Пътят към препятствията на маршрутизатора към дома IoT Security

Пътят към препятствията на маршрутизатора към дома IoT Security
Наскоро изкоренената конвенционална мъдрост е, че не се провежда нито една конференция за информационна сигурност без представяне на крайното състояние на сигурността на интернет на нещата. Макар че това е благодат за изследователите, които искат да си направят име, това съжаление не е от полза за всеки, който притежава свързано устройство. Собствениците на устройства за интернет на нещата обаче не са единствените, които са натоварени. Точно зад тях е Елдридж Александър, управител на Duo Labs в Duo Security . Дори по-добре, той има план и опит, за да му донесе някакво доверие. Преди да поеме сегашната си роля в Duo Security, Александър заема различни ИТ постове в Google и Cloudflare. За него линията, свързваща миналото и настоящето ИТ работа, е печалбата от сигурността, която се натрупва от подравняването на контрола за сигурност на мрежата с принципа на нулево доверие. „През последните няколко години живея и дишам с нулево доверие“, каза Александър пред LinuxInsider. Казано по-просто, „нулево доверие“ е идеята, че доколкото е възможно, не трябва да се вярва, че устройствата са сигурни и трябва да бъдат третирани като такива. Има много начини, по които може да се прояви нулевото доверие, тъй като не е толкова една единствена техника като водещ принцип, но идеята е да оставите себе си неуязвима за компромиса на всяко едно устройство, колкото е възможно. Повтаряща се тема сред последните си няколко работодатели, това разбираемо е оставило своя отпечатък върху Александър, до точката, в която той положително прониква в плана му за сигурност на Интернет на нещата в домашни мрежи. Неговата ревност за нулево доверие идва в домашните мрежи в точното време. Въпреки че приемането на потребителите на интернет на нещата се ускорява , нулевото доверие все още не е в основата на повечето технологии за потребителски мрежи, отбелязва Александър, и стигаме до точката, в която не можем да си позволим това. „Изследвайки не съвсем нови заплахи, но увеличени количества заплахи в IoT и домашните мрежи, наистина се интересувах от това как можем да приложим някои от тези принципи и философии, насочени към предприятията, към домашните мрежи“, отбеляза той. Сегментация на мрежата В началната схема на сигурността на домашния интернет на Александър, която той представи на конференцията THOTCON на хакерството на Чикаго тази пролет, нулевото доверие главно е под формата на мрежова сегментация, практика, на която корпоративните мрежи отдавна са разчитали. По-специално, той препоръчва на производителите на маршрутизатори да предоставят начин на домашните потребители да създават два отделни SSID (по един за всеки сегмент) или автоматично, или с обикновен потребителски потребителски интерфейс , подобен на вече включения в основното мрежово обезпечаване (мислете 192.168.1.1 Уеб GUI). Единият би бил изключителен домакин за десктоп и мобилни устройства за крайни потребители, докато другият ще съдържа само устройствата за дома на интернет на домовете и никога двамата няма да се срещнат. Критично, решението на Александър до голяма степен заобикаля самите производители на интернет на нещата, което е по дизайн. Това не се дължи на факта, че производителите на интернет на нещата трябва да бъдат освободени от подобряването на техните практики за развитие – напротив, от тях трябва да се очаква да изпълнят своята роля. Това е, защото те не са доказали, че могат да се движат достатъчно бързо, за да отговорят на нуждите на потребителите. „Моите мисли и разговори тук са в отговор на настоящото състояние на света и моите очаквания за някаква надежда за производителите на интернет на нещата са дългосрочни, докато за производителите на рутери и домашното мрежово оборудване е по-краткосрочен“, каза той. , Производителите на рутери са много по-отзивчиви към нуждите на сигурността на потребителите, според мнението на Александър. Въпреки това, всеки, който някога е опитвал да актуализира фърмуера на рутера, може да посочи минималното внимание, което тези постепенни пачове често получават от разработчиците като насрещен иск. Освен този проблем, производителите на маршрутизатори обикновено интегрират нови функции като актуализирани спецификации 802.11 и WPA доста бързо, ако не по друг начин, освен да дадат на потребителите най-новите и най-добрите технологии. „Мисля, че много компании [рутери] ще бъдат отворени за внедряване на добри, сигурни неща, защото те знаят, както и обществото за сигурност … че тези IoT устройства няма да станат по-добри и това са ще бъде заплаха за нашите мрежи – каза Александър. И така, как всъщност домашните маршрутизатори на практика ще внедрят мрежова сегментация? Според визията на Александър, ако уверените потребители не искат да се намесят сами и да се справят с разширени опции за конфигуриране, техният рутер просто ще създаде два SSID за настройка на рутера. В описанието на този сценарий той нарече SSID „Eldridge“ и „Eldridge IoT“ по подобие на традиционните конвенции „Home“ и „Home-Guest“. Двете SSID са само първоначалната и най-видимата (за потребителя) част от структурата. Истинската сила идва от разгръщането на VLAN, съответстващи на всеки SSID. Този, който съдържа IoT устройствата, „Eldridge IoT“ в този случай, няма да позволи на устройствата да изпращат пакети към основната VLAN (на „Eldridge“). Междувременно, основната VLAN ще бъде позволена да комуникира директно с VON VLAN или, за предпочитане, ще препредава команди чрез IoT конфигурация и услуга за управление на самия рутер. Последната услуга за управление също може да се погрижи за основната настройка на IoT устройството, за да се избегне възможно най-много директна намеса на потребителя. Маршрутизаторът „също ще превърне приложението за приложения, като Mozilla Web Things или Home Assistant, или нещо обичайно от продавача, и това ще направи прокси сървъра“, каза Александър. „Рядко ви се налага всъщност да говорите от първичната ELAN VLAN към Eldridge IoT VLAN. Всъщност ще говорите само с уеб интерфейса, който след това ще се свърже с VON на IoT от ваше име.“ Чрез създаването на отделна VLAN изключително за IoT устройства, тази конфигурация ще изолира домашните потребителски лаптопи, смартфони и други чувствителни устройства на основната VLAN от компромис на едно от техните IoT устройства. Това е така, защото всяко измамно IoT устройство би било блокирано да изпраща пакети към основната VLAN в слоя за връзка с данни на OSI пирамидата, която не би трябвало да има лесен начин да заобиколи. Интересът на производителите на маршрутизатори е да се даде възможност за тази функционалност, каза Александър, тъй като ще им предложи функция за подписване. Ако бъде включен в домашния маршрутизатор, той ще предостави на потребителите функция за сигурност, която все по-голям брой от тях всъщност биха спечелили, като същевременно се питат много малко от тях за техническа експертиза. Той очевидно ще бъде включен заедно с маршрутизатора. „Мисля, че това е ценен стимул за производителите на маршрутизатори да се отличават в претъпкан пазар“, каза Александър. „Между Linksys и Belkin и някои от останалите производители няма много различия между ценообразуването, така че предлагането на домашен асистент и сигурността е чудесно [различие], което потенциално биха могли да използват.“ Стандарти за сигурност на ИН? Има някои обещания в предложените контроли за сигурност, но е съмнително, че производителите на маршрутизатори всъщност ще оборудват потребителските маршрутизатори, за да ги доставят, казва Шон Дейвис, директор на съдебната медицина в Еделсън и професор в индустриалния институт в Илинойс. По-конкретно, VLAN маркирането не се поддържа от почти всички домашни рутери на пазара, каза той пред LinuxInsider, а сегментирането на IoT от основната мрежа би било невъзможно без него. „Повечето производители на маршрутизатори на потребителско ниво не поддържат четене на VLAN тагове, а повечето устройства на IoT не поддържат VLAN маркиране, за съжаление,“ каза Дейвис. „И двамата биха могли лесно да пекат в тази функционалност на софтуерно ниво. Тогава, ако всички производители на IoT могат да се съгласят да маркират всички IoT устройства с определен VLAN идентификатор, а всички потребителски маршрутизатори могат да се съгласят да насочат този конкретен маркер директно към интернет, може да бъде един лесен начин за потребителите да имат всичките си IoT устройства автоматично изолирани от техните лични устройства, ”обясни той. Маркирането на VLAN не е ограничено от каквито и да е хардуерни ограничения, както посочи Дейвис, а е просто въпрос на даване на възможност на софтуера да се справи с него. Само защото производителите могат да включат VLAN маркиране в софтуера, това не означава, че ще бъде лесно да ги убедите да направят това. Малко вероятно е производителите на маршрутизатори да са готови да направят това за домашните си рутерни линии и, изненадващо, това е свързано с парите, каза той. „Много от големите компании произвеждат както потребителски, така и корпоративни рутери“, отбелязва Дейвис. „Мисля, че те биха могли лесно да включат функционалността на VLAN в потребителските маршрутизатори, но често не го оправдават, за да оправдаят увеличаването на разходите за многофункционалния хардуер на ниво бизнес.” T Повечето производители на маршрутизатори виждат разширена функционалност, като VLAN маркиране, като ценни цени на предприятията, поради внимателното развитие, което изисква, за да отговарят на по-строгите оперативни изисквания на бизнеса. Освен това, като се има предвид ниската средна техническа грамотност на домашните потребители, производителите на маршрутизатори имат основание да мислят, че функциите за потребителски захранвания в домашните маршрутизатори просто няма да бъдат използвани, или ще бъдат неправилно конфигурирани. „Освен различията в ценообразуването,“ казва Дейвис, „те също могат да мислят:“ Ами ако пекат във VLAN и други корпоративни функции, повечето потребители дори не знаят как да ги конфигурират, така че защо дори се притеснява? “ „“ Освен усъвършенстване на създателите на маршрутизатори, които да позволят VLAN маркирането и всички други функции на корпоративния клас, необходими за реализирането на настройките на Александър, успехът ще зависи и от изпълнението на функциите на всеки производител, както по форма, така и по функция, подчерта Дейвис. „Мисля, че всеки производител ще има различни потоци в техните GUIs за създаване на изолирани VLANs, което не би било най-лесно за потребителите да следват при превключване между различни марки“, каза той. „Мисля, че ако сигурността на IoT е по-базирана на стандарти или автоматично по подразбиране между устройствата и маршрутизаторите, цялостната сигурност в потребителските устройства значително ще се подобри.“ Осигуряването на двете отстъпки от производителите на рутери вероятно ще доведе до ратифициране на стандартите в индустрията, независимо дали формално или неофициално, както вижда Дейвис. „Различните табла за стандарти могат потенциално да се съберат заедно и да се опитат да поставят стандарт за сигурност на IoT на производителите на рутер и IoT устройства и да се опитат да ги включат в своите продукти“, каза той. „Освен нов стандарт, потенциално може да има и консорциум, в който няколко от големите производители включват изолация на IoT устройства с надеждата, че други ще последват този пример.“ Намаляване на риска Представянето на Александър THOTCON засегна 5G връзката, която мнозина предсказват, че IoT ще се интегрира , но при проучване на жизнеспособността на алтернативите на неговата настройка, Дейвис бързо се стреми към предложението на Александър. Свързването с IoT устройства чрез 5G със сигурност ще ги задържи далеч от домашните потребители на лаптопи и лаптопи, носещи мрежи, признава Дейвис, но това ще доведе до други предизвикателства. Както всеки, който някога е разглеждал Shodan, може да ви каже, че устройствата с редовно променяни по подразбиране идентификационни данни, свързани директно с публичния интернет, имат своите недостатъци. „Изолирането на вашите IoT устройства с вашите домашни устройства е страхотно, но все още има вероятност от компрометиране на IoT устройствата“, каза Дейвис. „Ако са публично достъпни и имат идентификационни данни по подразбиране, те биха могли да бъдат използвани в DDoS атаки.“ Разрешаването на IoT за директни 5G интернет връзки не е задължително да подобри сигурността на устройствата на крайните потребители, предупреди Дейвис. Собствениците на IoT все още ще трябва да изпращат команди на техните IoT устройства от своите лаптопи или смартфони, а всичко 5G прави промяната на протокола, който се използва за това. „IoT устройствата, използващи клетъчни 4G или 5G връзки, са друг метод на изолация“, каза той, „но имайте предвид, че устройствата разчитат още повече на ZigBee, Z-Wave или Bluetooth Low Energy, за да комуникират с други IoT устройства в вкъщи, което може да доведе до други проблеми със сигурността в тези безжични протоколи. “ Всъщност Bluetooth Low Energy има своя дял от недостатъци , а в края на деня протоколите не влияят толкова на сигурността, колкото на сигурността на устройствата, които го говорят. Независимо от това как общността на информационната сигурност избира да продължи, е конструктивно да се търсят други точки в тръбопровода за свързване между устройствата за интернет на нещата и достъпа на потребителите до тях за зони, където повърхностите на атаката могат да бъдат намалени. Особено когато се претеглят срещу лесното включване на необходимия софтуер, производителите на маршрутизатори несъмнено могат да направят повече за защита на потребителите в случаите, когато IoT до голяма степен не е досега. „Мисля, че голяма част от тежестта на сигурността пада върху потребителя, който просто иска да включи устройството си и не трябва да конфигурира конкретни функции за сигурност,“ каза Дейвис. „Мисля, че производителите на IoT устройства и производителите на потребителски маршрутизатори и точки за достъп могат да направят много повече, за да се опитат автоматично да защитят устройствата и да помогнат на потребителите да защитят своите мрежи.“ Джонатан Тераси е колумнист на ECT News Network от 2017 г. Основните му интереси са компютърната сигурност (особено с десктопа Linux), кодирането и анализа на политиката и текущите събития. Той е пълноправен писател на свободна практика и музикант. Неговият опит включва предоставяне на технически коментари и анализи в статии, публикувани от Чикагския комитет за защита на законопроекта за правата.
http://www.technewsworld.com/story/The-Routers-Obstacle-Strewn-Route-to-Home-IoT-Security-86115.html
2019-07-10 12:08:21