應(yīng)用

技術(shù)

物聯(lián)網(wǎng)世界 >> 物聯(lián)網(wǎng)新聞 >> 物聯(lián)網(wǎng)熱點(diǎn)新聞
企業(yè)注冊個(gè)人注冊登錄

知識科普:如何使用VPN保護(hù)IoT設(shè)備?

2018-10-23 08:57 物聯(lián)網(wǎng)空間站

導(dǎo)讀:隨著網(wǎng)絡(luò)攻擊的頻率、復(fù)雜性都在增加,網(wǎng)絡(luò)安全成為困擾物聯(lián)網(wǎng)設(shè)備供應(yīng)商、運(yùn)營商的難題,但此題并非無解!

  vpn2018102201

  每次將設(shè)備連接到互聯(lián)網(wǎng)時(shí),無論是汽車、安全攝像頭還是筆記本電腦,都會(huì)出現(xiàn)安全問題。 連接到互聯(lián)網(wǎng)的設(shè)備可以在辦公室或家里使用,但總是有企業(yè)或個(gè)人信息落入不法分子之手的風(fēng)險(xiǎn)。物聯(lián)網(wǎng)(IoT)設(shè)備容易受到針對性的攻擊,這些攻擊可能對企業(yè)和個(gè)人造成極壞的影響。在本文中,回顧了物聯(lián)網(wǎng)網(wǎng)絡(luò)的一些常見安全威脅之后,小編將展示如何使用VPN(虛擬專用網(wǎng)絡(luò))保護(hù)物聯(lián)網(wǎng)設(shè)備,以降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

  重大物聯(lián)網(wǎng)網(wǎng)絡(luò)安全問題

  物聯(lián)網(wǎng)設(shè)備所經(jīng)受的安全風(fēng)險(xiǎn)令人震驚。物聯(lián)網(wǎng)安全技術(shù)仍然在“發(fā)展階段”,并沒有規(guī)范或協(xié)議來讓開發(fā)者遵循。更重要的是,用戶往往不配備某些工具或知識來有效地降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

  根據(jù)賽門鐵克公司2018年的一項(xiàng)研究:2016年至2017年間,物聯(lián)網(wǎng)攻擊數(shù)量增加了600%。

vpn2018102202

  圖片來源:賽門鐵克公司

  VPN能夠防御的網(wǎng)絡(luò)攻擊

  1.僵尸網(wǎng)絡(luò)

  物聯(lián)網(wǎng)設(shè)備是僵尸網(wǎng)絡(luò)的頭號攻擊目標(biāo)。僵尸網(wǎng)絡(luò)是指采用一種或多種傳播手段,將大量主機(jī)感染bot程序(僵尸程序 )病毒,從而在控制者和被感染主機(jī) 之間所形成的一個(gè)可一對多控制的網(wǎng)絡(luò)。例如大規(guī)模的分布式拒絕服務(wù)(DDoS)攻擊:在攻擊者通過互聯(lián)網(wǎng)發(fā)送命令之前,僵尸網(wǎng)絡(luò)惡意軟件可能處于休眠狀態(tài),并且由于物聯(lián)網(wǎng)設(shè)備通常沒有防病毒保護(hù)層,因此很難檢測和刪除惡意軟件。問題是,與PC和智能手機(jī)相比,許多物聯(lián)網(wǎng)設(shè)備相對簡單,設(shè)備供應(yīng)商通常不選擇復(fù)雜的安全架構(gòu)。

  DDoS攻擊通常通過用流量轟炸網(wǎng)絡(luò)從而在網(wǎng)絡(luò)肆虐。2016年,域名系統(tǒng)供應(yīng)商Dyn受到了一場引人注目的DDoS攻擊,該攻擊涉及多達(dá)100,000個(gè)感染Mirai惡意軟件的IoT設(shè)備,大大削弱了該公司的服務(wù)。

  “Satori僵尸網(wǎng)絡(luò)”是最近針對物聯(lián)網(wǎng)網(wǎng)絡(luò)的另一個(gè)高調(diào)的DDoS式僵尸網(wǎng)絡(luò)攻擊。據(jù)稱,主要肇事者最近因?yàn)橄蛎襟w吹噓而被捕入獄。

  2.第三方(MITM)攻擊

  MITM攻擊在于未經(jīng)授權(quán)的第三方設(shè)法攔截通信并訪問流量中的用戶信息。 MITM攻擊是網(wǎng)絡(luò)犯罪分子查看或更改敏感信息甚至劫持用戶帳戶的理想方式。

  任何這些行為都可能對受害者產(chǎn)生災(zāi)難性影響,無論是個(gè)人,公司還是與眾多公司或品牌相關(guān)的云網(wǎng)絡(luò)。MITM的攻擊讓人們知悉了加密流量的重要性,加密流量可以在流量傳輸過程即使有人攔截也無法讀取信息。

  MITM攻擊對那些制造商未正確保護(hù)的物聯(lián)網(wǎng)設(shè)備尤其有效。許多解決方案供應(yīng)商通過部署保留了制造商的默認(rèn)密碼。 這個(gè)時(shí)候黑客入侵設(shè)備或網(wǎng)關(guān)便像使用Google搜索給定設(shè)備模型的默認(rèn)密碼一樣簡單。 此外,在Web瀏覽器中,你可以在地址欄檢查為“https”(安全),以確保網(wǎng)站安全,而物聯(lián)網(wǎng)設(shè)備沒有這樣的標(biāo)準(zhǔn)協(xié)議。

  3.常規(guī)窺探

vpn2018102203

  圖片來源:思科系統(tǒng)

  當(dāng)每臺(tái)設(shè)備連接到互聯(lián)網(wǎng)時(shí),互聯(lián)網(wǎng)服務(wù)提供商(ISP)和控制它們的政府機(jī)構(gòu)都可以訪問用戶的大量數(shù)據(jù)。憑借普通視圖中的IP地址和流量,他們可以跟蹤用戶所有的日常業(yè)務(wù)活動(dòng)。這是加密所有互聯(lián)網(wǎng)流量的另一個(gè)原因。

  VPN可以大大降低與物聯(lián)網(wǎng)網(wǎng)絡(luò)相關(guān)的各種風(fēng)險(xiǎn)。它們是古老而值得信賴的網(wǎng)絡(luò)結(jié)構(gòu),我們應(yīng)該將它們納入物聯(lián)網(wǎng)革命。使用VPN時(shí),流量從設(shè)備流經(jīng)中間服務(wù)器,然后繼續(xù)到達(dá)其最終目的地。這將屏蔽用戶IP地址,并將其替換為VPN服務(wù)器中的一個(gè)。

  此外,當(dāng)用戶將設(shè)備連接到VPN時(shí),流入和流出設(shè)備的所有流量都會(huì)被加密。頂級VPN提供商使用的加密通常是256位AES——軍用級加密。

  當(dāng)然,在減輕之前概述的所有風(fēng)險(xiǎn)時(shí),網(wǎng)絡(luò)安全難題分為很多部分,包括提高員工意識和培訓(xùn),同時(shí)確保更新所有操作系統(tǒng)。

  為什么VPN可以保護(hù)物聯(lián)網(wǎng)設(shè)備?

  VPN的跨物聯(lián)網(wǎng)網(wǎng)絡(luò)標(biāo)準(zhǔn)的應(yīng)用可以使這些網(wǎng)絡(luò)比現(xiàn)在更加強(qiáng)大。當(dāng)設(shè)備連接到VPN時(shí),所有流入和流出的流量都會(huì)被加密。即使有人攔截網(wǎng)絡(luò)流量,他們也幾乎無法破解它。

  VPN可以通過屏蔽用戶IP地址來防范DDoS攻擊,從而使黑客很難發(fā)起針對性的攻擊。一些設(shè)備供應(yīng)商(如PureVPN和TorGuard)提供專用的防DDoS服務(wù)器,以進(jìn)一步防御DDoS攻擊。

  屏蔽IP地址還可以防止入侵者跟蹤用戶活動(dòng)。 它們還限制了網(wǎng)絡(luò)犯罪分子可用的攻擊選項(xiàng),這使得網(wǎng)絡(luò)安全團(tuán)隊(duì)能夠更好地預(yù)測入侵者在給定的VPN安全物聯(lián)網(wǎng)網(wǎng)絡(luò)中可能采取的攻擊線。

  當(dāng)涉及到規(guī)避MITM攻擊時(shí),僅使用HTTPS站點(diǎn)是提供加密的最佳防御之一。但是,這并不總是一種最好選擇,更好的選擇是使用VPN。這樣,所有流量將始終被加密,第三方永遠(yuǎn)不可讀取其中的信息。

  常規(guī)窺探也是如此。用戶的ISP將無法查看用戶的內(nèi)容或流量。ISP可見的所有內(nèi)容都是進(jìn)出VPN服務(wù)器的加密流量。

  如何將IoT設(shè)備連接到VPN

  如果用戶之前使用過VPN,則可以通過桌面客戶端和移動(dòng)應(yīng)用程序以及全面的企業(yè)IT基礎(chǔ)架構(gòu)實(shí)現(xiàn)VPN連接。

  那么覆蓋辦公網(wǎng)絡(luò)中的每臺(tái)設(shè)備呢? 在每臺(tái)個(gè)人計(jì)算機(jī)上安裝VPN是不切實(shí)際的,許多智能設(shè)備(如電視,收銀機(jī)和咖啡機(jī))與VPN軟件不兼容,因此無法在這些設(shè)備上安裝本機(jī)應(yīng)用程序。

  有一個(gè)簡單的解決方案:使用VPN路由器。當(dāng)用戶的路由器配置了VPN時(shí),連接到該路由器的每臺(tái)設(shè)備都將自動(dòng)受到該VPN的保護(hù)。大多數(shù)頂級VPN供應(yīng)商都使設(shè)置VPN路由器變得很簡單,甚至有的供應(yīng)商提供預(yù)先配置VPN的路由器。

  一些要離開VPN路由器覆蓋范圍的設(shè)備——筆記本電腦和智能手機(jī)等移動(dòng)設(shè)備,仍需要安裝原生VPN應(yīng)用程序。如果這些移動(dòng)設(shè)備會(huì)使用公共WiFi熱點(diǎn),則保護(hù)這些移動(dòng)設(shè)備尤為重要。公共Wifi是主要的黑客領(lǐng)域,每次連接到公共WiFi時(shí)使用VPN都是必不可少的。

  選擇VPN供應(yīng)商時(shí)要考慮的因素

  VPN可以在物聯(lián)網(wǎng)的安全解決方案的重要組成部分,但不是所有的VPN供應(yīng)商都是相同的,也不是所有的VPN供應(yīng)商會(huì)對每個(gè)案例進(jìn)行說明。有數(shù)百種可供選擇,尋找適合用戶的VPN供應(yīng)商非常重要。

  正如我們所討論的,在路由器級別配置VPN對于許多企業(yè)來說都是一個(gè)可靠的選擇。因此,首先注意的是VPN可以在路由器級別輕松配置。另一個(gè)因素是需要一個(gè)用于與企業(yè)客戶打交道的VPN供應(yīng)商。

  除了這些考慮因素,我們需要考慮的其他事項(xiàng)包括:

  1. 安全

  當(dāng)然,本文介紹如何使用VPN保護(hù)物聯(lián)網(wǎng)設(shè)備,安全性是第一優(yōu)先。 除了256 AES加密之外,用戶還需要知悉其他功能,例如DNS泄漏保護(hù)和終止開關(guān)。前者會(huì)阻止某些形式的IP地址泄露; 如果VPN連接斷開,后者將終止互聯(lián)網(wǎng)連接,以便在發(fā)生網(wǎng)絡(luò)攻擊時(shí)數(shù)據(jù)可以進(jìn)入加密隧道。

  如上所述,一些供應(yīng)商提供專用服務(wù)器,以防御DDoS攻擊。其他便捷功能包括常規(guī)IP地址切換,隱形協(xié)議和自動(dòng)wifi保護(hù)。

  2. 隱私

  上文討論過互聯(lián)網(wǎng)服務(wù)供應(yīng)商可能會(huì)在線觀看用戶的一舉一動(dòng)?;ヂ?lián)網(wǎng)服務(wù)提供商不一定對窺探用戶的數(shù)據(jù)有既得利益,但是我們可以發(fā)現(xiàn)未加密的流量會(huì)產(chǎn)生另一個(gè)潛在的安全漏洞。當(dāng)然,在使用VPN提供商的服務(wù)時(shí),我們也會(huì)將信息委托給他們。雖然有許多信譽(yù)良好的供應(yīng)商擁有堅(jiān)實(shí)的隱私政策,但也有些供應(yīng)商并不那么值得信賴,所以在搜索VPN提供商時(shí)需要小心。

  某些VPN供應(yīng)商將跟蹤IP地址以及目標(biāo)IP地址,這意味著用戶的活動(dòng)的完整記錄可以無限期存儲(chǔ),并在用戶不知情的情況下移交給第三方。請務(wù)必選擇具有嚴(yán)格無日志策略的VPN供應(yīng)商。

  3. 速度

  使用VPN的一個(gè)主要缺點(diǎn)是加密可能會(huì)降低整體互聯(lián)網(wǎng)速率。VPN供應(yīng)商總是在努力加快速度,但實(shí)際并沒有取得良好的成效。選擇供應(yīng)商時(shí),請考慮互聯(lián)網(wǎng)速率是否對我們的用例至關(guān)重要。

  4. 可靠性

  除了速度之外,用戶還需要考慮VPN的可靠性。服務(wù)器過載和容易掉線不利于企業(yè)和一些物聯(lián)網(wǎng)應(yīng)用。掉線會(huì)浪費(fèi)金錢、時(shí)間并危及業(yè)務(wù)流程和資產(chǎn)。尋找具有龐大且強(qiáng)大的網(wǎng)絡(luò)的提供商通常意味著VPN可以在高峰時(shí)段處理高流量。

  話雖如此,還是有問題不可避免地會(huì)出現(xiàn)。用戶需要找到一個(gè)提供快速且有廣泛客戶支持的供應(yīng)商。最好提供24小時(shí)實(shí)時(shí)服務(wù),在緊要關(guān)頭這個(gè)是很有幫助的。

  5. 價(jià)格

  選擇VPN供應(yīng)商的另一個(gè)考慮因素是價(jià)格。這實(shí)際上取決于用戶的業(yè)務(wù)規(guī)模和用戶需要覆蓋的設(shè)備數(shù)量。大多數(shù)標(biāo)準(zhǔn)方案允許在一個(gè)訂閱上連接三到十個(gè)設(shè)備。商業(yè)方案可能以不同的方式運(yùn)作,并為每個(gè)團(tuán)隊(duì)成員提供價(jià)格。有些方案有數(shù)據(jù)上限,所以一定要看一下。

  6. 附加功能

  大多數(shù)VPN往往具備一些不標(biāo)準(zhǔn)的附加功能。例如,“拆分隧道”是幾個(gè)頂級提供商提供的一個(gè)簡潔的功能。通過該功能,用戶可以手動(dòng)選擇通過VPN服務(wù)器的流量以及通過常規(guī)Internet連接傳輸?shù)牧髁俊? 拆分隧道可用于優(yōu)化物聯(lián)網(wǎng)網(wǎng)絡(luò),因?yàn)椴僮鲉T可以從非關(guān)鍵數(shù)據(jù)和抽象層內(nèi)核中解析關(guān)鍵信息。

  結(jié)論

  在值得信賴的物聯(lián)網(wǎng)設(shè)備于市場中正?;?,物聯(lián)網(wǎng)的發(fā)展還有很長的路要走。因此,企業(yè)需要加強(qiáng)網(wǎng)絡(luò)安全以防攻擊,確保信息不落入不法分子之手。

  使用VPN可解決安全難題的一大部分,可以幫助阻止各種攻擊。但一定要找到合適的供應(yīng)商,在安全性,隱私,速度,可靠性,支持和價(jià)值方面為企業(yè)提供所需的一切。