怎么让物联网设备更安全？这三个办法你应该知道

无论现在还是将来，使物联网（IoT）设备保持安全是十分必要的。完成这项任务需要时间和专业知识，并需要掌握整个物联网生态系统的发展方向。

通过反思过去几年物联网领域的一些失败案例，物联网设备的开发商和制造商可获得一些启示，小编认为这是确保物联网设备安全的一个方法。

此外， 我们需要快速认清网络上的一个安全误区。 用户必须输入物联网设备的数字IP地址才能访问网络 ，但这并不意味着物联网设备可以安全地在网络上运行。 事实上，有许多脚本和程序可以简单地扫描普通设备和易受攻击系统的整个有效IP地址范围，但有时，执行这个操作很可能是系统受损的网络。

有鉴于此，笔者整理了一些简单有效的方法可以使物联网设备更安全。

不使用通用默认密码

大多数受到破坏的物联网设备存在漏洞是因为它们具有硬编码的默认密码。开发商给telnet访问或Web仪表板分配了一个通用的管理员密码，用户或安装人员通常不会去更改这些密码。

很多人都会知道通用密码，而用户会在网上留下大量的上网记录，这就会致使信息泄露。这也是导致2016年以来最大的僵尸网络——Mirai产生的原因之一。

正对这种情况，设备制造商在设备底部打印随机密码。这正是无线路由器制造商正在做的事情。使用这种方法，每个设备都出厂时具有不同的登录凭据，如果用户没有物理访问设备，则无法知道默认设置。这不是一个完美的方法，但它确实关闭了可能招致黑客和僵尸网络攻击的一扇门。

关闭所有端口

物联网僵尸网络中的许多设备都有开放的telnet端口。开放的端口使得制造商可以远程登录这些设备，从而进行设备维护或更改底层操作系统。 我们对物联网制造商提出的建议是：如果可能的话，不要打开传入端口。

事实证明，这个方法比物联网设备开放端口传出TCP / IP连接到可信任的主机要好的多。 这个方法也可阻止使用开放的telnet和SSH端口来感染其主机的Mirai僵尸网络。

但这带来了一个问题，如果用户需要远程访问或维护的路径，那该怎么办？ 有一个解决方案是使用反向隧道的SSH功能。 使用现有的消息传递连接（例如MQTT），用户可以操控设备在需要时“打电话回家”，建立与控制服务器的连接并打开反向隧道。

此反向隧道可用于SSH到IoT设备。 通过这种方法，黑客永远连接不上用户的物联网设备，并且用户还可以解决连接网络地址转换（NAT）的设备的问题。

构建安全Web应用程序

Web服务器的内置物联网设备有很多。服务器给设备提供了一个很好的独立平台：用户可以输入打印机或安全摄像头的IP地址来控制设备或监控设备的状态，且不需要制造商提供持续的云服务。

但是，物联网设备构建者不一定知道如何构建安全的Web应用程序，这本身就是一门技术。开放式Web应用程序安全项目OWASP列出了十大最常见的Web应用程序漏洞，这对想成为Web的开发人员来说是一笔巨大的财富。

2017年3月，摄像机和数字视频录像机（DVR）的大型制造商大华为其设备发布了安全补丁，以解决其设备上嵌入式Web服务器的问题。但这个方案存在漏洞：允许黑客使用设计的URL来提取设备的所有用户名和密码，为连接到互联网的任何人提供了打开了每个设备的功能。

即使制造商已经掌握了安全Web应用程序的技术，仍然存在未知漏洞的可能性。 考虑到这一点，在需要时建立一个系统来对Web应用程序或物联网设备上的任何软件进行快速更新至关重要。 通过在开发阶段给予适当的关注，可以使物联网设备查找和接收软件更新，从而可以有效地修补未来的错误，并且使设备可以在其整个生命周期内保持安全。