IoT防駭有撇步:為你的專題提升安全性

八月 24, 2018
Facebook
Twitter

當你將專題連接成功並運作而感到洋洋得意時,很容易忘記少了基本的安全防護,IoT專題會是多麼不堪一擊。你也許會疑惑,為何有人願意費盡心思控制你家的燈光,但對駭客而言,進入未受保護的網路就像進入資訊寶山一般。所以請用以下容易操作的小訣竅來保護自己以及專題吧!

 

適用於樹莓派Raspberry PiLinux系統電路板

1. 更改預設的使用者密碼

所有Raspbian作業系統使用者pi的預設密碼都相同。攻擊者在採取更精密的攻擊前,會先用一些較常見的預設密碼試著進入系統。請使用passwd指令為自己設定一個既獨特又高強度的新密碼來防止駭客。

請參閱Raspberry Pi使用者說明,裡面有使用passwd指令更改使用者密碼的詳細說明。另外請查閱高強度密碼建議,如此一來,攻擊者要猜中密碼或進行暴力攻擊就會難如登天。

 

2. 停用SSH密碼登錄功能

即便密碼再完善,遇上意志堅強的攻擊者風險依舊存在。他們會猜測密碼並以SSH遠端連線機器。為了避免這種情形,請使用安全金鑰登錄電路板。金鑰只會授予被允許的電腦進行存取,且金鑰使用縝密的加密方式,讓有心人士難以猜測並突破。更棒的是,只要你設定使用金鑰登錄,就不用再記密碼了!

請參閱Raspberry Pi 安全說明有關金鑰認證的部分,其中對於將SSH設定為通過金鑰登錄有詳細說明。

 

3. 作業系統保持最新版本

沒有任何軟體是完美的,總會出現一些漏洞或錯誤,讓攻擊者有機可趁,進而連接你的電路板。勤用apt-get upgrade指令,讓電路板的作業系統擁有安全性修補及修正程式,使電腦處於最新狀態。

有關於如何使用apt-get upgrade指令取得最新軟體,請參閱 Raspberry Pi更新及升級說明以了解更多細節

 

4. 建立防火牆

你的IoT裝置可能沒有使用所有Pi作業系統提供的服務,像是網頁伺服器、郵件伺服器或其他項目。請使用防火牆關閉未使用的服務。如此可避免攻擊者透過服務上的漏洞或錯誤來存取你的電路板。最好的做法是將預設值設定為關閉所有服務通道,只開啟你的專題所使用的服務,像是網頁或者其他項目。

請參考 Raspberry Pi安全說明有關防火牆安裝的部分,裡面針對如何使用ufw工具啟用防火牆有詳盡說明。

5. 查閱Linux系統安全的最佳防護實踐

你可以採用大致同樣的防護建議來保護一般的Linux機器。網路上都有提供很好的資源,例如DigitalOcean的「Linux VPS安全防護介紹」和「保護Linux伺服器的7種安全措施」。這些使用指南介紹了fail2ban和tripwire等工具,他們可以進一步檢測入侵並阻止攻擊者。Linux安全防護領域正持續發展中,因此定期查閱相關訊息來了解最新防護工具及最佳防護措施,絕對是明智之舉。

 

適用於所有裝置

1. 變更預設密碼

這是必須一再提及的事──密碼是互聯網裝置的頭號漏洞。連你的路由器、IP網路攝影機、網路列印機都是如此。如果你可以在網路上查到密碼,別人也一定做得到!你絕對不會想讓駭客控制你內部網路上的任何裝置。

2. 使韌體及軟體保持最新版本

這麼做可避免受已知安全漏洞的影響。

 

3. 停用不需要的服務和協定

如果你的裝置沒在使用SSH、RDP或FTP等協定,就應該停用。任何能連接裝置的方式都是潛在的安全漏洞。

 

4. 僅在網路暴露必要資訊

路由器的防火牆是第一道防線,且在多數情況下,防火牆會封鎖內部網路裝置的存取,除非你有特地設定。為了讓自己能存取內部網路上的內容,也許你已在路由器上設定通訊埠轉發(port forwarding),但最重要的是,只能選定一個裝置啟用,並確認該裝置安全無虞。這裡有很棒的連接埠轉發解說

 

5. 使用VPN

使用虛擬私人網路(VPN)來存取內部網路裝置是個安全的方法,因為這不會讓裝置公開暴露於網路。這就像為你打造一條連回家用網路的安全隧道。請先設定好VPN,之後無論你在世界各地,都能用你的筆電或手機透過SSH連線至你的Pi。PiVPN就是一項為PI設定VPN連線的專題。

 

6. 隱匿不代表安全!

沒有公開分享存取裝置的連結,並不代表其他人就無法存取。現在甚至有殭屍電腦(bot)掃描網路,尋找可下手的裝置。根據經驗,任何公開在網路上的裝置都應該進行認證。如果可以,請啟用需要密碼登入的網路介面。

 

7. 使用訪客網路

許多新式路由器支援訪客無線網路功能,此網路提供有限的訪問權限,但不會讓訪客存取主要網路。請為你的物聯網裝置設定訪客無線網路,這樣一來,即便發生最糟的情況,你的其中一個裝置安全遭受破壞,主要網路依舊能保持安全。

此處可找到設定訪客網路的詳盡說明,但設定步驟可能會隨著路由器而有所不同。

 

8. 使用第三方訊息代理程式

相較於將裝置公開暴露於網路,使用第三方訊息代理程式(message broker,例如Adafruit.io或甚至是Telegram messenger)會是與裝置溝通更安全的方式。將裝置連接到代理程式,這樣就不需要設定連接埠轉發。大多數代理程式也支援認證功能。它還有一個額外好處,就是不用設定動態DNS,其他大多數解決方案都需要此項設定。

 


(譯:曾筱涵)

【原文】


 

Social media & sharing icons powered by UltimatelySocial