Zephyrnet-Logo

IoT-Gerätesicherheit: Vergleich von Mobilfunk, LoRa und WLAN

Datum:

Abbildung: © IoT für alle

Wenn es um Konnektivitätsoptionen für IoT-Lösungen geht, W-lan, LoRa- und Mobilfunk-Konnektivität sind normalerweise die am häufigsten diskutierten Optionen. Obwohl dies zweifellos vom Anwendungsfall abhängt, wird herkömmliches tägliches WLAN normalerweise zuerst verworfen - zumindest für andere Anwendungsfälle als Verbraucheranwendungen wie das Smart Home. Obwohl es zum Beispiel ideal für das Streamen von Videos ist, ist das alltägliche WLAN für alles, was im sogenannten Kundenbereich zu finden ist, sehr unpraktisch. Das heißt, WiFi bietet mehr als das, was wir jeden Tag in einer privaten oder Verbraucherumgebung nutzen.

Obwohl sie alle ihre Vor- und Nachteile haben, WiFi, LoRa und Mobilfunkverbindung sind alle anfällig für Sicherheitsrisiken und potenziell schwerwiegende Folgen nach einem Verstoß. Unabhängig von der Wahl der Konnektivität sollte der Berücksichtigung robuster IoT-Sicherheitsfunktionen unabhängig von der IoT-Lösung besondere Aufmerksamkeit gewidmet werden.

Eine Analyse verschiedener Kurz- und Langstrecken-Funkoptionen basierend auf ihren Übertragungseigenschaften bei der Bereitstellung einer IoT-Lösung bei einem Kundenstandort hat uns mehrere Schlussfolgerungen zur Konnektivität geliefert. Eine Schlussfolgerung ist der allgemeine Vorteil einer Mobilfunkverbindung. Was sind jedoch neben den allgemeinen Vorteilen die spezifischen Sicherheitsvorteile der zellularen IoT-Konnektivität im Vergleich zu anderen Konnektivitätsoptionen?

IoT-Konnektivitätsoptionen

Im Folgenden werden drei der am häufigsten verwendeten IoT-Konnektivitätsoptionen - WiFi, LoRa und Cellular - überprüft und aus Sicherheitsgründen verglichen. Insbesondere werden wir die folgenden vier Setups vergleichen:

  1. Geteiltes WiFi: Wenn das Gerät an einem Remotestandort bereitgestellt wird, kann es in das WLAN-Netzwerk des Kunden integriert werden
  2. Spezielles WiFi: wo WLAN-Router zusammen mit den Geräten bereitgestellt werden
  3. LoRa-Netzwerk: Wir betrachten gemeinsam genutzte LoRaWAN-Netzwerke (wie Loriot oder The Things Network), in denen der Gateway-, Netzwerk-, Join- und LoRaWAN-Anwendungsserver von einem Anbieter angeboten wird, sowie dedizierte LoRaWAN-Netzwerke, in denen diese Komponenten vom Kunden bereitgestellt werden
  4. Zelluläre Konnektivität: Ermöglicht die Verwendung von Geräten am Rande, bietet eine längere Akkulaufzeit und zuverlässige Konnektivität

Vergleich basierend auf vier Sicherheitsfunktionen

Zunächst ein kurzer Überblick über den Vergleich dieser vier Einstellungen mit vier allgemeinen Sicherheitsfunktionen:

Tisch-01-1

Botnet-Angriff von einem kompromittierten Gerät

Es gab 800 Prozent mehr Mirai-Angriffe im ersten Halbjahr 2019 im Vergleich zum ersten Halbjahr 2018. Die Mirai-Malware hat viele IoT-Geräte infiziert und ein Botnetz geschaffen, das verteilte Denial-of-Service-Angriffe auf ihre Opfer gestartet hat. Bemerkenswert (und aufgrund der obigen Vergleichstabelle vielleicht nicht überraschend) ist, dass diese IoT-Geräte hauptsächlich mit dem öffentlichen Internet oder über gemeinsam genutztes WLAN verbunden waren und jedes Ziel erreichen konnten.

Bei der Auswahl dedizierter WiFi-Hardware sollten Unternehmen Router mit integrierten Firewalls auswählen, mit denen die Anzahl der IP-Adressen begrenzt werden kann, die die Geräte erreichen können. Dadurch kann das Gerät kein anderes Ziel angreifen oder vom Kontrollzentrum eines Hackers befohlen werden.

LoRa-Geräte können nicht direkt erreicht werden und kommunizieren nicht mit dem Internet, da sie das Internetprotokoll nicht verwenden. LoRa-Geräte können nur mit LoRaWAN-Anwendungen kommunizieren, für die sie registriert wurden - und die Verwaltung erfolgt auf dem LoRa-Netzwerkserver. 

Während es gibt Berichte Angesichts der Gefahr, dass LoRa-Geräte DDoS-Angriffe gegen andere LoRaWAN-Geräte oder -Server ausführen können, sind diese Fälle auf eine schlechte Implementierung zurückzuführen oder werden in zukünftigen LoRaWAN-Spezifikationen behandelt.   

Durch die Verwendung einer Mobilfunknetz-Firewall können IoT-Unternehmen sicherstellen, dass ein Gerät nur Daten an sein Anwendungsziel senden kann. Auf diese Weise wird der gesamte böswillige Datenverkehr blockiert, der sich bereits auf Netzwerkebene befindet.   

Remote-Gerätezugriff 

Eine weitere Sicherheitsanfälligkeit, die die Mirai-Malware ausnutzte, ist die ungesicherte Remote-Gerätezugriff von IoT-Geräten im öffentlichen Internet. Fernzugriff ist häufig erforderlich, um Fernrekonfigurationen durchzuführen, Daten vom Gerät abzurufen und die Fehlerbehebung für das Support-Personal zu ermöglichen. LoRaWAN hat kein Konzept für den Fernzugriff und wird daher nicht nach dieser Funktion beurteilt.  

Bei Verwendung von Standard-WLAN-Routern erhält das IoT-Gerät eine private Adresse und ist im öffentlichen Internet nicht sichtbar.

Der Remote-Gerätezugriff wird über die Portweiterleitung (und mit DynamicDNS bei dynamischen IPs) aktiviert, mit der Mirai sogar WiFi-IoT-Geräte innerhalb des privaten WiFi-Netzwerks infiziert hat. 

Mit der erweiterten WiFi-Infrastruktur, die die Einrichtung eines virtuellen privaten Netzwerks (VPN) ermöglicht, kann der Remote-Gerätezugriff gesichert werden, da nur authentifizierte Geräte mit den richtigen VPN-Anmeldeinformationen Zugriff auf das Netzwerk erhalten. Während dies mit einzelnen lokalen Bereitstellungen funktioniert, ist die Verwaltung mehrerer VPNs an verschiedenen Kundenstandorten mit denselben privaten Netzwerken eine Herausforderung. 

Die Mobilfunkverbindung mit privaten statischen IP-Adressen ermöglicht einen einfachen Fernzugriff über ein virtuelles privates Netzwerk über alle Kundenstandorte hinweg. Die Geräte sind im Internet nicht sichtbar und können über eine VPN-Verbindung zum Gateway des Mobilfunknetzbetreibers aufgerufen werden.  

Firmware-Aktualisierungen 

Remote-Firmware-Updates sind ein wichtiger Bestandteil, um die Gerätesicherheit auf dem neuesten Stand zu halten. Sicherheitslücken können durch kundeneigene Gerätefirmware-Fehler sowie durch Bibliotheken von Drittanbietern verursacht werden. Das Aktualisieren des Geräts kann eine Herausforderung sein. Der Remote-Update-Prozess muss vor Angreifern geschützt werden und gleichzeitig ein einfaches Rollback im Fehlerfall gewährleisten.

Aufgrund der Downlink-Beschränkung auf 10 Nachrichten pro Tag kann LoRa nur zum Aktualisieren sehr einfacher Geräte verwendet werden, und selbst dann kann der Aktualisierungsvorgang Tage bis Wochen dauern. Anfänglich waren Aktualisierungen nur von Gerät zu Gerät möglich, seitdem wurde jedoch die Multicast-Unterstützung für Remote-Aktualisierungen über LoRa festgelegt. 

Es gibt eine breite Palette von Lösungen für die Remote-Aktualisierung der Firmware über WLAN und Mobilfunk. Cloud-Plattform-Anbieter wie AWS, Azure und Google bieten Remote-Geräteverwaltungsdienste an, aber es gibt auch andere Anbieter wie Balena oder AV System.  

Abnormalitätsüberwachung 

Ein zentraler Bestandteil jedes Sicherheitsdesigns ist die Fähigkeit, auf Anomalien zu überwachen. Bei allen drahtlosen Verbindungstechnologien kann die Änderung der Verkehrsprotokollparameter dazu beitragen, Gerätemanipulationen zu erkennen, und dient als Schutz vor menschlichem Versagen.

LoRaWan-Daten werden zentral innerhalb der Anwendung und des Netzwerkservers verwaltet. Sie stellen nicht nur Nutzlastdaten (z. B. die Temperaturmessung) zur Verfügung, sondern auch wichtige Konnektivitätsinformationen wie Signalstärke und Paketverlust.  

Standard-WLAN-Router verfügen über einen grundlegenden Satz von Verkehrsprotokollen, die eine eingeschränkte Sichtbarkeit bieten. Um Anomalien effektiv zu überwachen, muss der WLAN-Router nicht nur detaillierte Verkehrsinformationen unterstützen, sondern auch mehrere Kundenstandorte zentral überwachen und verwalten.  

Mit einer zellularen Konnektivitätslösung stehen detaillierte Konnektivitätsinformationen wie Netzwerksignalisierungsereignisse und Datenvolumen für alle Geräte in Echtzeit innerhalb des Webportals zur Verfügung. Diese Daten können auch auf Cloud-Plattformen (AWS, Azure, Google Cloud) oder Plattformen von Drittanbietern (DataDog, DevicePilot) gestreamt werden, die bereits als Dienst die Überwachung von Anomalien bereitstellen. 

Zusammenfassung

Wie oben gezeigt, birgt die Installation von IoT-Geräten über die WiFi-Infrastruktur des Kunden mehrere Sicherheitsrisiken. Aus diesem Grund wird empfohlen, ein Netzwerk für IoT-Geräte und ein separates Netzwerk für den normalen Betrieb zu verwenden, um beide Gerätetypen voneinander zu schützen. Auf diese Weise können IoT-Geräte keine Auswirkungen auf normale Geräte haben, und veraltete PCs im gemeinsam genutzten LAN können beispielsweise nicht als Einstiegspunkte für IoT-Geräte dienen. 

LoRaWAN hat sehr strenge Sicherheitskonzepte - das Koppeln des Geräts mit dem Netzwerk und jeder Anwendung. Es eignet sich am besten für Anwendungen mit geringer Bandbreite, auch an schwer erreichbaren Orten, wie z. B. Temperatursensoren in einer Fertigungsumgebung. Oft sind die LoRa-Gateways über eine Mobilfunkverbindung mit dem öffentlichen Internet verbunden, damit Daten an einem zentralen Ort verarbeitet werden können. 

Spezielle WiFi-Infrastruktur und Mobilfunkverbindung sind die am häufigsten verwendeten drahtlosen Technologien für industrielles IoT. Durch die Verwendung einer Firewall, Remotezugriff, Firmware-Updates und Überwachung können IoT-Unternehmen von einer umfassenden Sicherheitsfunktion profitieren, die bereits auf Netzwerkebene vorhanden ist.  

Für Bereitstellungen an mehreren Kundenstandorten und für mobile Anwendungsfälle bietet die Mobilfunkverbindung nicht nur eine nahtlose Abdeckung, sondern erleichtert einem IoT-Dienstanbieter auch die Verwaltung der verschiedenen Installationen. Dies sind nur zwei der zahlreichen Vorteile der Mobilfunkverbindung gegenüber anderen Optionen. Weitere Vorteile sind:

  • Die Netzabdeckung ist fast überall verfügbar
  • Das Gerät arbeitet sofort beim Kunden
  • Es ist keine zusätzliche Infrastruktur und Integration erforderlich
  • Low-Power-Technologien für eine längere Akkulaufzeit (LTE-M / NB-IoT)
  • Unterstützt niedrige und hohe Übertragungsbandbreite im Up- und Downlink

Die oben genannten Vorteile werden jedoch bei schlechter Sicherheit schnell unbrauchbar. Unabhängig davon, welche Konnektivitätsoption Sie für Ihre IoT-Lösung wählen, stellen Sie sicher, dass Sie die empfohlenen Schritte ausführen, um sie robust zu sichern.

Quelle: https://www.iotforall.com/iot-device-security-comparing-cellular-lora-wifi/

spot_img

Neueste Intelligenz

spot_img