長期以來，防火墻一直是保護聯網計算設備和組件免受遠程網絡攻擊的第一道防線——就像前門阻止入侵者進入您的家一樣。這些基于網絡的防火墻和路由器通常安裝在阻塞點，充當互聯網和連接在它們后面的可信計算機之間的保護網關。然而，嵌入式設備、邊緣網絡和云應用程序的激增已經模糊了這些分界線。復雜的網絡架構和拓撲結構使得僅依靠這些傳統(tǒng)網絡防火墻來保護您的設備和應用程序變得更加困難。在此博客中，我們將著眼于了解您的設備所依賴的網絡端口和協(xié)議并禁用它們不需要的那些。

管理網絡表面區(qū)域

網絡表面區(qū)域管理是一項重要的安全最佳實踐，因為它減少了攻擊者利用您設備上的軟件漏洞的機會。以網絡攝像頭為例。該設備是硬件和軟件的混合體，可插入您的網絡以遠程共享視頻。硬件包括鏡頭和依賴軟件將圖片轉換為視頻流的圖像捕捉電子設備。諸如此類的所有設備都具有管理這些進程的固件或操作系統(tǒng)。網絡攝像頭還可能包括其他功能，可將圖像發(fā)送到網絡視頻錄像機或允許用戶登錄設備本身以實時查看它所看到的內容。此外，網絡攝像頭固件可能允許遠程訪問以安裝新功能和部署更新。

了解網絡端口和協(xié)議

有效管理設備服務區(qū)域的重要第一步是了解設備偵聽的端口以及它支持的網絡協(xié)議。首先研究設備本身，并在手冊或其技術支持網站中查找支持的網絡配置。然后，您可以通過確定設備使用的固件或操作系統(tǒng)來擴展您的研究。例如，一些嵌入式設備使用提供通用 UNIX 工具的軟件 BusyBox。將您的研究擴展到特定于設備的操作系統(tǒng)可能還會提供有關如何禁用不需要的服務的其他提示。考慮使用 Network Mapper (NMAP) 等網絡掃描工具遠程探測您的設備，以發(fā)現（或驗證）該工具認為打開的端口。您可以在互聯網上搜索那些您不熟悉的端口，并將這些端口與它們的主機服務相關聯。例如，對 TCP 端口 22 的快速互聯網搜索顯示該端口與用于遠程管理的安全外殼協(xié)議相關聯。這些偵察技術將有助于定義您的設備所依賴的網絡服務以及這些網絡服務中的哪些已啟用并“偵聽”網絡上的遠程連接。

表 1顯示了在嵌入式設備上發(fā)現的網絡端口和協(xié)議的簡化表示。

表 1：網絡攝像頭使用的開放端口和協(xié)議示例。

表 1 中的開放端口（TCP 22、23、80、443、554 和 5000）定義了攻擊者可能成功探測的示例設備的表面區(qū)域。設備上運行的應用程序和服務在這些端口上偵聽入站通信請求。例如，有人使用網絡瀏覽器登錄相機的內置網絡服務器以訪問其功能。攻擊者通常會尋找成功利用設備的最簡單方法，并從掃描數千個 IP 地址開始，尋找他們可以利用的易受攻擊設備的響應。他們通過將特制數據包發(fā)送到設備上的開放端口來實現這一點。如果設備以某種方式響應，那么攻擊者就知道該設備容易受到攻擊。攻擊者可能會使用網絡掃描儀來掃描一臺設備的所有或最常用的端口和協(xié)議，或者攻擊者可能會將他們的掃描激光聚焦到一個特定端口，但目標是互聯網上的數千臺設備。他們的目標是相同的——探測開放端口，希望找到他們可能已經準備好利用的監(jiān)聽服務。一些惡意軟件被授權以這種方式傳播。一旦惡意軟件感染了一臺設備，它就會在攻擊底層服務之前掃描網絡以查找其他易受攻擊的系統(tǒng)。惡意軟件 WannaCry 是此類攻擊的最新示例。感染了 WannaCry 的系統(tǒng)通過探測端口 445 來掃描其鄰居，以尋找易受攻擊的服務器消息塊 (SMB) 文件傳輸服務來加以利用。

保護網絡表面區(qū)域免受攻擊

您可以通過使用以下技術減少設備暴露的網絡表面積來降低成功攻擊的風險。

首先，禁用所有不必要的服務。例如，您可能能夠登錄到設備并禁用 Telnet 服務，這相應地減少了表面積，因為設備不再偵聽 TCP 端口 23（通常與 Telnet 關聯的端口）。禁用不需要的服務還有其他好處。例如，禁用 Telnet 和 HTTP 等不太安全的協(xié)議以支持安全外殼 (SSH) 和 HTTPS 可降低攻擊者攔截未加密通信的風險。

接下來，考慮啟用基于主機的防火墻。所有現代的全功能操作系統(tǒng)都包含某種內置的、基于主機的防火墻。Microsoft、Apple 和大多數 Linux 發(fā)行版默認啟用這些防火墻，并使其配置簡單明了。但是，如果您需要更多說明或想要微調或配置高級設置，有許多互聯網指南可以提供幫助。甚至嵌入式設備現在也包含內置的、基于主機的防火墻，具體取決于設備使用的底層操作系統(tǒng)。例如，Busybox 為嵌入式設備提供流行的 UNIX 工具，并包括安裝和啟用 Linux iptables 防火墻的選項。

最后，使用數據流圖確定設備上游的候選位置，以部署或啟用基于網絡或云的防火墻。云提供商包括提供防火墻功能的抽象安全服務。尋找諸如 Web 應用程序防火墻或網絡安全組之類的術語來啟動。在您的特定設備之外進行這些配置更改需要對網絡設備或云訂閱的管理訪問權限。必須小心確保任何更改不會無意中影響其他服務或設備。使用這些服務和功能在不需要的流量到達您的設備之前過濾和丟棄它們。

結論

一個很好的防御網絡連接設備攻擊的方法是一種深入的策略，其中包括以下每一種技術：

關閉不需要的服務

為每個設備啟用基于主機的防火墻

在云端或網絡網關過濾不需要的網絡流量

這些技術與其他安全最佳實踐很好地融合在一起，例如確保您的底層應用程序、固件和操作系統(tǒng)應用了最新的安全更新，并且您的用戶不會過度配置特權訪問。請參閱我的其他安全博客條目，包括通過日志記錄和警報識別異常設備行為，以了解有關這些其他技術的更多信息。

審核編輯：湯梓紅