译者:李飞

本文翻译自美国国家标准与技术研究所(NIST)下属的国家网络安全卓越中心(NCCoE,National Cybersecurity Center of Excellence)在2017年11月发布的《MITIGATING IOT-BASED DISTRIBUTED DENIAL OF SERVICE (DDOS)》,有兴趣的同学可以直接看原文。

摘要

本文构建模块的目标是减少物联网(IoT,Internet of Things)设备对僵尸网络和其它自动分布式威胁的脆弱性,同时限制受到破坏的物联网设备对恶意行为者的效用。该构建模块的主要技术要素包括:支持有线和无线网络接入的网络网关/路由器,制造商使用描述(MUD,Manufacturer Usage Description)规范控制器和文件服务器,动态主机配置协议(DHCP,Dynamic Host Configuration Protocol)和更新服务器,威胁信令服务器,个人计算设备和商业计算设备。这些组件的安全功能无法提供完美的安全性,但它们将显著增加恶意行为者在家庭或小型企业网络上破坏和利用物联网设备所需的工作量。为此NCCoE构建模块设想的方案强调家庭和小型企业的应用程序需要支持即插即用部署。在一种场景中,除了传统的个人计算设备,家庭网络还包括多种物联网设备,这些设备与外部系统交互以访问安全更新和各种云服务。在第二种场景中,小型零售企业使用物联网设备进行安全、楼宇管理和零售,还使用计算设备进行业务运营,同时允许客户访问互联网。该项目将提供免费的NIST网络安全实践指南。

一、执行摘要

1.1、目的

本文档定义了一个国家网络安全卓越中心项目,其重点是减轻基于物联网的分布式拒绝服务。该项目的目标是减少物联网设备对僵尸网络和其它自动分布式威胁的脆弱性,同时限制受到破坏的物联网设备对恶意行为者的效用。该目标旨在通过减轻网络上的攻击传播来提高物联网设备对分布式攻击的弹性,并改善互联网服务的可用性。该构建模块项目支持关于加强美国联邦网络和关键基础设施网络安全的总统行政命令(EO 13800)。

物联网目前正在经历所谓的“超级增长”。根据物联网分析公司“量化互联世界”的数据,预计2014年的连接设备将达到60亿至140亿台,2020年达到180亿至500亿台。物联网涵盖范围广泛,从研发、基础设施到运营等应用领域的服务部门(如信息技术和网络,安全和公共安全,零售商业,运输,制造,医疗保健和生命科学,消费者和家庭,能源,建筑)和服务交付。

在这些用户社区中,安全和隐私正日益成为人们关注的焦点。对于消费型物联网设备提供商来说,安全性并不是优先考虑的问题;大多数物联网组件都不安全,而且当前的许多物联网组件都非常难以防护。政府和行业安全专业人员对于减轻物联网漏洞的危害有着浓厚的兴趣。对于大多数物联网设备提供商来说,投资于安全改进工作并不是优先考虑的事情,但是现有漏洞的后果可能影响任何依赖于互联网服务的实体。

该项目将产生一个公开的NIST网络安全实践指南,这是一个详细的实施指南,用于指导项目实施中网络安全参考设计所需的实际步骤,以应对这一挑战。

1.2、范围

这个构建模块项目的目标是演示一种在家庭和小型企业网络中安全部署消费者和商业物联网设备的建议方法,这种方法提供了比当今环境中部署方案的更高的安全性。在本项目中,当前和新兴的网络标准将应用于由物联网和全功能设备(例如,个人计算机和移动设备)组成的家庭和商业网络,以限制基于通信的恶意软件攻击。网络网关组件和安全感知物联网设备将利用制造商描述(MUD)规范来创建虚拟网络段。网络组件将基于威胁信令实现网络范围的访问控制,以保护传统的物联网设备和全功能设备。自动安全更新控制将在所有设备上实现,并支持安全的管理访问。

这个NCCoE构建块的范围包括需要即插即用部署的家庭和小型企业应用程序。在一种演示场景中,除了传统的个人计算设备,家庭网络还包括与外部系统交互以访问安全更新和各种云服务的物联网设备。在第二种场景中,该项目将演示一个小型零售业务应用程序,该应用程序采用物联网设备进行安全、楼宇管理和零售,采用计算设备用于业务运营,同时允许客户访问互联网。在这两种场景下,一个新的功能组件MUD控制器被引入了家庭或企业网络,以增强由路由器或交换机提供的现有网络的功能:DHCP地址分配和基于路由的数据包过滤。

在这些场景中,物联网设备在连接网络时(例如,在加电时)将MUD扩展插入DHCP地址请求中。MUD扩展的内容被传递给MUD控制器,MUD控制器使用HTTPS协议从指定的网站(表示为MUD文件服务器)中检索MUD文件。MUD文件描述了该设备的通信要求,MUD控制器将这些要求转换成路由过滤命令,以便路由器执行。物联网设备定期与更新服务器通讯以下载和应用安全补丁。路由器或交换机定期从威胁信令服务器接收威胁源,以过滤某些类型的网络流量。请注意,MUD控制器和路由器之间、威胁信令服务器和路由器之间以及物联网设备和相应更新服务器之间的通信未标准化。

NCCoE还在考虑将一个扩展示范场景作为该项目的一部分,以扩大构建模块的范围,包括工业控制和大型企业的运营需求。

1.3、假设/挑战

本项目的主要技术要素如下:

√ 支持有线和无线网络接入的网络网关/路由器。

√ MUD控制器和文件服务器。

√ DHCP和更新服务器。

√ 威胁信令服务器。

√ 个人计算设备(个人计算机、平板电脑和手机)。

√ 商业计算设备。

部署在包含此构建模块环境中的物联网设备仅对预先批准的设备可见,例如关联的基于云的服务或更新服务器。恶意行为者将需要入侵专业运营的云服务或更新服务器以检测或发起攻击,并且每个入侵行为将仅适用于单一类型的设备或单个制造商的产品。管理访问和安全更新的最佳实践会降低物联网系统被感染的成功率。以前长期存在的漏洞(全局管理密码)或短期漏洞(已知安全更新的漏洞)将无法使用。结果,恶意行为者将被迫使用昂贵的零日攻击或社会工程学密码攻击,这些密码是不可扩展的。

如果一个物联网设备有这些控制手段还是受到了损害,则虚拟网络分段将阻止家庭或企业内的攻击的横向移动,或防止攻击预先批准的列表之外的系统;在这种情况下,对物联网设备的访问控制将具有一定的价值。从受感染的设备获取价值将要求在已批准的通信设备列表上进行完整性攻击。也就是说,使用恒温器僵尸网络攻击www.example.com将需要修改产品供应商已批准的通信设备列表,以允许恒温器与www.example.com进行通信。

1.4、背景

从历史上看,互联网设备在网络和传输层享有完全连接。具有IP地址的任何一对设备通常能够通过使用TCP/IP协议进行面向连接的通信或用于无连接的UDP协议进行通信。

完全连接是全功能设备(例如,服务器和个人计算机)的实用架构选项,因为通信主机的身份在很大程度上取决于固有的不可预测的人类用户的需求。要求重新配置主机以便允许通信满足系统用户的需求,这是无法扩展的解决方案。然而,白名单设备功能与被列为可疑的黑名单设备或域的组合允许网络管理员减轻某些威胁。随着互联网主机从多用户系统向个人设备的发展,这种安全态势变得不切实际,物联网的出现使其不可持续。

在典型的网络环境中,恶意行为者可以检测到物联网设备,并从互联网上的任何系统发起对该设备的攻击。一旦受到攻击,该设备可以用于攻击互联网上的任何系统。相关证据表明,新设备将被检测到,并将在部署后的几分钟内遭遇首次攻击[1]。由于所部署的设备通常具有已知的安全缺陷,因此检测到的系统受感染的成功率非常高。通常,恶意软件旨在危害特定设备列表,使此类攻击具有很高的可扩展性。一旦受到攻击感染,物联网设备可用于危害任何连接互联网的设备,对互联网上的任何设备发起攻击,或在托管设备的本地网络内进行横向移动感染攻击。

物联网设备在这种环境中的脆弱性是完全连接的结果,当今复杂的软件系统中存在大量的安全漏洞,这加剧了这种脆弱性。目前已经被接受的编码实践导致每千行代码大约有一个软件错误,其中许多错误会产生安全漏洞。现代系统带有数百万行代码,为恶意行为者创造了一个目标丰富的环境。虽然一些供应商提供安全漏洞补丁和安全更新其产品的有效方法,但补丁不可用或几乎不可能安装在许多其它产品上,包括许多物联网设备。实施不当的默认配置基线和管理访问控制(如硬编码或广为人知的默认密码)为恶意行为者提供了大量的攻击面。物联网设备再一次特别容易受到攻击。Mirai[2]恶意软件严重依赖于硬编码管理访问,通过它可以组建超过10万个设备的僵尸网络。

二、多种场景

物联网设备广泛应用于各种各样的计算和通信环境中。为此NCCoE构建模块设想的场景强调,在家庭和小型企业的应用程序需要支持即插即用的部署方式。然而,大型企业可能涉及分支机构或小型网络部分,对其中所有设备的企业管理是不切实际或过于昂贵的,并且本项目中处理的场景可能映射到这种情况。最后,第三种场景正在考虑作为后期的项目阶段,将范围扩展到大型企业和工业控制需求。

2.1、场景1:家庭网络

在此场景中,家庭网络包括物联网设备和传统个人计算设备。物联网设备与外部系统交互以访问安全更新和各种云服务;物联网设备与传统个人计算设备之间的交互通常通过云服务间接发生。物联网设备和传统个人计算设备的示例如下:

√ 支持有线和无线网络接入的网络网关/路由器。

√ 个人计算设备(个人电脑,平板电脑和手机)。

√ 不同房间的恒温器和温度传感器。

√ 家用电器(冰箱,洗衣机,烘干机,炉灶和微波炉)。

√ 灯光设备。

√ 数据视频录像机。

√ 闭路电视(TV)摄像机和网络摄像头。

√ 婴儿监视器。

√ 智能电视。

√ 机顶盒。

√ 家用打印机/扫描仪。

√ 家庭助理(例如,Amazon Echo [Alexa])。

2.2、场景2:小企业环境

在此场景中,小型零售企业采用物联网设备进行安全、楼宇管理和零售,以及使用计算设备进行业务操作,同时允许客户进行内部无线互联网接入。使用的设备示例如下:

√ 支持有线和无线网络接入的网络网关/路由器。

√ 商业计算设备。

√ 客户的个人计算设备(个人计算机,平板电脑和手机),可能包括用于增强客户体验的应用程序。

√ 监控摄像头。

√ 采暖通风和空调系统。

√ 销售点设备。

√ 灯光设备。

√ 打印机/扫描仪/传真机。

2.3、可选场景3:企业环境

在此场景中,一个支持业务运营和工业控制功能的企业网络,除了使用用于业务运营的计算设备之外,还使用物联网设备进行安全、楼宇管理和工业控制。该方案的细节,如果被追捧,将与工业界合作开发。

三、高层体系结构

图1、物联网感知企业的建议架构

图1描述了实现此NCCoE方案所需的基于标准的体系结构。新的功能组件,MUD控制器,被引入家庭或企业网络,以增强路由器或交换机提供的现有网络功能:基于路由的地址分配和分组过滤。在这种情况下,物联网设备在连接到网络时将MUD扩展插入到地址请求中(例如,在加电时)。MUD扩展的内容将传递给MUD控制器,MUD控制器从指定的网站(表示为MUD文件服务器)通过HTTPS检索MUD文件。MUD文件描述了该设备的通信要求;MUD控制器将通信要求转换为路由过滤命令,以便路由器执行。物联网设备定期联系相应的更新服务器,以下载和应用安全补丁。路由器或交换机定期接收来自威胁信令服务器的威胁源,以过滤某些类型的网络流量,或者通过基于云的基础架构服务(如DNS)过滤恶意流量,并提供详细的威胁信息,包括:类型、严重性和缓解可用于路由器或按需切换。

请注意,MUD控制器与路由器之间,威胁信令服务器与路由器之间以及物联网设备与相应更新服务器之间的通信未标准化。

3.1、组件列表

此构建模块的组件不会提供完美的安全性,但它们将显著增加恶意行为者在家庭或小型企业网络上破坏和利用物联网设备所需的工作量。

高级体系结构具有以下类型的组件。注意:最终的构建模块可能包括未列出的组件类型或特定的组件示例。

√ 路由器或交换机。

每个设备包过滤;

BCP38入口过滤;

处理威胁信令信息。

√ MUD控制器。

从MUD文件服务器下载、验证和处理MUD文件。

√ MUD文件服务器。

提供对MUD文件的HTTPS请求。

√ DHCP服务器。

识别MUD扩展,动态分配地址。

√ 物联网设备。

使用DHCP和MUD扩展请求地址。

请求、验证和应用软件更新。

√ 更新服务器。

提供软件更新请求。

√ 威胁信令服务器。

推送或提供威胁信令信息请求。

在(可选的)第三个场景中,功能组件可以具有为企业使用而设计的附加的、更健壮的协议。如果本文被追捧,将与工业界合作确定该场景的精确协议集。

3.2、期望要求

此项目的NCCoE构建至少需要以下组件:

√ 路由器或交换机。

√ MUD控制器。

√ DHCP服务器。

√ 威胁信令服务器。

√ 物联网设备。

√ 个人计算设备(台式机、笔记本电脑和移动设备)

每个物联网设备必须与以下组件相关联:

√ MUD文件服务器。

√ 更新服务器。

四、相关标准与指导

开发本文提出的解决方案所需的资源和参考资料通常是稳定的、易于理解的,并且可在商业现货市场中获得。与MUD协议相关的标准处于互联网工程任务组的高级开发阶段。

4.1、核心标准

√ Request for Comments (RFC) 2131, “Dynamic Host Configuration Protocol,” DOI 10.17487/RFC2131, March 1997.

See http://www.rfc-editor.org/info/rfc2131

√ RFC 2818, “HTTP Over TLS,” DOI 10.17487/RFC2818, May 2000.

See http://www.rfc-editor.org/info/rfc2818

√ RFC 3315, “Dynamic Host Configuration Protocol for IPv6 (DHCPv6),” DOI 10.17487/RFC3315, July 2003.

See http://www.rfc-editor.org/info/rfc3315

√ RFC 5280, “Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile,” DOI 10.17487/RFC5280, May 2008.

See http://www.rfc-editor.org/info/rfc5280

√ RFC 5652, “Cryptographic Message Syntax (CMS),” STD 70, DOI 10.17487/RFC5652, September 2009.

See http://www.rfc-editor.org/info/rfc5652

√ RFC 6020, “YANG - A Data Modeling Language for the Network Configuration Protocol (NETCONF),” DOI 10.17487/RFC6020, October 2010.

See http://www.rfc-editor.org/info/rfc6020

4.2、正在进行的MUD标准活动

√ E. Lear, “Manufacturer Usage Description Specification,” August 9, 2017.

See draft-ietf-opsawg-mud-08

√ S. Rich and T. Dahm, “MUD Lifecyle: A Network Operator's Perspective,” March 12, 2017.

See draft-srich-opsawg-mud-net-lifecycle-00.txt

√ S. Rich and T. Dahm, “MUD Lifecyle: A Manufacturer's Perspective,” March 27, 2017.

See draft-srich-opsawg-mud-manu-lifecycle-01.txt

4.3、安全更新标准

√ NIST Special Publication (SP) 800-40, Guide to Enterprise Patch Management Technologies.

See https://csrc.nist.gov/publications/detail/sp/800-40/rev-3/final

√ NIST Special Publication (SP) 800-147, BIOS Protection Guidelines, and SP 800-147B, BIOS Protection Guidelines for Servers.

See https://csrc.nist.gov/publications/detail/sp/800-147/final

√ NISTIR 7823, Advanced Metering Infrastructure Smart Meter Upgradeability Test Framework.

See http://csrc.nist.gov/publications/drafts/nistir-7823/draft_nistir-7823.pdf

√ NIST SP 800-193, Platform Firmware Resiliency Guidelines.

See https://csrc.nist.gov/publications/detail/sp/800-193/draft

√ Multi-stakeholder Working Group for Secure Update of IoT devices. (Ongoing and established by the National Telecommunications Information Administration as part of its Internet Policy Task Force.)

See https://www.ntia.doc.gov/category/internet-things

4.4、软件质量的行业最佳实践

√ SANS TOP 25 Most Dangerous Software Errors, SANS Institute.

See https://www.sans.org/top25-software-errors/

4.5、识别和认证的最佳实践

√ NIST SP 800-63-3, Digital Identity Guidelines.

See https://csrc.nist.gov/publications/detail/sp/800-63/3/final

√ NIST SP 800-63-B, Digital Identity Guidelines: Authentication and Lifecycle Management.

See https://csrc.nist.gov/publications/detail/sp/800-63b/final

√ FIDO Alliance specifications.

See https://fidoalliance.org/specifications/overview/

4.6、密码标准和最佳实践

√ Managing Federal Information as a Strategic Resource, OMB Circular A-130, Executive Office of the President, Office of Management and Budget, July 28, 2016.

https://obamawhitehouse.archives.gov/omb/circulars_a130_a130trans4/

√ Cybersecurity Framework, National Institute of Standards and Technology.

http://www.nist.gov/cyberframework/

√ NIST SP 800-57 Part 1 Revision 4, Recommendation for Key Management.

See http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-57pt1r4.pdf

√ NIST SP 800-52 Revision 1, Guidelines for the Selection, Configuration, and Use of Transport Layer Security (TLS) Implementations.

See http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-52r1.pdf

附录A 参考文献

[1] Sweet, vulnerable IoT devices compromised 6 min after going online, The Register [Web site].

https://www.theregister.co.uk/2016/10/17/iot_device_exploitation/ [accessed 09/30/17].

[2] R. Dobbins and S. Bjarnason, Mirai IoT Botnet Description and DDoS Attack Mitigation, Arbor Networks [Web site], October 2016.

https://www.arbornetworks.com/blog/asert/mirai-iot-botnet-description-ddos-attack-mitigation/ [accessed 09/30/17].

声明:本文来自威努特工控安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。