通过基于主机和网络的防火墙对嵌入式设备进行表面区域管理

长期以来，防火墙一直是保护联网计算设备和组件免受远程网络攻击的第一道防线——就像前门阻止入侵者进入您的家一样。这些基于网络的防火墙和路由器通常安装在阻塞点，充当互联网和连接在它们后面的可信计算机之间的保护网关。然而，嵌入式设备、边缘网络和云应用程序的激增已经模糊了这些分界线。复杂的网络架构和拓扑结构使得仅依靠这些传统网络防火墙来保护您的设备和应用程序变得更加困难。在此博客中，我们将着眼于了解您的设备所依赖的网络端口和协议并禁用它们不需要的那些。

管理网络表面区域

网络表面区域管理是一项重要的安全最佳实践，因为它减少了攻击者利用您设备上的软件漏洞的机会。以网络摄像头为例。该设备是硬件和软件的混合体，可插入您的网络以远程共享视频。硬件包括镜头和依赖软件将图片转换为视频流的图像捕捉电子设备。诸如此类的所有设备都具有管理这些进程的固件或操作系统。网络摄像头还可能包括其他功能，可将图像发送到网络视频录像机或允许用户登录设备本身以实时查看它所看到的内容。此外，网络摄像头固件可能允许远程访问以安装新功能和部署更新。

了解网络端口和协议

有效管理设备服务区域的重要第一步是了解设备侦听的端口以及它支持的网络协议。首先研究设备本身，并在手册或其技术支持网站中查找支持的网络配置。然后，您可以通过确定设备使用的固件或操作系统来扩展您的研究。例如，一些嵌入式设备使用提供通用 UNIX 工具的软件 BusyBox。将您的研究扩展到特定于设备的操作系统可能还会提供有关如何禁用不需要的服务的其他提示。考虑使用 Network Mapper (NMAP) 等网络扫描工具远程探测您的设备，以发现（或验证）该工具认为打开的端口。您可以在互联网上搜索那些您不熟悉的端口，并将这些端口与它们的主机服务相关联。例如，对 TCP 端口 22 的快速互联网搜索显示该端口与用于远程管理的安全外壳协议相关联。这些侦察技术将有助于定义您的设备所依赖的网络服务以及这些网络服务中的哪些已启用并“侦听”网络上的远程连接。

表 1显示了在嵌入式设备上发现的网络端口和协议的简化表示。

表 1：网络摄像头使用的开放端口和协议示例。

表 1 中的开放端口（TCP 22、23、80、443、554 和 5000）定义了攻击者可能成功探测的示例设备的表面区域。设备上运行的应用程序和服务在这些端口上侦听入站通信请求。例如，有人使用网络浏览器登录相机的内置网络服务器以访问其功能。攻击者通常会寻找成功利用设备的最简单方法，并从扫描数千个 IP 地址开始，寻找他们可以利用的易受攻击设备的响应。他们通过将特制数据包发送到设备上的开放端口来实现这一点。如果设备以某种方式响应，那么攻击者就知道该设备容易受到攻击。攻击者可能会使用网络扫描仪来扫描一台设备的所有或最常用的端口和协议，或者攻击者可能会将他们的扫描激光聚焦到一个特定端口，但目标是互联网上的数千台设备。他们的目标是相同的——探测开放端口，希望找到他们可能已经准备好利用的监听服务。一些恶意软件被授权以这种方式传播。一旦恶意软件感染了一台设备，它就会在攻击底层服务之前扫描网络以查找其他易受攻击的系统。恶意软件 WannaCry 是此类攻击的最新示例。感染了 WannaCry 的系统通过探测端口 445 来扫描其邻居，以寻找易受攻击的服务器消息块 (SMB) 文件传输服务来加以利用。

保护网络表面区域免受攻击

您可以通过使用以下技术减少设备暴露的网络表面积来降低成功攻击的风险。

首先，禁用所有不必要的服务。例如，您可能能够登录到设备并禁用 Telnet 服务，这相应地减少了表面积，因为设备不再侦听 TCP 端口 23（通常与 Telnet 关联的端口）。禁用不需要的服务还有其他好处。例如，禁用 Telnet 和 HTTP 等不太安全的协议以支持安全外壳 (SSH) 和 HTTPS 可降低攻击者拦截未加密通信的风险。

接下来，考虑启用基于主机的防火墙。所有现代的全功能操作系统都包含某种内置的、基于主机的防火墙。Microsoft、Apple 和大多数 Linux 发行版默认启用这些防火墙，并使其配置简单明了。但是，如果您需要更多说明或想要微调或配置高级设置，有许多互联网指南可以提供帮助。甚至嵌入式设备现在也包含内置的、基于主机的防火墙，具体取决于设备使用的底层操作系统。例如，Busybox 为嵌入式设备提供流行的 UNIX 工具，并包括安装和启用 Linux iptables 防火墙的选项。

最后，使用数据流图确定设备上游的候选位置，以部署或启用基于网络或云的防火墙。云提供商包括提供防火墙功能的抽象安全服务。寻找诸如 Web 应用程序防火墙或网络安全组之类的术语来启动。在您的特定设备之外进行这些配置更改需要对网络设备或云订阅的管理访问权限。必须小心确保任何更改不会无意中影响其他服务或设备。使用这些服务和功能在不需要的流量到达您的设备之前过滤和丢弃它们。

结论

一个很好的防御网络连接设备攻击的方法是一种深入的策略，其中包括以下每一种技术：

关闭不需要的服务

为每个设备启用基于主机的防火墙

在云端或网络网关过滤不需要的网络流量

这些技术与其他安全最佳实践很好地融合在一起，例如确保您的底层应用程序、固件和操作系统应用了最新的安全更新，并且您的用户不会过度配置特权访问。请参阅我的其他安全博客条目，包括通过日志记录和警报识别异常设备行为，以了解有关这些其他技术的更多信息。

审核编辑：汤梓红