大多數(shù)物聯(lián)網(wǎng) (IoT) 設(shè)備都依靠網(wǎng)絡(luò)通信來實(shí)現(xiàn)其獨(dú)特的功能——無論是您可以通過手機(jī)控制的燈泡，還是您的汽車通知經(jīng)銷商該換油了。同樣，我們?cè)谑謾C(jī)、平板電腦、筆記本電腦和工作站上使用的應(yīng)用程序使用網(wǎng)絡(luò)從數(shù)據(jù)中心和云中的服務(wù)器發(fā)送和接收信息。在設(shè)計(jì)環(huán)境的安全性并選擇這些設(shè)備、系統(tǒng)和應(yīng)用程序時(shí)，了解它們用于這些通信的底層網(wǎng)絡(luò)協(xié)議至關(guān)重要。隨著互聯(lián)網(wǎng)的不斷發(fā)展和成熟，曾經(jīng)被認(rèn)為安全的東西可能不再安全，因此重要的是要了解最新的技術(shù)，并根據(jù)情況更新您的設(shè)備或您允許的協(xié)議。攻擊者尋找軟件中的漏洞，通常首先檢查通過網(wǎng)絡(luò)在設(shè)備之間發(fā)送的數(shù)據(jù)。使用安全協(xié)議有助于確保您的數(shù)據(jù)保密并保護(hù)您的設(shè)備。

在過去的幾十年中，其中許多協(xié)議已經(jīng)顯著發(fā)展，變得更加高效和安全。重要的是要了解協(xié)議何時(shí)更改，并始終使用最新的、推薦的安全協(xié)議，以防止攻擊者窺探您的敏感數(shù)據(jù)或獲得對(duì)您的網(wǎng)絡(luò)和設(shè)備的訪問權(quán)限。安全協(xié)議是一種設(shè)計(jì)用于在不受信任的網(wǎng)絡(luò)（例如互聯(lián)網(wǎng)）上運(yùn)行并確保其有效負(fù)載在沒有篡改、窺探或其他干擾的情況下成功交付的協(xié)議。在某些情況下，您可以直接選擇用于某項(xiàng)活動(dòng)的協(xié)議，例如是使用 Secure Shell 還是 Telnet 進(jìn)行遠(yuǎn)程管理。在其他情況下，您可能需要更深入地研究您的應(yīng)用程序或設(shè)備以選擇要支持的特定協(xié)議版本——例如，何時(shí)禁用握手和加密協(xié)議的不安全版本安全套接字層 (SSL) v2 到 v3 并遷移到當(dāng)前的傳輸層安全 (TLS) 協(xié)議。至少，保留一份您使用的協(xié)議的列表。除了響應(yīng)您可能從設(shè)備制造商處收到的通知外，還應(yīng)定期在互聯(lián)網(wǎng)上搜索最佳做法。

使用安全協(xié)議進(jìn)行遠(yuǎn)程管理

使用安全協(xié)議進(jìn)行遠(yuǎn)程管理至關(guān)重要，尤其是當(dāng)設(shè)備已從內(nèi)部部署的隔離網(wǎng)絡(luò)擴(kuò)展到基于互聯(lián)網(wǎng)連接的基于云的應(yīng)用程序時(shí)。其中一個(gè)例子是從 Telnet 遷移到 Secure Shell 以進(jìn)行遠(yuǎn)程命令行管理。技術(shù)的發(fā)展推動(dòng)了這種變化。多年前，網(wǎng)絡(luò)管理員通常通過控制臺(tái)電纜通過點(diǎn)對(duì)點(diǎn)串行連接使用 Telnet 連接到他們的設(shè)備。然而，隨著遠(yuǎn)程管理從串行電纜轉(zhuǎn)向網(wǎng)絡(luò)連接，使用 Telnet 不再適用。攻擊者可以監(jiān)聽 Telnet 會(huì)話、窺探配置信息，甚至竊取設(shè)備的登錄憑據(jù)。Telnet 是一個(gè)非常基本的協(xié)議，它的消息沒有加密。如果您使用您的網(wǎng)絡(luò)目錄憑據(jù)遠(yuǎn)程登錄到設(shè)備上的 Telnet 服務(wù)器，您將面臨攻擊者攔截這些憑據(jù)的風(fēng)險(xiǎn)，然后他們可以使用這些憑據(jù)訪問其他資源。Secure Shell 提供了許多與 Telnet 相同的基于命令行的遠(yuǎn)程訪問功能以及更多功能，包括加密、使用證書的強(qiáng)身份驗(yàn)證以及對(duì)欺騙的抵抗。

選擇安全協(xié)議

選擇安全協(xié)議不僅僅是 IT 管理員的責(zé)任——每個(gè)人都在某種程度上受到影響。以普通的網(wǎng)頁瀏覽為例。2018 年 7 月，谷歌在 Chrome 網(wǎng)絡(luò)瀏覽器中引入了一項(xiàng)功能，每當(dāng)用戶訪問未使用加密的網(wǎng)站時(shí)，就會(huì)在 URL 欄中觸發(fā)警報(bào)。使用未加密的 HTTP 協(xié)議訪問站點(diǎn)會(huì)導(dǎo)致 URL 欄中出現(xiàn)“不安全”警報(bào)。當(dāng)通過 HTTP 訪問網(wǎng)站時(shí)，Microsoft 的 Edge 瀏覽器也會(huì)警告用戶“小心”并且該網(wǎng)站未加密，盡管與 Chrome 中顯示的警告相比，該消息有些隱藏。HTTPS 是用于 Web 瀏覽的安全協(xié)議，它對(duì)客戶端和服務(wù)器之間的通信進(jìn)行加密，同時(shí)還提供對(duì)服務(wù)器的身份驗(yàn)證。在過去，您可能會(huì)以未加密的 HTTP 開始您的網(wǎng)上沖浪會(huì)話，然后每當(dāng)您要傳輸敏感信息（例如在線商店結(jié)賬）時(shí)，網(wǎng)站會(huì)將您重定向到安全頁面 (HTTPS)。不過，這種做法正在發(fā)生變化，如今越來越多的網(wǎng)站始終處于加密狀態(tài)。例如，當(dāng)您輸入google網(wǎng)址時(shí)，您的瀏覽器會(huì)將您重定向到安全的等價(jià)物 ，自動(dòng)將您從不安全的 HTTP 協(xié)議遷移到更安全的 HTTPS協(xié)議。此外，在這種重定向不可行的情況下，瀏覽器會(huì)向您發(fā)出“不安全”警報(bào)。如今，越來越多的網(wǎng)站始終處于加密狀態(tài)。例如，當(dāng)您輸入 https://www.google.com 時(shí)，您的瀏覽器會(huì)將您重定向到安全的等價(jià)物，自動(dòng)將您從不安全的 HTTP 協(xié)議遷移到更安全的 HTTPS協(xié)議。此外，在這種重定向不可行的情況下，瀏覽器會(huì)向您發(fā)出“不安全”警報(bào)。如今，越來越多的網(wǎng)站始終處于加密狀態(tài)。例如，當(dāng)您輸入 https://www.google.com 時(shí)，您的瀏覽器會(huì)將您重定向到安全的等價(jià)物 ，自動(dòng)將您從不安全的 HTTP 協(xié)議遷移到更安全的 HTTPS協(xié)議。此外，在這種重定向不可行的情況下，瀏覽器會(huì)向您發(fā)出“不安全”警報(bào)。

安全協(xié)議在用戶身份驗(yàn)證等其他敏感活動(dòng)中發(fā)揮著重要作用。對(duì)于這些較低級(jí)別的協(xié)議，選擇使用哪些協(xié)議和禁用哪些協(xié)議可能并不總是直截了當(dāng)，但重要的是要密切關(guān)注這些協(xié)議。以用于對(duì) Windows 資源的用戶進(jìn)行身份驗(yàn)證的協(xié)議為例——NT LanManager (NTLM) 和 Kerberos。微軟早在 90 年代就開發(fā)了 NTLM 協(xié)議以方便客戶端和服務(wù)器之間的身份驗(yàn)證，并且自第一個(gè)版本以來微軟發(fā)布了多個(gè)改進(jìn)版本。通過 Microsoft Active Directory 組策略管理工具，您可以指定在什么情況下使用哪個(gè)版本的 NTLM。例如，您可以選擇一個(gè)更安全的版本，但協(xié)商為一個(gè)不太安全的版本，以便與舊設(shè)備進(jìn)行互操作。隨著 Windows Server 2000 中 Active Directory 的發(fā)布，Microsoft 引入了對(duì)身份驗(yàn)證協(xié)議 Kerberos 的支持，該協(xié)議現(xiàn)在是對(duì)加入 Windows 域的系統(tǒng)的用戶進(jìn)行身份驗(yàn)證的默認(rèn)協(xié)議。Microsoft 目前不推薦 NTLM，因?yàn)樗恢С之?dāng)前的加密模塊并且容易受到散列傳遞和暴力攻擊。但是，管理員仍必須在未加入域的獨(dú)立系統(tǒng)上使用 NTLM 進(jìn)行登錄身份驗(yàn)證。由于這個(gè)原因，可能很難簡(jiǎn)單地廣泛禁用 NTLM，并且您的環(huán)境中可能還有其他依賴 NTLM 的系統(tǒng)和應(yīng)用程序。為了更好地了解您環(huán)境中的 NTLM 使用情況，請(qǐng)考慮首先審核 NTLM 使用情況（使用 Microsoft 的組策略工具）以更好地了解您對(duì)它的依賴性。

除了遠(yuǎn)程管理訪問、Web 瀏覽和身份驗(yàn)證之外，您的設(shè)備還不可避免地使用許多其他協(xié)議。查看您的設(shè)備信息或聯(lián)系您的設(shè)備制造商，以了解他們需要什么協(xié)議，以及考慮到他們傳輸?shù)臄?shù)據(jù)或所在網(wǎng)絡(luò)的敏感性，這些協(xié)議是否合適。要了解更多信息，請(qǐng)考慮安裝網(wǎng)絡(luò)嗅探器（如 Wireshark）來獲取網(wǎng)絡(luò)流量的快照。您可能會(huì)對(duì)您對(duì)自己網(wǎng)絡(luò)的了解感到驚訝。雖然您可能無法完全評(píng)估任何給定協(xié)議的安全性，但您可以尋找不安全流量的線索，例如，查看未加密的網(wǎng)絡(luò)流量和從設(shè)備發(fā)送的有效負(fù)載。這些知識(shí)還將幫助您評(píng)估和選擇新設(shè)備和應(yīng)用程序。

審核編輯hhy