本文翻譯自美國國家標準與技術(shù)研究所(NIST)下屬的國家網(wǎng)絡(luò)安全卓越中心(NCCoE�����,National Cybersecurity Center of Excellence)在2017年11月發(fā)布的《MITIGATING IOT-BASED DISTRIBUTED DENIAL OF SERVICE (DDOS)》,有興趣的同學(xué)可以直接看原文���。
圖1描述了實現(xiàn)此NCCoE方案所需的基于標準的體系結(jié)構(gòu)����。新的功能組件����,MUD控制器,被引入家庭或企業(yè)網(wǎng)絡(luò)�����,以增強路由器或交換機提供的現(xiàn)有網(wǎng)絡(luò)功能:基于路由的地址分配和分組過濾��。在這種情況下�,物聯(lián)網(wǎng)設(shè)備在連接到網(wǎng)絡(luò)時將MUD擴展插入到地址請求中(例如,在加電時)����。MUD擴展的內(nèi)容將傳遞給MUD控制器,MUD控制器從指定的網(wǎng)站(表示為MUD文件服務(wù)器)通過HTTPS檢索MUD文件��。MUD文件描述了該設(shè)備的通信要求�;MUD控制器將通信要求轉(zhuǎn)換為路由過濾命令�����,以便路由器執(zhí)行���。物聯(lián)網(wǎng)設(shè)備定期聯(lián)系相應(yīng)的更新服務(wù)器,以下載和應(yīng)用安全補丁。路由器或交換機定期接收來自威脅信令服務(wù)器的威脅源,以過濾某些類型的網(wǎng)絡(luò)流量�����,或者通過基于云的基礎(chǔ)架構(gòu)服務(wù)(如DNS)過濾惡意流量,并提供詳細的威脅信息��,包括:類型���、嚴重性和緩解可用于路由器或按需切換����。
請注意���,MUD控制器與路由器之間,威脅信令服務(wù)器與路由器之間以及物聯(lián)網(wǎng)設(shè)備與相應(yīng)更新服務(wù)器之間的通信未標準化��。
3.1、組件列表
此構(gòu)建模塊的組件不會提供完美的安全性����,但它們將顯著增加惡意行為者在家庭或小型企業(yè)網(wǎng)絡(luò)上破壞和利用物聯(lián)網(wǎng)設(shè)備所需的工作量。
高級體系結(jié)構(gòu)具有以下類型的組件��。注意:最終的構(gòu)建模塊可能包括未列出的組件類型或特定的組件示例��。
√ 路由器或交換機���。
每個設(shè)備包過濾���;
BCP38入口過濾;
處理威脅信令信息�����。
√ MUD控制器��。
從MUD文件服務(wù)器下載�����、驗證和處理MUD文件。
√ MUD文件服務(wù)器�����。
提供對MUD文件的HTTPS請求��。
√ DHCP服務(wù)器�����。
識別MUD擴展��,動態(tài)分配地址����。
√ 物聯(lián)網(wǎng)設(shè)備。
使用DHCP和MUD擴展請求地址����。
請求、驗證和應(yīng)用軟件更新����。
√ 更新服務(wù)器。
提供軟件更新請求���。
√ 威脅信令服務(wù)器���。
推送或提供威脅信令信息請求。
在(可選的)第三個場景中���,功能組件可以具有為企業(yè)使用而設(shè)計的附加的�����、更健壯的協(xié)議�。如果本文被追捧���,將與工業(yè)界合作確定該場景的精確協(xié)議集�。
3.2�、期望要求
此項目的NCCoE構(gòu)建至少需要以下組件:
√ 路由器或交換機。
√ MUD控制器��。
√ DHCP服務(wù)器�����。
√ 威脅信令服務(wù)器����。
√ 物聯(lián)網(wǎng)設(shè)備�。
√ 個人計算設(shè)備(臺式機��、筆記本電腦和移動設(shè)備)
每個物聯(lián)網(wǎng)設(shè)備必須與以下組件相關(guān)聯(lián):
√ MUD文件服務(wù)器��。
√ 更新服務(wù)器����。
四、相關(guān)標準與指導(dǎo)
開發(fā)本文提出的解決方案所需的資源和參考資料通常是穩(wěn)定的����、易于理解的,并且可在商業(yè)現(xiàn)貨市場中獲得�。與MUD協(xié)議相關(guān)的標準處于互聯(lián)網(wǎng)工程任務(wù)組的高級開發(fā)階段。
4.1���、核心標準
√ Request for Comments (RFC) 2131, “Dynamic Host Configuration Protocol,” DOI 10.17487/RFC2131, March 1997.
See http://www.rfc-editor.org/info/rfc2131
√ RFC 2818, “HTTP Over TLS,” DOI 10.17487/RFC2818, May 2000.
See http://www.rfc-editor.org/info/rfc2818
√ RFC 3315, “Dynamic Host Configuration Protocol for IPv6 (DHCPv6),” DOI 10.17487/RFC3315, July 2003.
See http://www.rfc-editor.org/info/rfc3315
√ RFC 5280, “Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile,” DOI 10.17487/RFC5280, May 2008.
See http://www.rfc-editor.org/info/rfc5280
√ RFC 5652, “Cryptographic Message Syntax (CMS),” STD 70, DOI 10.17487/RFC5652, September 2009.
See http://www.rfc-editor.org/info/rfc5652
√ RFC 6020, “YANG - A Data Modeling Language for the Network Configuration Protocol (NETCONF),” DOI 10.17487/RFC6020, October 2010.
See http://www.rfc-editor.org/info/rfc6020
4.2�、正在進行的MUD標準活動
√ E. Lear, “Manufacturer Usage Description Specification,” August 9, 2017.
See draft-ietf-opsawg-mud-08
√ S. Rich and T. Dahm, “MUD Lifecyle: A Network Operator's Perspective,” March 12, 2017.
See draft-srich-opsawg-mud-net-lifecycle-00.txt
√ S. Rich and T. Dahm, “MUD Lifecyle: A Manufacturer's Perspective,” March 27, 2017.
See draft-srich-opsawg-mud-manu-lifecycle-01.txt
4.3�����、安全更新標準
√ NIST Special Publication (SP) 800-40, Guide to Enterprise Patch Management Technologies.
See https://csrc.nist.gov/publications/detail/sp/800-40/rev-3/final
√ NIST Special Publication (SP) 800-147, BIOS Protection Guidelines, and SP 800-147B, BIOS Protection Guidelines for Servers.
See https://csrc.nist.gov/publications/detail/sp/800-147/final
√ NISTIR 7823, Advanced Metering Infrastructure Smart Meter Upgradeability Test Framework.
See http://csrc.nist.gov/publications/drafts/nistir-7823/draft_nistir-7823.pdf
√ NIST SP 800-193, Platform Firmware Resiliency Guidelines.
See https://csrc.nist.gov/publications/detail/sp/800-193/draft
√ Multi-stakeholder Working Group for Secure Update of IoT devices. (Ongoing and established by the National Telecommunications Information Administration as part of its Internet Policy Task Force.)
See https://www.ntia.doc.gov/category/internet-things
4.4�����、軟件質(zhì)量的行業(yè)最佳實踐
√ SANS TOP 25 Most Dangerous Software Errors, SANS Institute.
See https://www.sans.org/top25-software-errors/
4.5、識別和認證的最佳實踐
√ NIST SP 800-63-3, Digital Identity Guidelines.
See https://csrc.nist.gov/publications/detail/sp/800-63/3/final
√ NIST SP 800-63-B, Digital Identity Guidelines: Authentication and Lifecycle Management.
See https://csrc.nist.gov/publications/detail/sp/800-63b/final
√ FIDO Alliance specifications.
See https://fidoalliance.org/specifications/overview/
4.6�、密碼標準和最佳實踐
√ Managing Federal Information as a Strategic Resource, OMB Circular A-130, Executive Office of the President, Office of Management and Budget, July 28, 2016.
https://obamawhitehouse.archives.gov/omb/circulars_a130_a130trans4/
√ Cybersecurity Framework, National Institute of Standards and Technology.
http://www.nist.gov/cyberframework/
√ NIST SP 800-57 Part 1 Revision 4, Recommendation for Key Management.
See http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-57pt1r4.pdf
√ NIST SP 800-52 Revision 1, Guidelines for the Selection, Configuration, and Use of Transport Layer Security (TLS) Implementations.
See http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-52r1.pdf
附錄A 參考文獻
[1] Sweet, vulnerable IoT devices compromised 6 min after going online, The Register [Web site].
https://www.theregister.co.uk/2016/10/17/iot_device_exploitation/ [accessed 09/30/17].
[2] R. Dobbins and S. Bjarnason, Mirai IoT Botnet Description and DDoS Attack Mitigation, Arbor Networks [Web site], October 2016.
https://www.arbornetworks.com/blog/asert/mirai-iot-botnet-description-ddos-attack-mitigation/ [accessed 09/30/17].
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
