通过安全协议保护设备通信

大多数物联网 (IoT) 设备都依靠网络通信来实现其独特的功能——无论是您可以通过手机控制的灯泡，还是您的汽车通知经销商该换油了。同样，我们在手机、平板电脑、笔记本电脑和工作站上使用的应用程序使用网络从数据中心和云中的服务器发送和接收信息。在设计环境的安全性并选择这些设备、系统和应用程序时，了解它们用于这些通信的底层网络协议至关重要。随着互联网的不断发展和成熟，曾经被认为安全的东西可能不再安全，因此重要的是要了解最新的技术，并根据情况更新您的设备或您允许的协议。攻击者寻找软件中的漏洞，通常首先检查通过网络在设备之间发送的数据。使用安全协议有助于确保您的数据保密并保护您的设备。

在过去的几十年中，其中许多协议已经显着发展，变得更加高效和安全。重要的是要了解协议何时更改，并始终使用最新的、推荐的安全协议，以防止攻击者窥探您的敏感数据或获得对您的网络和设备的访问权限。安全协议是一种设计用于在不受信任的网络（例如互联网）上运行并确保其有效负载在没有篡改、窥探或其他干扰的情况下成功交付的协议。在某些情况下，您可以直接选择用于某项活动的协议，例如是使用 Secure Shell 还是 Telnet 进行远程管理。在其他情况下，您可能需要更深入地研究您的应用程序或设备以选择要支持的特定协议版本——例如，何时禁用握手和加密协议的不安全版本安全套接字层 (SSL) v2 到 v3 并迁移到当前的传输层安全 (TLS) 协议。至少，保留一份您使用的协议的列表。除了响应您可能从设备制造商处收到的通知外，还应定期在互联网上搜索最佳做法。

使用安全协议进行远程管理

使用安全协议进行远程管理至关重要，尤其是当设备已从内部部署的隔离网络扩展到基于互联网连接的基于云的应用程序时。其中一个例子是从 Telnet 迁移到 Secure Shell 以进行远程命令行管理。技术的发展推动了这种变化。多年前，网络管理员通常通过控制台电缆通过点对点串行连接使用 Telnet 连接到他们的设备。然而，随着远程管理从串行电缆转向网络连接，使用 Telnet 不再适用。攻击者可以监听 Telnet 会话、窥探配置信息，甚至窃取设备的登录凭据。Telnet 是一个非常基本的协议，它的消息没有加密。如果您使用您的网络目录凭据远程登录到设备上的 Telnet 服务器，您将面临攻击者拦截这些凭据的风险，然后他们可以使用这些凭据访问其他资源。Secure Shell 提供了许多与 Telnet 相同的基于命令行的远程访问功能以及更多功能，包括加密、使用证书的强身份验证以及对欺骗的抵抗。 

选择安全协议

选择安全协议不仅仅是 IT 管理员的责任——每个人都在某种程度上受到影响。以普通的网页浏览为例。2018 年 7 月，谷歌在 Chrome 网络浏览器中引入了一项功能，每当用户访问未使用加密的网站时，就会在 URL 栏中触发警报。使用未加密的 HTTP 协议访问站点会导致 URL 栏中出现“不安全”警报。当通过 HTTP 访问网站时，Microsoft 的 Edge 浏览器也会警告用户“小心”并且该网站未加密，尽管与 Chrome 中显示的警告相比，该消息有些隐藏。HTTPS 是用于 Web 浏览的安全协议，它对客户端和服务器之间的通信进行加密，同时还提供对服务器的身份验证。在过去，您可能会以未加密的 HTTP 开始您的网上冲浪会话，然后每当您要传输敏感信息（例如在线商店结账）时，网站会将您重定向到安全页面 (HTTPS)。不过，这种做法正在发生变化，如今越来越多的网站始终处于加密状态。例如，当您输入google网址时，您的浏览器会将您重定向到安全的等价物 ，自动将您从不安全的 HTTP 协议迁移到更安全的 HTTPS协议。此外，在这种重定向不可行的情况下，浏览器会向您发出“不安全”警报。如今，越来越多的网站始终处于加密状态。例如，当您输入 https://www.google.com 时，您的浏览器会将您重定向到安全的等价物，自动将您从不安全的 HTTP 协议迁移到更安全的 HTTPS协议。此外，在这种重定向不可行的情况下，浏览器会向您发出“不安全”警报。如今，越来越多的网站始终处于加密状态。例如，当您输入 https://www.google.com 时，您的浏览器会将您重定向到安全的等价物 ，自动将您从不安全的 HTTP 协议迁移到更安全的 HTTPS协议。此外，在这种重定向不可行的情况下，浏览器会向您发出“不安全”警报。

安全协议在用户身份验证等其他敏感活动中发挥着重要作用。对于这些较低级别的协议，选择使用哪些协议和禁用哪些协议可能并不总是直截了当，但重要的是要密切关注这些协议。以用于对 Windows 资源的用户进行身份验证的协议为例——NT LanManager (NTLM) 和 Kerberos。微软早在 90 年代就开发了 NTLM 协议以方便客户端和服务器之间的身份验证，并且自第一个版本以来微软发布了多个改进版本。通过 Microsoft Active Directory 组策略管理工具，您可以指定在什么情况下使用哪个版本的 NTLM。例如，您可以选择一个更安全的版本，但协商为一个不太安全的版本，以便与旧设备进行互操作。随着 Windows Server 2000 中 Active Directory 的发布，Microsoft 引入了对身份验证协议 Kerberos 的支持，该协议现在是对加入 Windows 域的系统的用户进行身份验证的默认协议。Microsoft 目前不推荐 NTLM，因为它不支持当前的加密模块并且容易受到散列传递和暴力攻击。但是，管理员仍必须在未加入域的独立系统上使用 NTLM 进行登录身份验证。由于这个原因，可能很难简单地广泛禁用 NTLM，并且您的环境中可能还有其他依赖 NTLM 的系统和应用程序。为了更好地了解您环境中的 NTLM 使用情况，请考虑首先审核 NTLM 使用情况（使用 Microsoft 的组策略工具）以更好地了解您对它的依赖性。

除了远程管理访问、Web 浏览和身份验证之外，您的设备还不可避免地使用许多其他协议。查看您的设备信息或联系您的设备制造商，以了解他们需要什么协议，以及考虑到他们传输的数据或所在网络的敏感性，这些协议是否合适。要了解更多信息，请考虑安装网络嗅探器（如 Wireshark）来获取网络流量的快照。您可能会对您对自己网络的了解感到惊讶。虽然您可能无法完全评估任何给定协议的安全性，但您可以寻找不安全流量的线索，例如，查看未加密的网络流量和从设备发送的有效负载。这些知识还将帮助您评估和选择新设备和应用程序。

审核编辑 hhy