止攻擊者窺探您的敏感數(shù)據(jù)或獲得對您的網(wǎng)絡(luò)和設(shè)備的訪問權(quán)限。安全協(xié)議是一種設(shè)計用于在不受信任的網(wǎng)絡(luò)（例如互聯(lián)網(wǎng)）上運行并確保其有效負載在沒有篡改、窺探或其他干擾的情況下成功交付的協(xié)議。在某些情況下，您可以直接選擇用于某項活動的協(xié)議，例如是使用 Secure Shell 還是 Telnet 進行遠程管理。在其他情況下，您可能需要更深入地研究您的應(yīng)用程序或設(shè)備以選擇要支持的特定協(xié)議版本——例如，何時禁用握手和加密協(xié)議的不安全版本安全套接字層 (SSL) v2 到 v3 并遷移到當(dāng)前的傳輸層安全 (TLS) 協(xié)議。至少，保留一份您使用的協(xié)議的列表。除了響應(yīng)您可能從設(shè)備制造商處收到的通知外，還應(yīng)定期在互聯(lián)網(wǎng)上搜索最佳做法。

使用安全協(xié)議進行遠程管理

使用安全協(xié)議進行遠程管理至關(guān)重要，尤其是當(dāng)設(shè)備已從內(nèi)部部署的隔離網(wǎng)絡(luò)擴展到基于互聯(lián)網(wǎng)連接的基于云的應(yīng)用程序時。其中一個例子是從 Telnet 遷移到 Secure Shell 以進行遠程命令行管理。技術(shù)的發(fā)展推動了這種變化。多年前，網(wǎng)絡(luò)管理員通常通過控制臺電纜通過點對點串行連接使用 Telnet 連接到他們的設(shè)備。然而，隨著遠程管理從串行電纜轉(zhuǎn)向網(wǎng)絡(luò)連接，使用 Telnet 不再適用。攻擊者可以監(jiān)聽 Telnet 會話、窺探配置信息，甚至竊取設(shè)備的登錄憑據(jù)。Telnet 是一個非?；镜膮f(xié)議，它的消息沒有加密。如果您使用您的網(wǎng)絡(luò)目錄憑據(jù)遠程登錄到設(shè)備上的 Telnet 服務(wù)器，您將面臨攻擊者攔截這些憑據(jù)的風(fēng)險，然后他們可以使用這些憑據(jù)訪問其他資源。Secure Shell 提供了許多與 Telnet 相同的基于命令行的遠程訪問功能以及更多功能，包括加密、使用證書的強身份驗證以及對欺騙的抵抗。

選擇安全協(xié)議

選擇安全協(xié)議不僅僅是 IT 管理員的責(zé)任——每個人都在某種程度上受到影響。以普通的網(wǎng)頁瀏覽為例。2018 年 7 月，谷歌在 Chrome 網(wǎng)絡(luò)瀏覽器中引入了一項功能，每當(dāng)用戶訪問未使用加密的網(wǎng)站時，就會在 URL 欄中觸發(fā)警報。使用未加密的 HTTP 協(xié)議訪問站點會導(dǎo)致 URL 欄中出現(xiàn)“不安全”警報。當(dāng)通過 HTTP 訪問網(wǎng)站時，Microsoft 的 Edge 瀏覽器也會警告用戶“小心”并且該網(wǎng)站未加密，盡管與 Chrome 中顯示的警告相比，該消息有些隱藏。HTTPS 是用于 Web 瀏覽的安全協(xié)議，它對客戶端和服務(wù)器之間的通信進行加密，同時還提供對服務(wù)器的身份驗證。在過去，您可能會以未加密的 HTTP 開始您的網(wǎng)上沖浪會話，然后每當(dāng)您要傳輸敏感信息（例如在線商店結(jié)賬）時，網(wǎng)站會將您重定向到安全頁面 (HTTPS)。不過，這種做法正在發(fā)生變化，如今越來越多的網(wǎng)站始終處于加密狀態(tài)。例如，當(dāng)您輸入google網(wǎng)址時，您的瀏覽器會將您重定向到安全的等價物 ，自動將您從不安全的 HTTP 協(xié)議遷移到更安全的 HTTPS協(xié)議。此外，在這種重定向不可行的情況下，瀏覽器會向您發(fā)出“不安全”警報。如今，越來越多的網(wǎng)站始終處于加密狀態(tài)。例如，當(dāng)您輸入 https://www.google.com 時，您的瀏覽器會將您重定向到安全的等價物，自動將您從不安全的 HTTP 協(xié)議遷移到更安全的 HTTPS協(xié)議。此外，在這種重定向不可行的情況下，瀏覽器會向您發(fā)出“不安全”警報。如今，越來越多的網(wǎng)站始終處于加密狀態(tài)。例如，當(dāng)您輸入 https://www.google.com 時，您的瀏覽器會將您重定向到安全的等價物 ，自動將您從不安全的 HTTP 協(xié)議遷移到更安全的 HTTPS協(xié)議。此外，在這種重定向不可行的情況下，瀏覽器會向您發(fā)出“不安全”警報。

安全協(xié)議在用戶身份驗證等其他敏感活動中發(fā)揮著重要作用。對于這些較低級別的協(xié)議，選擇使用哪些協(xié)議和禁用哪些協(xié)議可能并不總是直截了當(dāng)，但重要的是要密切關(guān)注這些協(xié)議。以用于對 Windows 資源的用戶進行身份驗證的協(xié)議為例——NT LanManager (NTLM) 和 Kerberos。微軟早在 90 年代就開發(fā)了 NTLM 協(xié)議以方便客戶端和服務(wù)器之間的身份驗證，并且自第一個版本以來微軟發(fā)布了多個改進版本。通過 Microsoft Active Directory 組策略管理工具，您可以指定在什么情況下使用哪個版本的 NTLM。例如，您可以選擇一個更安全的版本，但協(xié)商為一個不太安全的版本，以便與舊設(shè)備進行互操作。隨著 Windows Server 2000 中 Active Directory 的發(fā)布，Microsoft 引入了對身份驗證協(xié)議 Kerberos 的支持，該協(xié)議現(xiàn)在是對加入 Windows 域的系統(tǒng)的用戶進行身份驗證的默認協(xié)議。Microsoft 目前不推薦 NTLM，因為它不支持當(dāng)前的加密模塊并且容易受到散列傳遞和暴力攻擊。但是，管理員仍必須在未加入域的獨立系統(tǒng)上使用 NTLM 進行登錄身份驗證。由于這個原因，可能很難簡單地廣泛禁用 NTLM，并且您的環(huán)境中可能還有其他依賴 NTLM 的系統(tǒng)和應(yīng)用程序。為了更好地了解您環(huán)境中的 NTLM 使用情況，請考慮首先審核 NTLM 使用情況（使用 Microsoft 的組策略工具）以更好地了解您對它的依賴性。

除了遠程管理訪問、Web 瀏覽和身份驗證之外，您的設(shè)備還不可避免地使用許多其他協(xié)議。查看您的設(shè)備信息或聯(lián)系您的設(shè)備制造商，以了解他們需要什么協(xié)議，以及考慮到他們傳輸?shù)臄?shù)據(jù)或所在網(wǎng)絡(luò)的敏感性，這些協(xié)議是否合適。要了解更多信息，請考慮安裝網(wǎng)絡(luò)嗅探器（如 Wireshark）來獲取網(wǎng)絡(luò)流量的快照。您可能會對您對自己網(wǎng)絡(luò)的了解感到驚訝。雖然您可能無法完全評估任何給定協(xié)議的安全性，但您可以尋找不安全流量的線索，例如，查看未加密的網(wǎng)絡(luò)流量和從設(shè)備發(fā)送的有效負載。這些知識還將幫助您評估和選擇新設(shè)備和應(yīng)用程序。

審核編輯hhy