常見的工業(yè)物聯(lián)網(wǎng)和物聯(lián)網(wǎng)協(xié)議及其安全缺陷

常見的工業(yè)物聯(lián)網(wǎng)和物聯(lián)網(wǎng)協(xié)議及其安全缺陷

物聯(lián)網(wǎng)開發(fā)人員和供應(yīng)商在設(shè)計(jì)系統(tǒng)、應(yīng)用和設(shè)備時(shí)很少采取安全優(yōu)先的方法。一旦產(chǎn)品上市銷售,首先關(guān)注功能,然后再考慮隱私性和安全性。

目前使用的兩種最常見的物聯(lián)網(wǎng)數(shù)據(jù)協(xié)議也是如此。消息隊(duì)列遙測(cè)傳輸(MQTT)和受限應(yīng)用協(xié)議(CoAP)靈活、輕便且專為擁擠的網(wǎng)絡(luò)和功能受限的設(shè)備而構(gòu)建,在全球工業(yè)和專用物聯(lián)網(wǎng)中創(chuàng)造了一個(gè)巨大的漏洞。

關(guān)于MQTT和CoAP協(xié)議及其缺陷,我們需要了解什么?我們可以做些什么來(lái)保護(hù)工業(yè)物聯(lián)網(wǎng)、物聯(lián)網(wǎng)設(shè)備及網(wǎng)絡(luò)?

什么是物聯(lián)網(wǎng)協(xié)議?

物聯(lián)網(wǎng)數(shù)據(jù)協(xié)議是M2M(機(jī)器對(duì)機(jī)器)通信標(biāo)準(zhǔn),允許低功耗物聯(lián)網(wǎng)設(shè)備交換數(shù)據(jù)。這些協(xié)議實(shí)現(xiàn)了端點(diǎn)到端點(diǎn)的通信,而無(wú)需互聯(lián)網(wǎng)連接或與中央服務(wù)器通信。

如今,物聯(lián)網(wǎng)和工業(yè)物聯(lián)網(wǎng)中最常見的兩種協(xié)議是消息隊(duì)列遙測(cè)傳輸(MQTT)和受限應(yīng)用協(xié)議(CoAP)。這些協(xié)議因其靈活性而被選中,已在從智能電網(wǎng)到個(gè)人健身追蹤器的物聯(lián)網(wǎng)和工業(yè)物聯(lián)網(wǎng)設(shè)備中實(shí)施。消息隊(duì)列遙測(cè)傳輸(MQTT)

消息隊(duì)列遙測(cè)傳輸(MQTT)是一種輕量級(jí)物聯(lián)網(wǎng)數(shù)據(jù)協(xié)議,廣泛應(yīng)用于物聯(lián)網(wǎng)和工業(yè)物聯(lián)網(wǎng)部署。憑借其基本架構(gòu)和TCP/IP支持,MQTT是實(shí)現(xiàn)低功耗設(shè)備群之間通信的理想?yún)f(xié)議。此外,其是一項(xiàng)古老且經(jīng)過(guò)驗(yàn)證的技術(shù),其最早版本可追溯到1999年,并被用于許多熟悉的物聯(lián)網(wǎng)架構(gòu),如Arduino和Intel Galileo。

MQTT的缺點(diǎn)與其優(yōu)點(diǎn)相同,即其靈活性和基本架構(gòu)。盡管MQTT已成為許多工業(yè)物聯(lián)網(wǎng)應(yīng)用的標(biāo)準(zhǔn),但其缺乏數(shù)據(jù)表示和設(shè)備管理定義。這意味著這些功能的實(shí)現(xiàn)完全取決于供應(yīng)商或平臺(tái)。這反過(guò)來(lái)又使保護(hù)多功能物聯(lián)網(wǎng)環(huán)境更具挑戰(zhàn)性。受限應(yīng)用協(xié)議(CoAP)

受限應(yīng)用協(xié)議(CoAP)是一種應(yīng)用協(xié)議,旨在允許在物聯(lián)網(wǎng)系統(tǒng)中進(jìn)行HTTP(超文本傳輸協(xié)議)通信。

CoAP協(xié)議尚未標(biāo)準(zhǔn)化,其使用客戶端-服務(wù)器架構(gòu)來(lái)轉(zhuǎn)換HTTP模型,使其適用于限制性設(shè)備和擁擠的網(wǎng)絡(luò)。CoAP非常適合在微控制器和傳感器等物聯(lián)網(wǎng)和工業(yè)物聯(lián)網(wǎng)應(yīng)用中實(shí)施,具有低開銷、支持多播和易于使用的特點(diǎn)。

當(dāng)智慧城市與工業(yè)物聯(lián)網(wǎng)應(yīng)用時(shí),這些協(xié)議中的漏洞可能會(huì)破壞關(guān)鍵基礎(chǔ)設(shè)施并中斷業(yè)務(wù)運(yùn)營(yíng),從而迅速變成噩夢(mèng)場(chǎng)景。

CoAP和MQTT的安全和隱私挑戰(zhàn)

多年來(lái),多項(xiàng)研究發(fā)現(xiàn)互聯(lián)網(wǎng)上暴露的MQTT代理和CoAP服務(wù)器數(shù)量驚人。今年早些時(shí)候,TrendMicro的研究顯示,一個(gè)“偶然的攻擊者”可以在不到四個(gè)月的時(shí)間里,通過(guò)在相關(guān)網(wǎng)絡(luò)端口上使用Shodan掃描儀,從78,549個(gè)broker收集209,944,707條MQTT消息,從441,964個(gè)服務(wù)器收集19,208,047個(gè)CoAP響應(yīng)。

此漏洞允許這個(gè)攻擊者訪問(wèn)數(shù)百萬(wàn)條記錄,并能夠破壞全球物聯(lián)網(wǎng)設(shè)備的運(yùn)行。

上述易受攻擊的端點(diǎn)只是被物聯(lián)網(wǎng)防火墻錯(cuò)誤配置或不受保護(hù)。還有一些設(shè)計(jì)問(wèn)題,例如最流行的MQTT代理Mosquitto的CVE-2017-7653漏洞。此漏洞可能允許惡意客戶端向MQTT代理提供無(wú)效數(shù)據(jù)。

引用MQTT官方標(biāo)準(zhǔn)手冊(cè)的表述,“MQTT解決方案通常部署在惡劣的通信環(huán)境中”,而“實(shí)施者有責(zé)任提供適當(dāng)?shù)陌踩δ??!币话憬ㄗh是在TCP 8883上使用TLS。但是,手冊(cè)仍然指出:設(shè)備可能會(huì)受到威脅可以訪問(wèn)客戶端和服務(wù)器中的靜態(tài)數(shù)據(jù)協(xié)議行為可能會(huì)產(chǎn)生副作用,如“定時(shí)攻擊”拒絕服務(wù)(DoS)攻擊通信可能會(huì)被攔截、更改、重新路由或披露注入欺騙性控制包

從運(yùn)營(yíng)的角度來(lái)看,這些問(wèn)題凸顯了物聯(lián)網(wǎng)和工業(yè)物聯(lián)網(wǎng)通信安全性差的風(fēng)險(xiǎn),使端點(diǎn)容易受到攻擊。這些攻擊包括拒絕服務(wù)(DoS)攻擊,在某些情況下,攻擊者可以完全控制設(shè)備或整個(gè)網(wǎng)絡(luò)。

當(dāng)涉及到CoAP協(xié)議時(shí),攻擊者可以利用CoAP的類似UDP的特性來(lái)發(fā)起放大攻擊,增加有效負(fù)載大小,從而使網(wǎng)絡(luò)和網(wǎng)絡(luò)上的設(shè)備不堪重負(fù)并崩潰。

蜂窩5G連接會(huì)是答案嗎?

CoAP和MQTT是輕量級(jí)、靈活且常用的物聯(lián)網(wǎng)數(shù)據(jù)協(xié)議。但是,它們并不是為物聯(lián)網(wǎng)和工業(yè)物聯(lián)網(wǎng)設(shè)備和網(wǎng)絡(luò)安全而設(shè)計(jì)的。相反,它們專注于在通常不可靠的網(wǎng)絡(luò)實(shí)現(xiàn)“機(jī)器”之間的通信。隨著設(shè)備和應(yīng)用類型的變化和轉(zhuǎn)換,管理這些多功能設(shè)備群的身份驗(yàn)證、授權(quán)和監(jiān)視可用性變得越來(lái)越困難。

5G蜂窩連接標(biāo)準(zhǔn)的設(shè)計(jì)在一定程度上是為了實(shí)現(xiàn)和支持大規(guī)模物聯(lián)網(wǎng)和工業(yè)物聯(lián)網(wǎng)部署和應(yīng)用。憑借實(shí)施全面入侵檢測(cè)系統(tǒng)和基于網(wǎng)絡(luò)的保護(hù)服務(wù),以及精細(xì)網(wǎng)絡(luò)分段的能力,毫無(wú)疑問(wèn),5G和工業(yè)物聯(lián)網(wǎng)是工業(yè)4.0天作之合。

也就是說(shuō),任何無(wú)線傳輸本質(zhì)上都是脆弱的,5G也不例外。其也引入了自己的一系列風(fēng)險(xiǎn)和漏洞以及好處,例如更廣泛的覆蓋范圍、更低的延遲以及用于低功耗通信的物聯(lián)網(wǎng)特定功能。然而,與使用易受攻擊的物聯(lián)網(wǎng)協(xié)議(如CoAP和MQTT)的不安全設(shè)備和網(wǎng)絡(luò)的攻擊相比,如今這些攻擊和漏洞更容易防御和緩解。

極客網(wǎng)企業(yè)會(huì)員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2023-04-18
常見的工業(yè)物聯(lián)網(wǎng)和物聯(lián)網(wǎng)協(xié)議及其安全缺陷
物聯(lián)網(wǎng)和工業(yè)物聯(lián)網(wǎng)中最常見的兩種協(xié)議是消息隊(duì)列遙測(cè)傳輸(MQTT)和受限應(yīng)用協(xié)議(CoAP)。這些協(xié)議因其靈活性而被選中,已在從智能電網(wǎng)到個(gè)人健身追蹤器的物聯(lián)網(wǎng)和工業(yè)物聯(lián)網(wǎng)設(shè)備中實(shí)施。

長(zhǎng)按掃碼 閱讀全文