物联网网络安全：5 种方法来帮助保护您的应用程序

2016 年 10 月，物联网成为最大的分布式拒绝服务 (DDoS) 攻击之一的中心。一个名为 Mirai 的僵尸网络入侵了物联网设备，然后使用这些设备向大型 DNS 提供商 Dyn 发送了前所未有的流量请求。流量的增加导致 Dyn 下线，随后也将其一些值得注意的客户（包括亚马逊、Twitter 和 PayPal）赶下线。

尽管在过去几年中发生了许多备受瞩目的与物联网相关的网络攻击，但 Dyn 攻击证明了物联网网络安全的重要性。为了保护您自己的应用程序免受物联网漏洞的侵害，您可以执行以下五件事：

1.不要为您的 IoT 设备配置默认用户名和密码。

遵循这一简单规则可以避免大部分物联网网络威胁。原因如下：许多常见的物联网设备（如许多智能恒温器和安全摄像头）都是基于 Linux 的，并且许多设备出厂时都带有用于 SSH 连接的默认用户名和密码。 （我们将在下面讨论 SSH 的危险。）如果您的客户将其中一个设备放在他们的网络上，它就会成为非常 容易成为攻击目标。 Mirai 攻击专门搜索了具有这种特性的设备。 Shodan 和 Nmap 等工具使黑客可以轻松编写脚本来查找这些设备并测试默认密码，从而为使用僵尸网络的大规模攻击铺平道路。

想了解大型制造业务如何跟踪和监控工厂中的材料？

为避免这种情况，我们强烈建议您考虑使用其他解决方案来管理您的应用程序，无需 默认密码。即使是散列（客户将其独特的产品序列号输入浏览器以获取密码）也比发送标准化的用户名和密码更安全。

2.如果可能，不要使用 SSH（安全套接字外壳）连接。

如前所述，许多 IoT 应用程序运行 Linux，并且大多数 Linux 系统默认启用 SSH。这意味着该设备正在“侦听”端口 22，供任何想要通过 SSH 连接到它的人使用。如果您的应用不需要 如果您使用 SSH，请确定它已被禁用 - 因为它是一个主要的物联网网络安全漏洞。

3.如果可能，限制您的应用暴露于基于 IP 的网络。

如果有人试图入侵您的 IoT 设备，他们很可能会使用基于脚本的在线攻击。设备在同一个房间里被坏人物理攻击的情况要少得多。如果可以，请限制您的应用程序暴露于 IP 网络。

您的连接提供商可能会提供帮助。例如，Symphony Link 没有从终端节点到网关的基于 IP 的通信，因此不存在可以攻击该链接的基于网络的漏洞。即使黑客能够访问例如连接 Symphony Link 的智能水表，黑客也无法利用该连接进入上游 IP 网络。

4.创建通往后端网络的 VPN 隧道。

使您的设备能够创建虚拟专用网络 (VPN) 隧道以进行安全通信。使用蜂窝物联网做到这一点的最佳方法是与您的运营商协商，将您的设备添加到他们的专用网络中，并通过 VPN 隧道直接连接到您的后端。结果：进出您设备的任何流量都无法访问互联网。称为虚拟气隙，这是我们在 Link Labs 为 LTE-M 客户提供的一项服务。

5.将某些 IP 和域名列入白名单。

作为防火墙保护的一种形式，请考虑仅允许选择的 IP 地址或域名列表将流量发送到您的设备。这有助于防止恶意连接。请记住，如果您的设备是 被黑客入侵，黑客可能会删除您设置的 IP 和域阻止 - 但这仍然是一个很好的预防措施。

最后，如果您是一家开发互联应用程序的大公司，我们 Link Labs 强烈建议您研究一家成熟的安全咨询公司，他们可以分析您的网络安全实践并帮助确保您的应用程序健全。 不要等待成为关于利用您的设备是多么简单的黑暗阅读文章的主题。现在就花钱来保护您的应用程序。如果您在这方面有任何疑问，我们很乐意为您提供帮助 - 给我们留言，我们会尽快回复您。