家庭物联网安全的路由器障碍路径

5G2020-08-28 17:13:15
导读没有关于物联网安全的糟糕状态的介绍,没有单一的信息安全会议,这是新的传统智慧。虽然这对于希望为自己命名的研究人员来说是一个福音,

没有关于物联网安全的糟糕状态的介绍,没有单一的信息安全会议,这是新的传统智慧。虽然这对于希望为自己命名的研究人员来说是一个福音,但对于拥有连接设备的任何人来说,这种令人遗憾的事情绝对没有益处。

尽管如此,物联网设备所有者并不是唯一厌倦的人。紧随其后的是Duo Security的Duo Labs经理Eldridge Alexander。更好的是,他有一个计划和经验,可以提供一些可信度。

在担任Duo Security现任职务之前,Alexander在Google和Cloudflare担任过各种IT职位。对他而言,将过去和现在的IT工作联系在一起的直通线是将所有网络安全控制与零信任原则相结合所带来的安全收益。

亚历山大告诉LinuxInsider,“在过去的几年里,我基本上一直生活并且没有信任。”

简而言之,“零信任”的观点是,在最大可能的范围内,不应该信任设备是安全的,并且它们应该被视为这样。零信任可以通过许多方式表现出来,因为它不是一种单一的技术作为指导原则,但是这个想法是让自己对任何一个设备的妥协都尽可能无懈可击。

在他过去的几个雇主中反复出现的主题,这可以理解地在亚历山大留下了印记,以至于它积极地渗透到他在家庭网络上的物联网安全计划中。他对零信任的热情恰逢家庭网络。

虽然消费者的物联网采用速度正在加快,但是至少消费者网络技术还没有考虑到零信任,亚历山大观察到,我们已经到了我们无法负担的地步。

他说:“调查不是真正的新威胁,但物联网和家庭网络中的威胁数量增加,我一直非常有兴趣了解如何将这些非常注重企业的原则和理念应用于家庭网络。”

网络分段

在亚历山大的家庭物联网安全架构中,他在今年春天在芝加哥举办的THOTCON黑客大会上公布,零信任主要采用网络细分的形式,这是企业网络长期依赖的一种做法。

特别是,他主张路由器制造商为家庭用户提供一种方法,可以自动创建两个单独的SSID(每个段一个),也可以使用简单的用户驱动GUI,类似于基本网络配置中已包含的SSID(想想你的) 192.168.1.1 Web GUI)。

一个是桌面和移动终端用户设备的独家主机,而另一个只包含家庭的物联网设备,而且不会满足两个人的需求。

至关重要的是,亚历山大的解决方案在很大程度上绕过了物联网制造商本身,这是设计的。这不是因为物联网制造商应该免于改进他们的开发实践 - 相反,应该期望他们尽自己的一份力量。这是因为他们没有被证明能够快速移动以满足消费者的安全需求。

“我在这里的想法和谈话有点回应我们目前的世界状况,我对物联网制造商的任何期望都是长期的,而对于路由器制造商和家庭网络设备来说,这是更短期的,”他说。 。

亚历山大认为,路由器制造商对消费者安全需求的响应能力要高得多。但是,任何曾尝试更新路由器固件的人都可以指出这些增量补丁通常从开发人员那里得到的最小关注作为反诉。

除了这个问题,路由器制造商通常会相当快速地集成更新的802.11和WPA规范等新功能,除非为消费者提供最新和最好的技术。

“我认为很多[路由器]公司都会开放实施好的,安全的东西,因为他们知道和安全社区一样......这些物联网设备不会变得更好,这些都是将对我们的网络构成威胁,“亚历山大说。

那么家用路由器在实践中如何实际实现网络分段呢?根据亚历山大的愿景,除非有信心的消费者想要自己解决并解决高级配置选项,否则他们的路由器只需在路由器设置上建立两个SSID。在描述这种情况时,他将SSID称为“Eldridge”和“Eldridge IoT”,与传统的“Home”和“Home-Guest”大会相似。

这两个SSID只是结构的初始和最可见(对消费者而言)的一部分。真正的力量来自各个SSID的VLAN部署。在这种情况下,包含IoT设备的“Eldridge IoT”将不允许其上的设备将任何数据包发送到主VLAN(在“Eldridge”上)。

同时,主VLAN可以直接与IoT VLAN通信,或者最好通过路由器本身的IoT配置和管理服务中继命令。后一种管理服务还可以处理基本的物联网设备设置,以避免尽可能多的直接用户干预。

该路由器“还将启动一个应用服务,如Mozilla Web Things或Home Assistant,或供应商定制的东西,它将使它成为代理网关,”亚历山大说。“你很少需要从主要的Eldridge VLAN进入Eldridge物联网VLAN。实际上,您只需与Web界面通信,然后代表您与IoT VLAN进行通信。”

通过专门为物联网设备创建独特的VLAN,此配置可以使主VLAN上的家庭用户笔记本电脑,智能手机和其他敏感设备与其中一个物联网设备无关。这是因为任何流氓物联网设备都将被阻止在OSI金字塔的数据链路层向主VLAN发送任何数据包,这应该没有简单的方法来规避。

亚历山大说,这将是路由器制造商的兴趣,因为它将为他们提供一个标志性功能。如果捆绑在家庭路由器中,它将为消费者提供一种安全功能,其中越来越多的人实际上将从中受益,同时以技术专业知识的方式询问他们很少。表面上它将与路由器一起打开。

亚历山大说:“我认为这对路由器制造商在拥挤的市场中脱颖而出是一种宝贵的动力。”“在Linksys和Belkin以及其他一些制造商之间,定价之间没有太多[区别],因此提供家庭助理和安全性是他们可能使用的一个很好的区别。”

物联网安全标准?

Edelson的取证主管兼伊利诺伊理工学院兼职行业教授肖恩戴维斯表示,这些提议的安全控制措施有一些承诺,但路由器制造商实际上是否会装备消费者路由器才能提供它们是值得怀疑的。

具体来说,市场上的几乎所有家用路由器设备都不支持VLAN标记,他告诉LinuxInsider,如果没有它,就不可能从主网络中分割物联网。

“消费者层面的大多数路由器制造商都不支持读取VLAN标签,不幸的是,大多数物联网设备都不支持VLAN标记,”戴维斯说。

“他们都可以在软件级别轻松烘焙该功能。然后,如果所有物联网制造商都同意用特定VLAN ID标记所有物联网设备,并且所有消费者路由器都同意将该特定标签直接路由到互联网,那对于消费者来说,这可能是让所有物联网设备自动与个人设备隔离的简单方法,“他解释道。

正如戴维斯指出的那样,VLAN标记不受任何硬件限制的限制,但仅仅是使软件能够处理它。仅仅因为制造商可以在软件中打开VLAN标记,这并不意味着说服他们这样做是件容易的事。

他说,路由器制造商不太可能愿意为他们的家用路由器系列这样做,不出所料,它与钱有关。

“很多大公司生产消费者和企业路由器,”戴维斯指出。“我认为他们可以轻松地在消费者路由器中包含VLAN功能,但通常不是为了证明功能丰富的业务级硬件的成本增加。”

大多数路由器制造商将VLAN标记等高级功能视为值得企业定价,因为它需要仔细开发才能满足企业更严格的运营要求。最重要的是,考虑到家庭用户的平均技术素养较低,路由器制造商有理由认为家用路由器中的高级用户功能根本不会被使用,或者会被错误配置。

“除了价格层面的差异,”戴维斯说,“他们也可能会想,'好吧,如果我们烘焙VLAN和其他基于企业的功能,大多数消费者可能甚至不知道如何配置它们,那么为什么甚至打扰? “”

戴维斯强调,除了哄骗路由器制造商实现VLAN标记以及实现亚历山大设置所需的任何其他企业级功能外,成功还取决于每个制造商在形式和功能方面的功能实现。

“我认为每个制造商的GUI都有不同的流量来设置隔离的VLAN,这对于消费者在切换不同品牌时最不容易,”他说。“我认为,如果物联网安全性在设备和路由器之间默认为基于标准或自动,那么消费者设备的整体安全性将大大提高。”

从路由器制造商那里获得这两项让步可能会归结为整个行业的标准,无论是正式还是非正式,正如戴维斯所认为的那样。

“不同的标准委员会可能会聚在一起,试图向路由器和物联网设备制造商推出物联网安全标准,并尝试让它们将其纳入其产品中,”他说。“除了一个新标准之外,可能会有一个联盟,其中一些主要制造商包括先进的物联网设备隔离,希望其他人也会效仿。”

降低风险

亚历山大的THOTCON演讲涉及许多预测物联网将整合的5G连接,但在探索其设置替代方案的可行性时,戴维斯很快就倾向于亚历山大的提议。

戴维斯承认,通过5G连接到物联网设备肯定会使他们远离家庭用户的笔记本电脑和智能手机承载网络,但它会带来其他挑战。任何曾经浏览过Shodan的人都可以告诉你,直接连接到公共互联网的永久性设备很少改变默认凭证有其缺点。

戴维斯说:“将你的物联网设备与你的家用设备隔离开来很棒,但仍有可能会损害物联网设备。”“如果它们可以公开访问并具有默认凭据,那么它们就可以用于DDoS攻击。”

戴维斯告诫说,为直接5G互联网连接启用物联网并不一定能提高终端用户设备的安全性。物联网所有者仍然需要从他们的笔记本电脑或智能手机向他们的物联网设备发送命令,所有5G都会改变所采用的协议。

“使用蜂窝4G或5G连接的物联网设备是另一种隔离方法,”他说,“但请记住,这些设备更依赖于ZigBee,Z-Wave或蓝牙低功耗与其他物联网设备进行通信。家庭,这可能导致这些无线协议中的其他安全问题。“

事实上,蓝牙低功耗有其缺陷,并且在一天结束时,协议不会影响安全性,也不会影响设备的安全性。

无论信息安全社区如何选择继续进行,在物联网设备之间的连接管道中的其他点以及用户可以访问它们的区域可以减少攻击面,这是建设性的。特别是在考虑到必要软件的易用性时,路由器制造商无疑可以做更多的事情来保护用户,而物联网在很大程度上还没有到目前为止。

戴维斯说:“我认为很多安全负担都落在了那些只想插入设备而不必配置任何特定安全功能的消费者身上。”“我认为物联网设备制造商和消费者路由器和接入点制造商可以做更多工作来尝试自动保护设备并帮助消费者保护他们的网络。”

免责声明:本文由用户上传,如有侵权请联系删除!