如何保护我的联网设备不被 Shodan 发现?

信息安全 网络 隐私 硬化
2021-08-17 03:30:55

最近 CNN 的这篇关于 Shodan 的文章引起了很多关注,Shodan 是一个可以找到并允许访问不安全的互联网连接设备的搜索引擎。

Shodan 24/7 全天候运行,每月收集大约 5 亿台联网设备和服务的信息。

只需在 Shodan 上进行简单搜索即可找到令人惊叹的内容。无数的红绿灯、安全摄像头、家庭自动化设备和供暖系统都连接到互联网并且很容易被发现。

Shodan 搜索者已经找到了用于水上乐园、加油站、酒店酒柜和火葬场的控制系统。网络安全研究人员甚至使用 Shodan 定位了核电站的指挥和控制系统以及粒子加速回旋加速器。

Shodan 发现所有这些的能力——以及让 Shodan 如此可怕的原因——真正值得注意的是,这些设备中很少有内置任何类型的安全性。[...]

快速搜索“默认密码”会发现无数使用“admin”作为用户名和“1234”作为密码的打印机、服务器和系统控制设备。更多连接的系统根本不需要凭据——您只需要一个 Web 浏览器即可连接到它们。

在我看来,其中一些设备表面上是安全的,但实际上并不安全,因为密码等很明显和/或与默认设置相比没有变化。

我如何(作为“普通”人或专业人士)采取措施防止我的设备被 Shodan 等爬虫访问?有没有其他方法可以降低我被 Shodan 之类的发现的风险?

4个回答

Shodan 引用了公开可用的机器,它们的工作方式如下:

说朋友并输入

只是不要这样做。

编辑:类比是相关的!Shodan 连接到机器并询问它们的“横幅”,这是一个公开可用的文本,可以简单地说:“要进入,请使用此默认密码:1234”。您可能希望通过在门前安装巨型鱿鱼作为守卫(比喻为防火墙)的简单权宜之计来避免人们敲门,但实际上,配置非默认密码会更安全。

Shodan 项目非常酷,但其核心不过是一个大型 honkin nmap 数据库。该项目有扫描仪,定期扫描互联网并将结果发布到数据库中。该数据库就是您正在搜索的内容。由于他们使用标准检测例程,因此您为正常扫描设置的保护措施应该可以保护您。

  1. 适当地配置您的防火墙。-- 这意味着对于您提供的任何服务,请尽可能地限制它们。如果您只有 5 个营销人员使用您的 Web 应用程序,那么全世界都不需要使用它。找出营销使用的地址空间,并只对他们开放。(您可能还希望允许远程访问解决方案,但这取决于您)。
  2. 清理你的横幅。-- 默认情况下,许多横幅会提供大量信息。例如,默认情况下 Apache httpd 会告诉你它是什么版本,它在什么操作系统上运行,它启用了哪些模块等等。这真的是非常不必要的。Apache httpd 具有配置设置以提供较少的信息,但具体取决于您托管的服务。
  3. 让您的防火墙静默阻止。默认情况下,许多防火墙在丢弃数据包时会发出 ICMP 目的地管理禁止。这将使扫描仪知道该端口上存在某些东西,只是不允许访问它。通过打开隐身、静音或任何模式,连接将在扫描仪端超时。对他们来说,这看起来就像主机根本不存在。

对于大多数家庭用户来说,唯一面向互联网的设备是他们的路由器。

那么,您如何保护路由器免受 Shodan 之类的影响?

  • 首先,更改默认密码任何拥有 IP 扫描工具(我尝试过的就是 Angry IP Scanner)的人都可以在输入相关 IP 范围并使用 bog 标准admin/admin登录方式闯入时找到您。如果他们有此访问权限,他们可以做什么?
    • 他们可以获得您宽带连接的密码(并且在某些情况下开始窃取您的带宽)
    • 他们可以设置端口转发并访问您的计算机/设备。
    • 他们可以更改您的 DNS 服务器并将您的浏览重定向到他们的恶意网站克隆。除非该站点使用 SSL,否则您将无法知道这种情况正在发生。请注意,站点上的 SSL 可能还不够——如果为他们提供最喜欢的 https 站点的 http 版本,大多数人不会注意到。
    • 他们只会弄乱你的路由器
  • 另一件事是禁用远程管理(Linksys 路由器的示例)。这会将路由器的配置页面隐藏到外界,因此即使尝试暴力破解也无法进入。(此外,除非您有端口转发,否则您不会出现在 IP 扫描中)。请注意,在某些情况下,您希望启用此选项——我在测试内容时将其保持了很短的一段时间。但通常情况下,保持它关闭并没有什么坏处。
  • 检查您的端口转发规则。即使您修复了上述两个问题,转发端口也会转换为与您的计算机的直接连接。在大多数情况下,您不应该有任何转发端口。如果您是游戏玩家,您可能有一些特定于游戏的端口。(通常选择端口是为了不干扰其他一些服务)确保没有转发到端口 21、22、3389。如果是这样,请确保您的 ssh/ftp/remote 桌面密码是安全的(或 ssh/ftp/rdp 已禁用)。可能还有其他一些端口可以提供一种简单的方式来接管机器,但我想不出任何 OTOH。

在计算机上,检查您的防火墙。在不破坏事物的情况下使其尽可能具有限制性。

请注意,要专门针对家庭系统停止 Shodan,您只需要第 1 点或第 2 点。但是,我列出了其余部分,因为 Shodan 可以轻松改进自身以进一步分析路由器连接。

所以简短的回答是,如果您要提供公开可用的服务(例如,对一般 Internet),您的服务必须是可访问的,因此像 shodan 这样的搜索引擎可以找到它,并且所有 shodan 都这样做是为了索引公开可用的信息。

您可以做的是通过从可访问的服务中删除横幅并确保删除默认凭据等内容(标准安全良好实践)来最大限度地减少 shodan 发现的信息。

此外,如果您运行的服务不需要整个 Internet 都可以访问(即只有部分人需要能够访问它),使用防火墙来限制哪些源 IP 地址可以访问该服务也是一种有效的保护通过Shodan之类的东西发现。

另一种理论上的保护(我会说这是一种不好的方法,但为了完整起见我会提到)是,如果你能找到 shodan 使用的 IP 地址范围,你可以尝试专门阻止它。

让 shodan 看起来“可怕”的风险在于,有大量系统以默认设置放置在 Internet 上,并且很少考虑安全性。不幸的是,将系统置于这种状态的互联网上的人不太可能有足够的安全意识来采取行动,比如专门阻止 shodan……

另一件要提的事情是,即使阻止像 shodan 这样的东西也不会帮助你对抗像去年发生的互联网人口普查项目这样的事情。这使用了大量受感染的系统来扫描整个互联网。该项目的输出可作为洪流获得,我敢打赌,许多研究人员和攻击者目前正在查看数据以寻找要攻击的东西(他们可能会找到)

其它你可能感兴趣的问题
上一篇禁用 IPv6 如何使服务器更安全? 下一篇如果提供商看到我密码的最后 4 个字符,他们能看到完整的密码吗?