基于物联网设备的分布式拒绝服务 (DDoS)的防护建议 - 安全播报 - 防御吧-羲合云,DDos防护,CC防护,网站防护,网站加速,防cc攻击,高防服务器,服务器代维,域名劫持,域名被墙,免备案CDN

基于物联网设备的分布式拒绝服务 (DDoS)的防护建议

2023-07-04 10:50:00 【大中小】

本文翻译自美国国家标准与技术研究所（NIST）下属的国家网络安全卓越中心（NCCoE，National Cybersecurity Center of Excellence）在2017年11月发布的《MITIGATING IOT-BASED DISTRIBUTED DENIAL OF SERVICE (DDOS)》，有兴趣的同学可以直接看原文。

图1描述了实现此NCCoE方案所需的基于标准的体系结构。新的功能组件，MUD控制器，被引入家庭或企业网络，以增强路由器或交换机提供的现有网络功能：基于路由的地址分配和分组过滤。在这种情况下，物联网设备在连接到网络时将MUD扩展插入到地址请求中（例如，在加电时）。MUD扩展的内容将传递给MUD控制器，MUD控制器从指定的网站（表示为MUD文件服务器）通过HTTPS检索MUD文件。MUD文件描述了该设备的通信要求；MUD控制器将通信要求转换为路由过滤命令，以便路由器执行。物联网设备定期联系相应的更新服务器，以下载和应用安全补丁。路由器或交换机定期接收来自威胁信令服务器的威胁源，以过滤某些类型的网络流量，或者通过基于云的基础架构服务（如DNS）过滤恶意流量，并提供详细的威胁信息，包括：类型、严重性和缓解可用于路由器或按需切换。

请注意，MUD控制器与路由器之间，威胁信令服务器与路由器之间以及物联网设备与相应更新服务器之间的通信未标准化。

3.1、组件列表

此构建模块的组件不会提供完美的安全性，但它们将显著增加恶意行为者在家庭或小型企业网络上破坏和利用物联网设备所需的工作量。

高级体系结构具有以下类型的组件。注意：最终的构建模块可能包括未列出的组件类型或特定的组件示例。

√ 路由器或交换机。

每个设备包过滤；

BCP38入口过滤；

处理威胁信令信息。

√ MUD控制器。

从MUD文件服务器下载、验证和处理MUD文件。

√ MUD文件服务器。

提供对MUD文件的HTTPS请求。

√ DHCP服务器。

识别MUD扩展，动态分配地址。

√ 物联网设备。

使用DHCP和MUD扩展请求地址。

请求、验证和应用软件更新。

√ 更新服务器。

提供软件更新请求。

√ 威胁信令服务器。

推送或提供威胁信令信息请求。

在（可选的）第三个场景中，功能组件可以具有为企业使用而设计的附加的、更健壮的协议。如果本文被追捧，将与工业界合作确定该场景的精确协议集。

3.2、期望要求

此项目的NCCoE构建至少需要以下组件：

√ 路由器或交换机。

√ MUD控制器。

√ DHCP服务器。

√ 威胁信令服务器。

√ 物联网设备。

√ 个人计算设备（台式机、笔记本电脑和移动设备）

每个物联网设备必须与以下组件相关联：

√ MUD文件服务器。

√ 更新服务器。

四、相关标准与指导

开发本文提出的解决方案所需的资源和参考资料通常是稳定的、易于理解的，并且可在商业现货市场中获得。与MUD协议相关的标准处于互联网工程任务组的高级开发阶段。

4.1、核心标准

√ Request for Comments (RFC) 2131, “Dynamic Host Configuration Protocol,” DOI 10.17487/RFC2131, March 1997.

See http://www.rfc-editor.org/info/rfc2131

√ RFC 2818, “HTTP Over TLS,” DOI 10.17487/RFC2818, May 2000.

See http://www.rfc-editor.org/info/rfc2818

√ RFC 3315, “Dynamic Host Configuration Protocol for IPv6 (DHCPv6),” DOI 10.17487/RFC3315, July 2003.

See http://www.rfc-editor.org/info/rfc3315

√ RFC 5280, “Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile,” DOI 10.17487/RFC5280, May 2008.

See http://www.rfc-editor.org/info/rfc5280

√ RFC 5652, “Cryptographic Message Syntax (CMS),” STD 70, DOI 10.17487/RFC5652, September 2009.

See http://www.rfc-editor.org/info/rfc5652

√ RFC 6020, “YANG - A Data Modeling Language for the Network Configuration Protocol (NETCONF),” DOI 10.17487/RFC6020, October 2010.

See http://www.rfc-editor.org/info/rfc6020

4.2、正在进行的MUD标准活动

√ E. Lear, “Manufacturer Usage Description Specification,” August 9, 2017.

See draft-ietf-opsawg-mud-08

√ S. Rich and T. Dahm, “MUD Lifecyle: A Network Operator's Perspective,” March 12, 2017.

See draft-srich-opsawg-mud-net-lifecycle-00.txt

√ S. Rich and T. Dahm, “MUD Lifecyle: A Manufacturer's Perspective,” March 27, 2017.

See draft-srich-opsawg-mud-manu-lifecycle-01.txt

4.3、安全更新标准

√ NIST Special Publication (SP) 800-40, Guide to Enterprise Patch Management Technologies.

See https://csrc.nist.gov/publications/detail/sp/800-40/rev-3/final

√ NIST Special Publication (SP) 800-147, BIOS Protection Guidelines, and SP 800-147B, BIOS Protection Guidelines for Servers.

See https://csrc.nist.gov/publications/detail/sp/800-147/final

√ NISTIR 7823, Advanced Metering Infrastructure Smart Meter Upgradeability Test Framework.

See http://csrc.nist.gov/publications/drafts/nistir-7823/draft_nistir-7823.pdf

√ NIST SP 800-193, Platform Firmware Resiliency Guidelines.

See https://csrc.nist.gov/publications/detail/sp/800-193/draft

√ Multi-stakeholder Working Group for Secure Update of IoT devices. (Ongoing and established by the National Telecommunications Information Administration as part of its Internet Policy Task Force.)

See https://www.ntia.doc.gov/category/internet-things

4.4、软件质量的行业最佳实践

√ SANS TOP 25 Most Dangerous Software Errors, SANS Institute.

See https://www.sans.org/top25-software-errors/

4.5、识别和认证的最佳实践

√ NIST SP 800-63-3, Digital Identity Guidelines.

See https://csrc.nist.gov/publications/detail/sp/800-63/3/final

√ NIST SP 800-63-B, Digital Identity Guidelines: Authentication and Lifecycle Management.

See https://csrc.nist.gov/publications/detail/sp/800-63b/final

√ FIDO Alliance specifications.

See https://fidoalliance.org/specifications/overview/

4.6、密码标准和最佳实践

√ Managing Federal Information as a Strategic Resource, OMB Circular A-130, Executive Office of the President, Office of Management and Budget, July 28, 2016.

https://obamawhitehouse.archives.gov/omb/circulars_a130_a130trans4/

√ Cybersecurity Framework, National Institute of Standards and Technology.

http://www.nist.gov/cyberframework/

√ NIST SP 800-57 Part 1 Revision 4, Recommendation for Key Management.

See http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-57pt1r4.pdf

√ NIST SP 800-52 Revision 1, Guidelines for the Selection, Configuration, and Use of Transport Layer Security (TLS) Implementations.

See http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-52r1.pdf

附录A 参考文献

[1] Sweet, vulnerable IoT devices compromised 6 min after going online, The Register [Web site].

https://www.theregister.co.uk/2016/10/17/iot_device_exploitation/ [accessed 09/30/17].

[2] R. Dobbins and S. Bjarnason, Mirai IoT Botnet Description and DDoS Attack Mitigation, Arbor Networks [Web site], October 2016.

https://www.arbornetworks.com/blog/asert/mirai-iot-botnet-description-ddos-attack-mitigation/ [accessed 09/30/17].



【大中小】【打印】【关闭】【返回顶部】
分享到:
上一篇：没有了	下一篇：2023年数据泄露报告总结

安全播报

联系我们