物聯(lián)網(wǎng)開發(fā)人員和供應(yīng)商在設(shè)計系統(tǒng)���、應(yīng)用和設(shè)備時很少采取安全優(yōu)先的方法�。一旦產(chǎn)品上市銷售,首先關(guān)注功能�����,然后再考慮隱私性和安全性���。
目前使用的兩種最常見的物聯(lián)網(wǎng)數(shù)據(jù)協(xié)議也是如此�。消息隊列遙測傳輸(MQTT)和受限應(yīng)用協(xié)議(CoAP)靈活���、輕便且專為擁擠的網(wǎng)絡(luò)和功能受限的設(shè)備而構(gòu)建����,在全球工業(yè)和專用物聯(lián)網(wǎng)中創(chuàng)造了一個巨大的漏洞����。
關(guān)于MQTT和CoAP協(xié)議及其缺陷,我們需要了解什么?我們可以做些什么來保護工業(yè)物聯(lián)網(wǎng)�����、物聯(lián)網(wǎng)設(shè)備及網(wǎng)絡(luò)?
什么是物聯(lián)網(wǎng)協(xié)議?
物聯(lián)網(wǎng)數(shù)據(jù)協(xié)議是M2M(機器對機器)通信標(biāo)準(zhǔn),允許低功耗物聯(lián)網(wǎng)設(shè)備交換數(shù)據(jù)�����。這些協(xié)議實現(xiàn)了端點到端點的通信�����,而無需互聯(lián)網(wǎng)連接或與中央服務(wù)器通信���。
如今,物聯(lián)網(wǎng)和工業(yè)物聯(lián)網(wǎng)中最常見的兩種協(xié)議是消息隊列遙測傳輸(MQTT)和受限應(yīng)用協(xié)議(CoAP)�����。這些協(xié)議因其靈活性而被選中����,已在從智能電網(wǎng)到個人健身追蹤器的物聯(lián)網(wǎng)和工業(yè)物聯(lián)網(wǎng)設(shè)備中實施。
消息隊列遙測傳輸(MQTT)
消息隊列遙測傳輸(MQTT)是一種輕量級物聯(lián)網(wǎng)數(shù)據(jù)協(xié)議����,廣泛應(yīng)用于物聯(lián)網(wǎng)和工業(yè)物聯(lián)網(wǎng)部署。憑借其基本架構(gòu)和TCP/IP支持����,MQTT是實現(xiàn)低功耗設(shè)備群之間通信的理想?yún)f(xié)議�。此外�,其是一項古老且經(jīng)過驗證的技術(shù),其最早版本可追溯到1999年�,并被用于許多熟悉的物聯(lián)網(wǎng)架構(gòu),如Arduino和Intel Galileo���。
MQTT的缺點與其優(yōu)點相同�,即其靈活性和基本架構(gòu)�����。盡管MQTT已成為許多工業(yè)物聯(lián)網(wǎng)應(yīng)用的標(biāo)準(zhǔn)�����,但其缺乏數(shù)據(jù)表示和設(shè)備管理定義����。這意味著這些功能的實現(xiàn)完全取決于供應(yīng)商或平臺。這反過來又使保護多功能物聯(lián)網(wǎng)環(huán)境更具挑戰(zhàn)性�。
受限應(yīng)用協(xié)議(CoAP)
受限應(yīng)用協(xié)議(CoAP)是一種應(yīng)用協(xié)議,旨在允許在物聯(lián)網(wǎng)系統(tǒng)中進行HTTP(超文本傳輸協(xié)議)通信����。
CoAP協(xié)議尚未標(biāo)準(zhǔn)化���,其使用客戶端-服務(wù)器架構(gòu)來轉(zhuǎn)換HTTP模型,使其適用于限制性設(shè)備和擁擠的網(wǎng)絡(luò)�。CoAP非常適合在微控制器和傳感器等物聯(lián)網(wǎng)和工業(yè)物聯(lián)網(wǎng)應(yīng)用中實施,具有低開銷�����、支持多播和易于使用的特點���。
當(dāng)智慧城市與工業(yè)物聯(lián)網(wǎng)應(yīng)用時,這些協(xié)議中的漏洞可能會破壞關(guān)鍵基礎(chǔ)設(shè)施并中斷業(yè)務(wù)運營���,從而迅速變成噩夢場景�。
CoAP和MQTT的安全和隱私挑戰(zhàn)
多年來���,多項研究發(fā)現(xiàn)互聯(lián)網(wǎng)上暴露的MQTT代理和CoAP服務(wù)器數(shù)量驚人��。今年早些時候�,TrendMicro的研究顯示��,一個“偶然的攻擊者”可以在不到四個月的時間里,通過在相關(guān)網(wǎng)絡(luò)端口上使用Shodan掃描儀��,從78,549個broker收集209,944,707條MQTT消息�,從441,964個服務(wù)器收集19,208,047個CoAP響應(yīng)。
此漏洞允許這個攻擊者訪問數(shù)百萬條記錄�����,并能夠破壞全球物聯(lián)網(wǎng)設(shè)備的運行��。
上述易受攻擊的端點只是被物聯(lián)網(wǎng)防火墻錯誤配置或不受保護�����。還有一些設(shè)計問題�,例如最流行的MQTT代理Mosquitto的CVE-2017-7653漏洞。此漏洞可能允許惡意客戶端向MQTT代理提供無效數(shù)據(jù)��。
引用MQTT官方標(biāo)準(zhǔn)手冊的表述���,“MQTT解決方案通常部署在惡劣的通信環(huán)境中”���,而“實施者有責(zé)任提供適當(dāng)?shù)陌踩δ堋?rdquo;一般建議是在TCP 8883上使用TLS。但是�,手冊仍然指出:
設(shè)備可能會受到威脅
可以訪問客戶端和服務(wù)器中的靜態(tài)數(shù)據(jù)
協(xié)議行為可能會產(chǎn)生副作用��,如“定時攻擊”
拒絕服務(wù)(DoS)攻擊
通信可能會被攔截����、更改��、重新路由或披露
注入欺騙性控制包
從運營的角度來看��,這些問題凸顯了物聯(lián)網(wǎng)和工業(yè)物聯(lián)網(wǎng)通信安全性差的風(fēng)險���,使端點容易受到攻擊�����。這些攻擊包括拒絕服務(wù)(DoS)攻擊,在某些情況下�����,攻擊者可以完全控制設(shè)備或整個網(wǎng)絡(luò)��。
當(dāng)涉及到CoAP協(xié)議時��,攻擊者可以利用CoAP的類似UDP的特性來發(fā)起放大攻擊�����,增加有效負(fù)載大小,從而使網(wǎng)絡(luò)和網(wǎng)絡(luò)上的設(shè)備不堪重負(fù)并崩潰��。
蜂窩5G連接會是答案嗎?
CoAP和MQTT是輕量級���、靈活且常用的物聯(lián)網(wǎng)數(shù)據(jù)協(xié)議�。但是�,它們并不是為物聯(lián)網(wǎng)和工業(yè)物聯(lián)網(wǎng)設(shè)備和網(wǎng)絡(luò)安全而設(shè)計的。相反�,它們專注于在通常不可靠的網(wǎng)絡(luò)實現(xiàn)“機器”之間的通信。隨著設(shè)備和應(yīng)用類型的變化和轉(zhuǎn)換�,管理這些多功能設(shè)備群的身份驗證��、授權(quán)和監(jiān)視可用性變得越來越困難。
5G蜂窩連接標(biāo)準(zhǔn)的設(shè)計在一定程度上是為了實現(xiàn)和支持大規(guī)模物聯(lián)網(wǎng)和工業(yè)物聯(lián)網(wǎng)部署和應(yīng)用。憑借實施全面入侵檢測系統(tǒng)和基于網(wǎng)絡(luò)的保護服務(wù)�����,以及精細(xì)網(wǎng)絡(luò)分段的能力�,毫無疑問,5G和工業(yè)物聯(lián)網(wǎng)是工業(yè)4.0天作之合����。
也就是說,任何無線傳輸本質(zhì)上都是脆弱的��,5G也不例外�����。其也引入了自己的一系列風(fēng)險和漏洞以及好處���,例如更廣泛的覆蓋范圍��、更低的延遲以及用于低功耗通信的物聯(lián)網(wǎng)特定功能。然而���,與使用易受攻擊的物聯(lián)網(wǎng)協(xié)議(如CoAP和MQTT)的不安全設(shè)備和網(wǎng)絡(luò)的攻擊相比�,如今這些攻擊和漏洞更容易防御和緩解��。
京公網(wǎng)安備 11010502041587號