当谈到物联网解决方案的连接选项时,WiFi、LoRa和蜂窝网络连接通常是讨论最多的选项。尽管这无疑取决于用例,但传统的日常WiFi通常首先被摒弃——至少对于除智能家居等消费者应用之外的任何用例而言是如此。
尽管它们各有优缺点,但WiFi、LoRa和蜂窝网络连接都容易受到安全风险的影响,一旦被攻破,可能会造成严重的后果。无论选择何种连接方式,都应该关注健壮的物联网安全特性,无论何种物联网解决方案。
在客户现场部署物联网解决方案时,根据传输特性对不同的短期和远程无线选项进行了分析,为我们提供了关于连接的几个结论。一个结论是蜂窝连接的总体优势。但是,除了一般的好处之外,与其他连接选项相比,蜂窝物联网连接的具体安全好处是什么?
物联网连接选项
下面我们将回顾三种最常用的物联网连接选择——wifi、LoRa和蜂窝网络,并从安全角度对它们进行比较。具体来说,我们将比较以下四种设置:
共享WiFi:在远程站点部署设备时,可以将其集成到客户的WiFi网络中
专用WiFi: WiFi路由器与设备一起部署
我们将考虑共享的LoRaWAN网络(如Loriot或Things Network),其中网关、网络、连接和LoRaWAN应用服务器是由供应商提供的,以及专用的LoRaWAN网络,其中这些组件是由客户部署的
蜂窝连接:使设备能够在边缘使用,提供更长的电池寿命和可靠的连接
来自受损设备的僵尸网络攻击
与2018年上半年相比,2019年上半年恶意袭击增加了8倍。恶意软件已经感染了许多物联网设备,创建了一个僵尸网络,开始对受害者进行分布式拒绝服务攻击。值得注意的是(根据上面的对比图,也许并不令人惊讶),这些物联网设备主要连接到公共互联网或通过共享WiFi,并且能够到达任何目的地。
在选择专用WiFi硬件时,企业应该选择具有集成防火墙的路由器,以限制设备可以触及的IP地址的数量,从而使设备不可能攻击其他目标或受到黑客控制中心的指挥。
由于没有使用互联网协议,所以无法直接连接和与互联网通信的LoRa设备。LoRa设备只能与已注册的LoRaWAN应用程序对话,而管理是在LoRa网络服务器上完成的。
虽然有报告说,LoRa设备能够执行DDoS攻击其他LoRaWAN设备或服务器的危险,这些情况是由于糟糕的实现或解决在未来的LoRaWAN规范。
通过使用蜂窝网络防火墙,物联网企业可以确保设备只能向其应用目标发送数据;因此,阻止所有已经在网络级别上的恶意通信。
远程设备访问
恶意软件利用的另一个漏洞是公共互联网上物联网设备的不安全远程设备访问。远程访问通常需要进行远程重新配置、从设备检索数据并允许支持人员进行故障排除。LoRaWAN没有远程访问的概念,因此不能以此特性进行判断。
通过使用标准的WiFi路由器,物联网设备获得一个私有地址,在公共互联网上是不可见的。
通过端口转发激活远程设备访问(如果ip是动态的,则使用动态DNS)——Mirai一直在使用此方法感染私有WiFi网络内的WiFi物联网设备。
先进的WiFi基础设施允许设置一个虚拟专用网(VPN),远程设备访问是安全的,因为只有经过身份验证的设备具有正确的VPN证书才能访问网络。虽然这适用于单一的本地部署,但在不同客户位置使用相同的专用网络管理多个vpn是一项挑战。
使用私有静态IP地址的蜂窝连接可以通过一个虚拟私有网络跨所有客户位置进行简单的远程访问。这些设备在互联网上是不可见的,可以通过VPN连接到移动网络运营商网关来访问。
固件更新
远程固件更新是保持设备安全性最新的一个关键部分。安全漏洞可能来自客户拥有的设备固件错误,也可能来自第三方库。更新设备可能很有挑战性;远程更新过程必须防范攻击者,同时还要保证在出现错误时能够轻松回滚。
由于每天的下行限制为10条消息,LoRa只能用于更新非常简单的设备,即使这样,更新过程也需要几天到几周才能完成。最初,只能逐个设备进行更新,但后来指定了对LoRa上远程更新的多播支持。
有广泛的解决方案,可通过Wi-Fi和蜂窝网络远程更新固件。云平台提供商如AWS、Azure和谷歌提供远程设备管理服务,但也有其他提供商如Balena或AV System。
异常监测
任何安全设计的核心部分都是监视异常的能力。在所有的无线连接技术中,流量日志参数的变化可以帮助检测设备篡改,防止人为错误。
LoRaWan数据在应用程序和网络服务器中集中管理——不仅使有效负载数据(例如温度测量)可用,而且还使重要的连接信息如信号强度和包丢失。
标准WiFi路由器有一组基本的流量日志,提供有限的可见性。为了有效监控异常情况,WiFi路由器不仅需要支持详细的交通信息,还需要集中监控和管理多个客户站点。
通过蜂窝连接解决方案,详细地连接信息,如网络信号事件和数据量,可以在web门户内对所有设备实时提供。这些数据还可以流到已经作为服务提供异常监视的云平台(AWS、Azure、谷歌云)或第三方平台(DataDog、DevicePilot)。
总结
如上所示,使用客户的WiFi基础设施安装物联网设备会带来一些安全风险。出于这个原因,建议为物联网设备使用一个网络,为正常操作使用一个单独的网络,以保护两种设备类型之间的相互保护。这样,物联网设备就不会影响正常设备,例如,共享LAN上的过时个人计算机就不能作为物联网设备的入口点。
LoRaWAN有非常严格的安全概念-耦合设备到网络和每个应用程序。它最适合于低带宽应用,包括在难以到达的位置,如温度传感器的制造设置。通常,LoRa网关通过蜂窝网络连接到公共互联网,这样数据就可以在一个中心位置进行处理。
专用WiFi基础设施和蜂窝连接是工业物联网最常用的无线技术。通过使用防火墙、远程访问、固件更新和监控,物联网企业可以从网络级别上已经具备的综合安全特性中获益。
对于多个客户站点的部署和移动用例,蜂窝连接不仅提供无缝覆盖,而且使物联网服务提供商更容易管理不同的安装。这只是手机连接相对于其他选项众多优势中的两个。额外的好处是:
网络覆盖几乎无处不在
该设备立即在客户现场工作
不需要额外的基础设施和集成
低功耗技术,延长电池寿命(LTE-M/NB-IoT)
支持低和高传输带宽和下行
不过,在安全性较差的情况下,上述优点很快就变得毫无用处了。因此,无论你选择哪种连接方式,都是适合你的物联网解决方案的——确保你采取了推荐的步骤来确保它的安全。
文章来源 | iot for all
作者 | EMnify


