大多數物聯網 (IoT) 設備都依靠網絡通信來實現其獨特的功能——無論是您可以通過手機控制的燈泡，還是您的汽車通知經銷商該換油了。同樣，我們在手機、平板電腦、筆記本電腦和工作站上使用的應用程序使用網絡從數據中心和云中的服務器發送和接收信息。在設計環境的安全性并選擇這些設備、系統和應用程序時，了解它們用于這些通信的底層網絡協議至關重要。隨著互聯網的不斷發展和成熟，曾經被認為安全的東西可能不再安全，因此重要的是要了解最新的技術，并根據情況更新您的設備或您允許的協議。攻擊者尋找軟件中的漏洞，通常首先檢查通過網絡在設備之間發送的數據。使用安全協議有助于確保您的數據保密并保護您的設備。

在過去的幾十年中，其中許多協議已經顯著發展，變得更加高效和安全。重要的是要了解協議何時更改，并始終使用最新的、推薦的安全協議，以防止攻擊者窺探您的敏感數據或獲得對您的網絡和設備的訪問權限。安全協議是一種設計用于在不受信任的網絡（例如互聯網）上運行并確保其有效負載在沒有篡改、窺探或其他干擾的情況下成功交付的協議。在某些情況下，您可以直接選擇用于某項活動的協議，例如是使用 Secure Shell 還是 Telnet 進行遠程管理。在其他情況下，您可能需要更深入地研究您的應用程序或設備以選擇要支持的特定協議版本——例如，何時禁用握手和加密協議的不安全版本安全套接字層 (SSL) v2 到 v3 并遷移到當前的傳輸層安全 (TLS) 協議。至少，保留一份您使用的協議的列表。除了響應您可能從設備制造商處收到的通知外，還應定期在互聯網上搜索最佳做法。

使用安全協議進行遠程管理

使用安全協議進行遠程管理至關重要，尤其是當設備已從內部部署的隔離網絡擴展到基于互聯網連接的基于云的應用程序時。其中一個例子是從 Telnet 遷移到 Secure Shell 以進行遠程命令行管理。技術的發展推動了這種變化。多年前，網絡管理員通常通過控制臺電纜通過點對點串行連接使用 Telnet 連接到他們的設備。然而，隨著遠程管理從串行電纜轉向網絡連接，使用 Telnet 不再適用。攻擊者可以監聽 Telnet 會話、窺探配置信息，甚至竊取設備的登錄憑據。Telnet 是一個非常基本的協議，它的消息沒有加密。如果您使用您的網絡目錄憑據遠程登錄到設備上的 Telnet 服務器，您將面臨攻擊者攔截這些憑據的風險，然后他們可以使用這些憑據訪問其他資源。Secure Shell 提供了許多與 Telnet 相同的基于命令行的遠程訪問功能以及更多功能，包括加密、使用證書的強身份驗證以及對欺騙的抵抗。

選擇安全協議

選擇安全協議不僅僅是 IT 管理員的責任——每個人都在某種程度上受到影響。以普通的網頁瀏覽為例。2018 年 7 月，谷歌在 Chrome 網絡瀏覽器中引入了一項功能，每當用戶訪問未使用加密的網站時，就會在 URL 欄中觸發警報。使用未加密的 HTTP 協議訪問站點會導致 URL 欄中出現“不安全”警報。當通過 HTTP 訪問網站時，Microsoft 的 Edge 瀏覽器也會警告用戶“小心”并且該網站未加密，盡管與 Chrome 中顯示的警告相比，該消息有些隱藏。HTTPS 是用于 Web 瀏覽的安全協議，它對客戶端和服務器之間的通信進行加密，同時還提供對服務器的身份驗證。在過去，您可能會以未加密的 HTTP 開始您的網上沖浪會話，然后每當您要傳輸敏感信息（例如在線商店結賬）時，網站會將您重定向到安全頁面 (HTTPS)。不過，這種做法正在發生變化，如今越來越多的網站始終處于加密狀態。例如，當您輸入google網址時，您的瀏覽器會將您重定向到安全的等價物 ，自動將您從不安全的 HTTP 協議遷移到更安全的 HTTPS協議。此外，在這種重定向不可行的情況下，瀏覽器會向您發出“不安全”警報。如今，越來越多的網站始終處于加密狀態。例如，當您輸入 https://www.google.com 時，您的瀏覽器會將您重定向到安全的等價物，自動將您從不安全的 HTTP 協議遷移到更安全的 HTTPS協議。此外，在這種重定向不可行的情況下，瀏覽器會向您發出“不安全”警報。如今，越來越多的網站始終處于加密狀態。例如，當您輸入 https://www.google.com 時，您的瀏覽器會將您重定向到安全的等價物 ，自動將您從不安全的 HTTP 協議遷移到更安全的 HTTPS協議。此外，在這種重定向不可行的情況下，瀏覽器會向您發出“不安全”警報。

安全協議在用戶身份驗證等其他敏感活動中發揮著重要作用。對于這些較低級別的協議，選擇使用哪些協議和禁用哪些協議可能并不總是直截了當，但重要的是要密切關注這些協議。以用于對 Windows 資源的用戶進行身份驗證的協議為例——NT LanManager (NTLM) 和 Kerberos。微軟早在 90 年代就開發了 NTLM 協議以方便客戶端和服務器之間的身份驗證，并且自第一個版本以來微軟發布了多個改進版本。通過 Microsoft Active Directory 組策略管理工具，您可以指定在什么情況下使用哪個版本的 NTLM。例如，您可以選擇一個更安全的版本，但協商為一個不太安全的版本，以便與舊設備進行互操作。隨著 Windows Server 2000 中 Active Directory 的發布，Microsoft 引入了對身份驗證協議 Kerberos 的支持，該協議現在是對加入 Windows 域的系統的用戶進行身份驗證的默認協議。Microsoft 目前不推薦 NTLM，因為它不支持當前的加密模塊并且容易受到散列傳遞和暴力攻擊。但是，管理員仍必須在未加入域的獨立系統上使用 NTLM 進行登錄身份驗證。由于這個原因，可能很難簡單地廣泛禁用 NTLM，并且您的環境中可能還有其他依賴 NTLM 的系統和應用程序。為了更好地了解您環境中的 NTLM 使用情況，請考慮首先審核 NTLM 使用情況（使用 Microsoft 的組策略工具）以更好地了解您對它的依賴性。

除了遠程管理訪問、Web 瀏覽和身份驗證之外，您的設備還不可避免地使用許多其他協議。查看您的設備信息或聯系您的設備制造商，以了解他們需要什么協議，以及考慮到他們傳輸的數據或所在網絡的敏感性，這些協議是否合適。要了解更多信息，請考慮安裝網絡嗅探器（如 Wireshark）來獲取網絡流量的快照。您可能會對您對自己網絡的了解感到驚訝。雖然您可能無法完全評估任何給定協議的安全性，但您可以尋找不安全流量的線索，例如，查看未加密的網絡流量和從設備發送的有效負載。這些知識還將幫助您評估和選擇新設備和應用程序。

審核編輯hhy