Bảo mật cho thiết bị IoT: So sánh giữa kết nối di động, LoRa và WiFi

0

Khi nói đến các tùy chọn kết nối cho các giải pháp IoT, kết nối WiFi, LoRa và Di động thường là những lựa chọn được thảo luận nhiều nhất. Mặc dù chắc chắn nó phụ thuộc vào trường hợp sử dụng, nhưng WiFi truyền thống hàng ngày thường bị loại bỏ trước – ít nhất là đối với bất kỳ trường hợp sử dụng nào ngoài các ứng dụng dành cho người dung phổ thông như nhà thông minh. Ví dụ, mặc dù lý tưởng để phát trực tuyến video, nhưng WiFi hàng ngày rất không thực tế đối với bất kỳ thứ gì trong lĩnh vực kinh doanh đặc thù. Điều đó nói rằng, có nhiều lựa chọn phù hợp hơn WiFi đối với những gì chúng ta sử dụng hàng ngày trong môi trường riêng tư hoặc kinh doanh.

Mặc dù chúng đều có ưu và nhược điểm, nhưng kết nối WiFi, LoRa và Cellular đều dễ bị ảnh hưởng bởi các rủi ro về bảo mật và hậu quả nghiêm trọng có thể xảy ra sau các sự cố đó. Bất kể lựa chọn kết nối nào, cần tập trung chú ý vào việc xem xét các tính năng bảo mật IoT mạnh mẽ cho dù nó là giải pháp IoT nào.

Một phân tích về các tùy chọn kết nối không dây tầm ngắn và dài khác nhau dựa trên đặc điểm truyền dẫn của chúng khi triển khai giải pháp IoT tại địa điểm khách hàng đã cung cấp cho chúng tôi một số kết luận về kết nối. Một kết luận là lợi thế chung của kết nối di động. Nhưng ngoài những lợi ích chung, kết nối IoT di động có những lợi ích bảo mật cụ thể nào so với các tùy chọn kết nối khác?

Tùy chọn kết nối IoT

Dưới đây, chúng ta sẽ xem xét ba trong số các tùy chọn kết nối IoT được sử dụng nhiều nhất – WiFi, LoRa và Cellular – và so sánh chúng từ góc độ bảo mật. Cụ thể, chúng ta sẽ so sánh bốn thiết lập sau:

  • Shared WiFi: khi triển khai thiết bị tại một địa điểm từ xa, thiết bị có thể được tích hợp vào mạng WiFi của khách hàng
  • Dedicated WiFi: nơi bộ định tuyến WiFi được triển khai cùng với (các) thiết bị.
  • LoRa Network: chúng ta sẽ xem xét các mạng LoRaWAN dùng chung (như Loriot hoặc The Things Network) trong đó máy chủ ứng dụng Gateway, Network, Join và LoRaWAN được cung cấp bởi một nhà cung cấp, cũng như các mạng LoRaWAN chuyên dụng nơi các thành phần này được triển khai bởi khách hàng
  • Kết nối di dộng: cho phép các thiết bị được sử dụng tối ưu, mang lại thời lượng pin lâu hơn và kết nối đáng tin cậy

So sánh dựa trên bốn tính năng bảo mật

Để bắt đầu, hãy xem nhanh bảng dưới đây về cách so sánh bốn thiết lập này trên bốn tính năng bảo mật phổ biến:

table-01-1

Cuộc tấn công botnet từ thiết bị bị xâm nhập

Có thêm 800% các cuộc tấn công Mirai trong nửa đầu năm 2019 so với nửa đầu năm 2018. Phần mềm độc hại Mirai đã lây nhiễm nhiều thiết bị IoT, tạo ra một mạng botnet bắt đầu các cuộc tấn công từ chối dịch vụ phân tán vào nạn nhân của chúng. Đáng chú ý (và có lẽ không ngạc nhiên dựa trên biểu đồ so sánh ở trên) là các thiết bị IoT này chủ yếu được kết nối với internet công cộng hoặc qua WiFi được chia sẻ và có thể đến bất kỳ điểm đến nào.

Khi lựa chọn phần cứng WiFi chuyên dụng, doanh nghiệp nên chọn bộ định tuyến có tường lửa tích hợp có thể được sử dụng để giới hạn số lượng địa chỉ IP mà thiết bị có thể tiếp cận, do đó, thiết bị không thể tấn công mục tiêu khác hoặc bị chỉ huy từ trung tâm kiểm soát của tin tặc.

Không thể kết nối trực tiếp các thiết bị LoRa và giao tiếp với Internet vì chúng không sử dụng giao thức Internet. Thiết bị LoRa chỉ có thể nói chuyện với các ứng dụng LoRaWAN mà chúng đã được đăng ký – và việc quản lý được thực hiện trên máy chủ mạng LoRa.

Mặc dù có báo cáo về nguy cơ thiết bị LoRa có thể thực hiện các cuộc tấn công DDoS chống lại các thiết bị hoặc máy chủ LoRaWAN khác, nhưng những trường hợp này là do triển khai kém hoặc được giải quyết trong các thông số kỹ thuật của LoRaWAN trong tương lai.

Bằng cách sử dụng tường lửa mạng di động, các doanh nghiệp IoT có thể đảm bảo rằng một thiết bị chỉ có thể gửi dữ liệu đến mục tiêu ứng dụng của nó; do đó, chặn tất cả lưu lượng độc hại đã có trên cấp độ mạng.

Truy cập thiết bị từ xa

Một lỗ hổng khác mà phần mềm độc hại Mirai đã tận dụng là quyền truy cập thiết bị từ xa không an toàn của các thiết bị IoT trên mạng internet công cộng. Truy cập từ xa thường cần thiết để thực hiện cấu hình lại từ xa, truy xuất dữ liệu từ thiết bị và cho phép nhân viên hỗ trợ khắc phục sự cố. LoRaWAN không có khái niệm về truy cập từ xa và do đó không được đánh giá dựa trên tính năng này.

Sử dụng bộ định tuyến Wi-Fi tiêu chuẩn, thiết bị IoT nhận được một địa chỉ riêng tư và không hiển thị trên Internet công cộng.

Quyền truy cập thiết bị từ xa được kích hoạt bằng cách sử dụng chuyển tiếp cổng (và với DynamicDNS trong trường hợp IP động) – mà Mirai đã sử dụng để lây nhiễm ngay cả các thiết bị WiFi IoT trong mạng WiFi riêng.

Với cơ sở hạ tầng WiFi tiên tiến cho phép thiết lập mạng riêng ảo (VPN), quyền truy cập thiết bị từ xa có thể được bảo mật – vì chỉ các thiết bị được xác thực có thông tin đăng nhập VPN phù hợp mới có quyền truy cập vào mạng. Mặc dù điều này hoạt động với các triển khai cục bộ, đơn lẻ – quản lý nhiều VPN tại các vị trí khách hàng khác nhau với cùng một mạng riêng là một thách thức.

Kết nối di động với các địa chỉ IP tĩnh riêng tư cho phép truy cập từ xa đơn giản thông qua một mạng riêng ảo trên tất cả các địa điểm của khách hàng. Các thiết bị không hiển thị từ Internet và có thể được truy cập bằng kết nối VPN tới cổng của nhà khai thác mạng di động.

Cập nhật firmware

Cập nhật firmware từ xa là một phần quan trọng trong việc cập nhật bảo mật thiết bị. Các lỗ hổng bảo mật có thể bắt nguồn từ lỗi firmware của thiết bị do khách hàng sở hữu, cũng như từ các thư viện của bên thứ ba. Cập nhật thiết bị có thể là một thách thức; quá trình cập nhật từ xa phải được bảo vệ khỏi những kẻ tấn công đồng thời đảm bảo việc khôi phục dễ dàng trong trường hợp có lỗi.

Do giới hạn đường xuống là 10 tin nhắn mỗi ngày, LoRa chỉ có thể được sử dụng để cập nhật các thiết bị rất đơn giản và thậm chí sau đó, quá trình cập nhật có thể mất vài ngày đến vài tuần để hoàn thành. Ban đầu, các bản cập nhật chỉ có thể thực hiện theo thiết bị, nhưng hỗ trợ đa hướng cho các bản cập nhật từ xa qua LoRa kể từ đó đã được chỉ định.

Có nhiều giải pháp có sẵn để cập nhật từ xa firmware qua Wi-Fi và mạng di động. Các nhà cung cấp nền tảng đám mây như AWS, Azure và Google cung cấp dịch vụ quản lý thiết bị từ xa, nhưng cũng có các nhà cung cấp khác như Balena hoặc Hệ thống AV.

Giám sát bất thường

Một phần trung tâm trong bất kỳ thiết kế bảo mật nào là khả năng giám sát các bất thường. Đối với tất cả các công nghệ kết nối không dây, việc thay đổi thông số nhật ký lưu lượng có thể giúp phát hiện thiết bị giả mạo và đóng vai trò như một biện pháp bảo vệ chống lại lỗi của con người.

Dữ liệu LoRaWan được quản lý tập trung trong ứng dụng và máy chủ mạng – không chỉ cung cấp dữ liệu tải trọng (ví dụ: đo nhiệt độ) mà còn có thông tin kết nối quan trọng như cường độ tín hiệu và mất gói.

Bộ định tuyến WiFi tiêu chuẩn có một bộ nhật ký lưu lượng cơ bản cung cấp khả năng hiển thị hạn chế. Để theo dõi hiệu quả các bất thường, bộ định tuyến WiFi không chỉ cần hỗ trợ thông tin lưu lượng chi tiết mà còn phải giám sát và quản lý tập trung nhiều địa điểm của khách hàng.

Với giải pháp kết nối di động, thông tin kết nối chi tiết, chẳng hạn như các sự kiện tín hiệu mạng và khối lượng dữ liệu, có sẵn cho tất cả các thiết bị trong thời gian thực trong cổng thông tin điện tử. Dữ liệu này cũng có thể được truyền trực tuyến đến các nền tảng đám mây (AWS, Azure, Google Cloud) hoặc các nền tảng của bên thứ ba (DataDog, DevicePilot) đã cung cấp dịch vụ giám sát bất thường.

Tổng kết

Như đã trình bày ở trên, việc cài đặt các thiết bị IoT sử dụng cơ sở hạ tầng WiFi của khách hàng đi kèm với một số rủi ro bảo mật. Vì lý do này, chúng tôi khuyên bạn nên sử dụng một mạng cho các thiết bị IoT và một mạng riêng biệt cho các hoạt động bình thường, để bảo vệ cả hai loại thiết bị khỏi nhau. Bằng cách này, các thiết bị IoT không thể ảnh hưởng đến các thiết bị bình thường và chẳng hạn như các máy tính cá nhân lỗi thời trên mạng LAN được chia sẻ không thể đóng vai trò là điểm vào cho các thiết bị IoT.

LoRaWAN có các khái niệm bảo mật rất chặt chẽ – kết hợp thiết bị với mạng và từng ứng dụng. Nó phù hợp nhất cho các ứng dụng băng thông thấp, kể cả ở những vị trí khó tiếp cận, chẳng hạn như cảm biến nhiệt độ trong cơ sở sản xuất. Thông thường, các cổng LoRa được kết nối thông qua kết nối di động với internet công cộng để dữ liệu có thể được xử lý ở một nơi trung tâm.

Cơ sở hạ tầng WiFi chuyên dụng và kết nối di động là những công nghệ không dây được sử dụng nhiều nhất cho IoT công nghiệp. Bằng cách sử dụng tường lửa, truy cập từ xa, cập nhật chương trình cơ sở và giám sát, các doanh nghiệp IoT có thể hưởng lợi từ tính năng bảo mật toàn diện đã có ở cấp độ mạng.

Đối với việc triển khai tại nhiều địa điểm của khách hàng và cho các trường hợp sử dụng di động, kết nối di động không chỉ cung cấp phạm vi phủ sóng liền mạch mà còn giúp nhà cung cấp dịch vụ IoT dễ dàng quản lý các cài đặt khác nhau. Đây chỉ là hai trong số vô số lợi thế của kết nối di động so với các tùy chọn khác. Lợi thế bổ sung là:

  • Mạng lưới phủ sóng hầu như ở mọi nơi
  • Thiết bị hoạt động ngay tại nơi khách hàng
  • Không cần thêm cơ sở hạ tầng và tích hợp
  • Công nghệ năng lượng thấp cho tuổi thọ pin lâu dài (LTE-M / NB-IoT)
  • Hỗ trợ băng thông truyền dẫn thấp và cao ở đường lên và đường xuống

Mặc dù vậy, những ưu điểm trên nhanh chóng trở nên vô dụng trong trường hợp bảo mật kém. Vì vậy, bất kỳ tùy chọn kết nối nào bạn quyết định đều phù hợp với giải pháp IoT của bạn – hãy đảm bảo rằng bạn thực hiện các bước được khuyến nghị để có khả năng bảo mật mạnh mẽ.

Nguồn: EMnify

BÌNH LUẬN

Vui lòng nhập bình luận của bạn
Vui lòng nhập tên của bạn ở đây