通過基于主機和網(wǎng)絡(luò)的防火墻對嵌入式設(shè)備進行表面區(qū)域管理

長期以來，防火墻一直是保護聯(lián)網(wǎng)計算設(shè)備和組件免受遠(yuǎn)程網(wǎng)絡(luò)攻擊的第一道防線——就像前門阻止入侵者進入您的家一樣。這些基于網(wǎng)絡(luò)的防火墻和路由器通常安裝在阻塞點，充當(dāng)互聯(lián)網(wǎng)和連接在它們后面的可信計算機之間的保護網(wǎng)關(guān)。然而，嵌入式設(shè)備、邊緣網(wǎng)絡(luò)和云應(yīng)用程序的激增已經(jīng)模糊了這些分界線。復(fù)雜的網(wǎng)絡(luò)架構(gòu)和拓?fù)浣Y(jié)構(gòu)使得僅依靠這些傳統(tǒng)網(wǎng)絡(luò)防火墻來保護您的設(shè)備和應(yīng)用程序變得更加困難。在此博客中，我們將著眼于了解您的設(shè)備所依賴的網(wǎng)絡(luò)端口和協(xié)議并禁用它們不需要的那些。

管理網(wǎng)絡(luò)表面區(qū)域

網(wǎng)絡(luò)表面區(qū)域管理是一項重要的安全最佳實踐，因為它減少了攻擊者利用您設(shè)備上的軟件漏洞的機會。以網(wǎng)絡(luò)攝像頭為例。該設(shè)備是硬件和軟件的混合體，可插入您的網(wǎng)絡(luò)以遠(yuǎn)程共享視頻。硬件包括鏡頭和依賴軟件將圖片轉(zhuǎn)換為視頻流的圖像捕捉電子設(shè)備。諸如此類的所有設(shè)備都具有管理這些進程的固件或操作系統(tǒng)。網(wǎng)絡(luò)攝像頭還可能包括其他功能，可將圖像發(fā)送到網(wǎng)絡(luò)視頻錄像機或允許用戶登錄設(shè)備本身以實時查看它所看到的內(nèi)容。此外，網(wǎng)絡(luò)攝像頭固件可能允許遠(yuǎn)程訪問以安裝新功能和部署更新。

了解網(wǎng)絡(luò)端口和協(xié)議

有效管理設(shè)備服務(wù)區(qū)域的重要第一步是了解設(shè)備偵聽的端口以及它支持的網(wǎng)絡(luò)協(xié)議。首先研究設(shè)備本身，并在手冊或其技術(shù)支持網(wǎng)站中查找支持的網(wǎng)絡(luò)配置。然后，您可以通過確定設(shè)備使用的固件或操作系統(tǒng)來擴展您的研究。例如，一些嵌入式設(shè)備使用提供通用 UNIX 工具的軟件 BusyBox。將您的研究擴展到特定于設(shè)備的操作系統(tǒng)可能還會提供有關(guān)如何禁用不需要的服務(wù)的其他提示?？紤]使用 Network Mapper (NMAP) 等網(wǎng)絡(luò)掃描工具遠(yuǎn)程探測您的設(shè)備，以發(fā)現(xiàn)（或驗證）該工具認(rèn)為打開的端口。您可以在互聯(lián)網(wǎng)上搜索那些您不熟悉的端口，并將這些端口與它們的主機服務(wù)相關(guān)聯(lián)。例如，對 TCP 端口 22 的快速互聯(lián)網(wǎng)搜索顯示該端口與用于遠(yuǎn)程管理的安全外殼協(xié)議相關(guān)聯(lián)。這些偵察技術(shù)將有助于定義您的設(shè)備所依賴的網(wǎng)絡(luò)服務(wù)以及這些網(wǎng)絡(luò)服務(wù)中的哪些已啟用并“偵聽”網(wǎng)絡(luò)上的遠(yuǎn)程連接。

表 1顯示了在嵌入式設(shè)備上發(fā)現(xiàn)的網(wǎng)絡(luò)端口和協(xié)議的簡化表示。

表 1：網(wǎng)絡(luò)攝像頭使用的開放端口和協(xié)議示例。

表 1 中的開放端口（TCP 22、23、80、443、554 和 5000）定義了攻擊者可能成功探測的示例設(shè)備的表面區(qū)域。設(shè)備上運行的應(yīng)用程序和服務(wù)在這些端口上偵聽入站通信請求。例如，有人使用網(wǎng)絡(luò)瀏覽器登錄相機的內(nèi)置網(wǎng)絡(luò)服務(wù)器以訪問其功能。攻擊者通常會尋找成功利用設(shè)備的最簡單方法，并從掃描數(shù)千個 IP 地址開始，尋找他們可以利用的易受攻擊設(shè)備的響應(yīng)。他們通過將特制數(shù)據(jù)包發(fā)送到設(shè)備上的開放端口來實現(xiàn)這一點。如果設(shè)備以某種方式響應(yīng)，那么攻擊者就知道該設(shè)備容易受到攻擊。攻擊者可能會使用網(wǎng)絡(luò)掃描儀來掃描一臺設(shè)備的所有或最常用的端口和協(xié)議，或者攻擊者可能會將他們的掃描激光聚焦到一個特定端口，但目標(biāo)是互聯(lián)網(wǎng)上的數(shù)千臺設(shè)備。他們的目標(biāo)是相同的——探測開放端口，希望找到他們可能已經(jīng)準(zhǔn)備好利用的監(jiān)聽服務(wù)。一些惡意軟件被授權(quán)以這種方式傳播。一旦惡意軟件感染了一臺設(shè)備，它就會在攻擊底層服務(wù)之前掃描網(wǎng)絡(luò)以查找其他易受攻擊的系統(tǒng)。惡意軟件 WannaCry 是此類攻擊的最新示例。感染了 WannaCry 的系統(tǒng)通過探測端口 445 來掃描其鄰居，以尋找易受攻擊的服務(wù)器消息塊 (SMB) 文件傳輸服務(wù)來加以利用。

保護網(wǎng)絡(luò)表面區(qū)域免受攻擊

您可以通過使用以下技術(shù)減少設(shè)備暴露的網(wǎng)絡(luò)表面積來降低成功攻擊的風(fēng)險。

首先，禁用所有不必要的服務(wù)。例如，您可能能夠登錄到設(shè)備并禁用 Telnet 服務(wù)，這相應(yīng)地減少了表面積，因為設(shè)備不再偵聽 TCP 端口 23（通常與 Telnet 關(guān)聯(lián)的端口）。禁用不需要的服務(wù)還有其他好處。例如，禁用 Telnet 和 HTTP 等不太安全的協(xié)議以支持安全外殼 (SSH) 和 HTTPS 可降低攻擊者攔截未加密通信的風(fēng)險。

接下來，考慮啟用基于主機的防火墻。所有現(xiàn)代的全功能操作系統(tǒng)都包含某種內(nèi)置的、基于主機的防火墻。Microsoft、Apple 和大多數(shù) Linux 發(fā)行版默認(rèn)啟用這些防火墻，并使其配置簡單明了。但是，如果您需要更多說明或想要微調(diào)或配置高級設(shè)置，有許多互聯(lián)網(wǎng)指南可以提供幫助。甚至嵌入式設(shè)備現(xiàn)在也包含內(nèi)置的、基于主機的防火墻，具體取決于設(shè)備使用的底層操作系統(tǒng)。例如，Busybox 為嵌入式設(shè)備提供流行的 UNIX 工具，并包括安裝和啟用 Linux iptables 防火墻的選項。

最后，使用數(shù)據(jù)流圖確定設(shè)備上游的候選位置，以部署或啟用基于網(wǎng)絡(luò)或云的防火墻。云提供商包括提供防火墻功能的抽象安全服務(wù)。尋找諸如 Web 應(yīng)用程序防火墻或網(wǎng)絡(luò)安全組之類的術(shù)語來啟動。在您的特定設(shè)備之外進行這些配置更改需要對網(wǎng)絡(luò)設(shè)備或云訂閱的管理訪問權(quán)限。必須小心確保任何更改不會無意中影響其他服務(wù)或設(shè)備。使用這些服務(wù)和功能在不需要的流量到達您的設(shè)備之前過濾和丟棄它們。

結(jié)論

一個很好的防御網(wǎng)絡(luò)連接設(shè)備攻擊的方法是一種深入的策略，其中包括以下每一種技術(shù)：

關(guān)閉不需要的服務(wù)

為每個設(shè)備啟用基于主機的防火墻

在云端或網(wǎng)絡(luò)網(wǎng)關(guān)過濾不需要的網(wǎng)絡(luò)流量

這些技術(shù)與其他安全最佳實踐很好地融合在一起，例如確保您的底層應(yīng)用程序、固件和操作系統(tǒng)應(yīng)用了最新的安全更新，并且您的用戶不會過度配置特權(quán)訪問。請參閱我的其他安全博客條目，包括通過日志記錄和警報識別異常設(shè)備行為，以了解有關(guān)這些其他技術(shù)的更多信息。

審核編輯：湯梓紅