Препятствие усыпанной маршрутизатор по маршруту к дому ИОТ безопасности

The Router's Obstacle-Strewn Route to Home IoT Security

Это новоиспеченные общепринятое мнение, что нет единой информационной конференции по безопасности проходит без презентации про плачевное состояние безопасность в Интернете вещей. В то время как это является благом для исследователей, которые стремятся сделать себе имя, это печальное положение дел, безусловно, не выгодно для тех, кто владеет подключенного устройства.

Много владельцев устройства-не единственные, хоть и надоело. Прямо позади них Элдридж Александр, руководитель лаборатории дуэте
Безопасность Дуэт. Лучше Даже, у него есть план, опыт и, чтобы придать ей некоторое правдоподобие.

Прежде чем приступить к исполнению своей нынешней роли в безопасности дуэта, Александр занимал ряд постов в компании Гугл и другие. По его словам, через линию, которая связывает воедино его прошлое и настоящее его работы-это достижения в области безопасности, которые выпадают из выравнивания всех элементов управления безопасностью сети с принципом нулевого доверия.

«Я, в основном, живет и дышит ноль-доверие за последние несколько лет», — сказал Александр LinuxInsider.

Проще говоря, «ноль-траст» является идея о том, что в максимально возможной степени, устройства не должны быть надежными, чтобы быть безопасным, и они должны рассматриваться как таковые. Есть много способов, ноль-доверие может проявляться, как это не столько в особой технике, как руководящий принцип, но в том идея, чтобы оставить себя неуязвимым для компромисса, как можно на одном устройстве.

Повторяющейся темой среди его последних нескольких работодателей, это естественно наложило свой отпечаток на Александра, до точки, где она положительно пронизывает его план для ИОТ безопасности в домашних сетях. Его ноль-доверие к рвение к домашней сети в нужное время.

Потребительский Хотя много принятия
ускоряется, ноль-доверие еще учесть большинство потребителей сетевых технологий, Александр заметил, и мы получаем до точки, где мы можем себе позволить, чтобы его не.

«Расследование не новые угрозы, но возросло количество угроз в ИОТ и домашних сетей, я был очень заинтересован в том, как мы могли бы применить некоторые из этих предприятий, ориентированных принципов и философии к домашним сетям», — отметил он.

Сегментация Сети

В доме много схем безопасности Александра, которую он представил на взлом конференции в Чикаго THOTCON этой весной, ноль доверия, главным образом, принимает форму сегментация сети, что корпоративные сети давно сделали ставку на.

В частности, он выступает за маршрутизатор производители, чтобы обеспечить способ для пользователей, чтобы создать два отдельных идентификаторов SSID (не по одной на каждый сегмент), либо автоматически, либо с простым пользователем-интерфейс, сродни той, которую уже включены основные настройки сети (думаю, что ваш 192.168.1.1 веб-интерфейс).

Можно было бы быть единственным хост для настольных и мобильных устройств для конечных пользователей, в то время как другой будет содержать только устройств IoT для дома, и вместе им не сойтись.

Критически, решение Александра во многом обходит много сами производители, которая является особенностью. Это не так много производители должны быть освобождены от совершенствования их практики развития-наоборот, они должны выполнить свою часть работы. Это потому, что они еще не доказали, что способны двигаться достаточно быстро, чтобы удовлетворить потребности потребителя безопасность.

«Мои мысли и разговоры здесь как бы в ответ на наше нынешнее состояние мира, мои ожидания и какой-либо надежды для много производителей долгосрочной перспективе, в то время как для маршрутизатора производителей и домашнего сетевого оборудования это более короткий срок», — сказал он.

Производители маршрутизаторов бы гораздо более чутко реагировать на потребности потребителя безопасность, по мнению Александра. Однако любой, когда-нибудь кто пробовал обновлять прошивку маршрутизатора можно указать минимальное внимание эти добавочные патчи часто получают от застройщиков в качестве встречного иска.

В стороне от этой проблемы, производители маршрутизаторов обычно интегрировать новые функции, такие как обновленный 802.11 и правилам ВПА довольно быстро, если ни по какой другой причине, чем, чтобы дать потребителям новейшие и лучшие технологии.

«Я думаю, что много [маршрутизатор] учреждения будут открыты для реализации хорошей, надежной вещи, потому что они знают, а также обеспечение безопасности сообщества … что эти ИОТ-устройств не станет лучше, и они собираются, чтобы быть угроз нашим сетям», — сказал Александр.

Так что как бы на самом деле роутеры осуществлять сегментацию сети на практике? По замыслу Александра, если уверены, потребители захотели вычеркнуть самостоятельно и решать дополнительные параметры конфигурации, маршрутизатор просто создать две беспроводных сетей с разными SSID и по настройке маршрутизатора. Описывая этот сценарий, SSID, который он назвал имена «Элдридж» и «Элдридж много,» по аналогии с более традиционными «дом» и «хозяева-гости» конвенции.

Двух идентификаторов SSID и являются только начальным и самым заметным (потребителю) части конструкции. Реальная власть исходит от развертывания виртуальных локальных сетей, соответствующих для каждого идентификатора SSID. Содержащий устройств Интернета вещей, «Элдридж много» в данном случае, не позволило бы устройствах на нее, чтобы отправить пакеты на основную влан (на «Элдридж»).

Между тем, основной влан либо будет позволено общаться с Много виртуальной локальной сети непосредственно или, предпочтительно, будет ретранслировать команды через много конфигурации и служба управления на сам маршрутизатор. Эта последняя служба также может позаботиться основных ИОТ настройки устройства, чтобы избежать прямого столько вмешательства пользователя, насколько это возможно.

Маршрутизатор «также будет раскручиваться служба приложения, такие как опера веб вещам или помощника по дому, или что-то на заказ у поставщика, и было бы сделать, что бы прокси-шлюза», — сказал Александр. «Вы редко нужно поговорить с основного Элдридж Элдридж много в влан влан. Вы бы на самом деле просто поговори с веб-интерфейс, что бы потом общаться на ив влан от вашего имени».

Путем создания отдельных сетей влан исключительно для устройств Интернета вещей, эта конфигурация может утеплить дом пользователей ноутбуков, смартфонов и других устройств, чувствительных на основном влан от компрометации одного из своих устройств Интернета вещей. Это происходит потому, что любое несанкционированное устройство для интернета вещей будет заблокирована функция отправки каких-либо пакетов первичной влан на канальный уровень пирамиды ИНМ, которые ей не должно быть простой способ, чтобы обойти.

В Это будет маршрутизатор производителей интересах’, чтобы включить эту возможность, сказал Александр, так это их фирменная черта. Если в комплекте домашнего маршрутизатора, он будет предоставлять потребителям с функцией безопасности, что все большее число из них на самом деле выиграют все, а просят очень мало из них на пути технической экспертизы. Он якобы будет включаться вместе с маршрутизатором.

«Я думаю, что это ценный стимул производители маршрутизаторов, для выделиться на переполненном рынке», — сказал Александр. «Между сниженным и Белкин и некоторые другие производители, там много не [различие] между ценами, поэтому предлагаем помощником дома и безопасность многие [различие], что они могли бы потенциально использовать.»

Стандарты Безопасности ИОТ?

Есть какое-то обещание, в эти предлагаемые меры безопасности, но сомнительно, что производители маршрутизаторов на самом деле будет оборудовать потребительских маршрутизаторов, чтобы их доставить, — сказал Шон Дэвис, директор судебно-медицинской экспертизы в
Эдельсон и адъюнкт-профессор промышленность в Иллинойском технологическом институте.

В частности, тегирование виртуальной локальной сети не поддерживается практически любой домашний маршрутизатор устройств на рынке, он сказал LinuxInsider, и сегментирование много от первичной сети было бы невозможно без него.

«Большинство производителей маршрутизаторов на потребительском уровне не поддерживает чтение тегов ВЛВС, и большинство много устройств не поддерживают тегирование виртуальной локальной сети, к сожалению», — сказал Дэвис.

«Они оба могли легко испечь в том, что функциональность на уровне программного обеспечения. Затем, если все много производителей может согласиться теге всех ИОТ-устройств с определенным идентификатором виртуальной локальной сети, и всех потребительских маршрутизаторов может согласиться с маршрута этот тег прямо в Сети, которые могут быть простой способ для потребителей, чтобы иметь всех своих вещей-устройств автоматически изолирован от своих личных устройств», — пояснил он.

Тегирование виртуальной локальной сети не ограничен каким-либо аппаратных ограничений, как отметил Дэвис, но это лишь вопрос позволяет программное обеспечение, чтобы справиться с этим. Просто потому, что производители могут переключиться на тегирование виртуальной локальной сети в программное обеспечение, это не значит, что это будет нелегко убедить их сделать это.

Маловероятно, что производители маршрутизатор будет готов сделать так для своего дома линии маршрутизатор, и неудивительно, что он должен делать с деньгами, — сказал он.

«Многие из крупных компаний по производству потребительских, так и корпоративных маршрутизаторов,» Дэвис отметил. «Я думаю, они могли бы легко добавить функциональность влан в домашних маршрутизаторах, но часто не для того, чтобы оправдать увеличение стоимости многофункциональных аппаратном уровне бизнеса».

Большинство производителей маршрутизатора см. В разделе Дополнительные возможности, такие как тегирование VLAN и заслуживающих ценообразования предприятия за счет тщательной разработки, которая ему необходима для удовлетворения более строгим эксплуатационным требованиям предприятий. На вершине, что, учитывая низкий уровень средней технической грамотности пользователей, производители маршрутизаторов есть основания думать, что возможности пользователя в домашней сети просто не будет использоваться, или будет неправильно.

«Помимо ценовой категории различия», — сказал Дэвис, «они также могли бы думать, ‘Ну, если мы печем в влан и другие предприятия-возможностей, большинство потребителей могут даже не знать, как настроить их, так почему даже беспокоиться?'»

За умасливание производители маршрутизатора, чтобы включить тегирование виртуальной локальной сети и любыми другими функциями корпоративного класса, необходимые для реализации настройки Александр, успех также будет зависеть от реализации каждого производителя свои особенности, как по форме, так и функции, подчеркнул Дэвис.

«Я думаю, что каждый производитель будет иметь различные потоки в их графический интерфейс для создания изолированных виртуальных локальных сетей, что было бы проще для потребителей, чтобы следовать при переключении между разными брендами», — сказал он. «Я думаю, что если ИОТ безопасности был более на основе стандартов или автоматический по умолчанию между устройствами и маршрутизаторами, общей безопасности потребительских устройств позволит значительно улучшить».

Обеспечение обоих этих уступок со стороны производителей маршрутизатор, вероятно, сводятся к ратификации стандартов в отрасли, будь то официально или неофициально, как Дэвис видит.

«На разных досках стандарты потенциально могут собраться вместе и попытаться тангажа стандарта ИОТ безопасности к маршрутизатору и много производителей устройств, и попытаться получить их, чтобы включить его в свою продукцию», — сказал он. «Помимо нового стандарта, там потенциально может быть создан консорциум, куда несколько основных производителей включают расширенный ИОТ изоляции устройства в надежде, что другие последуют их примеру.»

Снижение Риска

THOTCON выступление Александра коснулся связь 5г в том, что
многие прогнозируют, много будет интегрировать, но при изучении жизнеспособности альтернатив для его установки, Дэвис быстро тяготел к предложению Александра.

Подключение к ИОТ-устройств с помощью 5г, несомненно, держать их подальше от ноутбука для домашних пользователей и смартфон-подшипник сетей, Дэвис признал, но он будет представлять с другими проблемами. Как любой, когда-либо кто просматривали
Шодан могу сказать вам, всегда-на устройствах с редко-изменены учетные данные по умолчанию подключен напрямую к сети Интернет имеют свои недостатки.

«Имея ваши устройства IoT в изолированные с вашего домашнего устройства это здорово, но есть еще возможности для устройств Интернета вещей под угрозой», — сказал Дэвис. «Если они являются общедоступными и иметь учетные данные по умолчанию, то они могут использоваться в ддос-атаках.»

Включение ИОТ 5г для прямого подключения к Интернету не обязательно повышение безопасности устройств конечных пользователей, Дэвис получает. Хозяева много еще нужно для отправки команд на их устройства от своих ноутбуков или смартфонов, и все 5г ли изменить протокол, который используется для этого.

«Для IoT-устройств с помощью сотовой сети 4Г или 5г соединения другой метод изоляции, — сказал он, — но имейте в виду, то устройства, опираясь еще на технологии ZigBee и Z-волны или блютуз с низким энергопотреблением, чтобы общаться с другими ИОТ-устройств в доме, что может привести к другим вопросам безопасности в этих беспроводных протоколов».

Действительно, Поддержка Bluetooth Низкой Энергии

есть свои неудобства, и в конце дня протоколы не влияет на безопасность, как безопасность устройств, которые на нем говорят.

Независимо от того, как сообщество безопасности информационной продолжить решает, это конструктивно взглянуть на другие точки в газопроводе связи между много устройств и доступ пользователя к ним для помещений, где поверхности атаки может быть снижена. Особенно в сравнении с легкость включения необходимого программного обеспечения, производители маршрутизаторов, несомненно, может сделать больше, чтобы защитить пользователей в случае много, в основном не так далеко.

«Я думаю, что большое бремя безопасности падает на потребителя, который просто хочет подключать свои устройства и не придется настраивать какие-то особенности безопасность», — сказал Дэвис. «Я думаю, что много производителей устройств потребителя и производителями маршрутизаторов и точек доступа может сделать гораздо больше, чтобы попробовать, чтобы автоматически обеспечить приборами и помочь потребителям защищать свои сети».