家庭物聯(lián)網(wǎng)安全的路由器障礙路徑

沒有關(guān)于物聯(lián)網(wǎng)安全的糟糕狀態(tài)的介紹，沒有單一的信息安全會(huì)議，這是新的傳統(tǒng)智慧。雖然這對于希望為自己命名的研究人員來說是一個(gè)福音，但對于擁有連接設(shè)備的任何人來說，這種令人遺憾的事情絕對沒有益處。

盡管如此，物聯(lián)網(wǎng)設(shè)備所有者并不是唯一厭倦的人。緊隨其后的是Duo Security的Duo Labs經(jīng)理Eldridge Alexander。更好的是，他有一個(gè)計(jì)劃和經(jīng)驗(yàn)，可以提供一些可信度。

在擔(dān)任Duo Security現(xiàn)任職務(wù)之前，Alexander在Google和Cloudflare擔(dān)任過各種IT職位。對他而言，將過去和現(xiàn)在的IT工作聯(lián)系在一起的直通線是將所有網(wǎng)絡(luò)安全控制與零信任原則相結(jié)合所帶來的安全收益。

亞歷山大告訴LinuxInsider，“在過去的幾年里，我基本上一直生活并且沒有信任。”

簡而言之，“零信任”的觀點(diǎn)是，在最大可能的范圍內(nèi)，不應(yīng)該信任設(shè)備是安全的，并且它們應(yīng)該被視為這樣。零信任可以通過許多方式表現(xiàn)出來，因?yàn)樗皇且环N單一的技術(shù)作為指導(dǎo)原則，但是這個(gè)想法是讓自己對任何一個(gè)設(shè)備的妥協(xié)都盡可能無懈可擊。

在他過去的幾個(gè)雇主中反復(fù)出現(xiàn)的主題，這可以理解地在亞歷山大留下了印記，以至于它積極地滲透到他在家庭網(wǎng)絡(luò)上的物聯(lián)網(wǎng)安全計(jì)劃中。他對零信任的熱情恰逢家庭網(wǎng)絡(luò)。

雖然消費(fèi)者的物聯(lián)網(wǎng)采用速度正在加快，但是至少消費(fèi)者網(wǎng)絡(luò)技術(shù)還沒有考慮到零信任，亞歷山大觀察到，我們已經(jīng)到了我們無法負(fù)擔(dān)的地步。

他說：“調(diào)查不是真正的新威脅，但物聯(lián)網(wǎng)和家庭網(wǎng)絡(luò)中的威脅數(shù)量增加，我一直非常有興趣了解如何將這些非常注重企業(yè)的原則和理念應(yīng)用于家庭網(wǎng)絡(luò)。”

在亞歷山大的家庭物聯(lián)網(wǎng)安全架構(gòu)中，他在今年春天在芝加哥舉辦的THOTCON黑客大會(huì)上公布，零信任主要采用網(wǎng)絡(luò)細(xì)分的形式，這是企業(yè)網(wǎng)絡(luò)長期依賴的一種做法。

特別是，他主張路由器制造商為家庭用戶提供一種方法，可以自動(dòng)創(chuàng)建兩個(gè)單獨(dú)的SSID(每個(gè)段一個(gè))，也可以使用簡單的用戶驅(qū)動(dòng)GUI，類似于基本網(wǎng)絡(luò)配置中已包含的SSID(想想你的) 192.168.1.1 Web GUI)。

一個(gè)是桌面和移動(dòng)終端用戶設(shè)備的獨(dú)家主機(jī)，而另一個(gè)只包含家庭的物聯(lián)網(wǎng)設(shè)備，而且不會(huì)滿足兩個(gè)人的需求。

至關(guān)重要的是，亞歷山大的解決方案在很大程度上繞過了物聯(lián)網(wǎng)制造商本身，這是設(shè)計(jì)的。這不是因?yàn)槲锫?lián)網(wǎng)制造商應(yīng)該免于改進(jìn)他們的開發(fā)實(shí)踐 - 相反，應(yīng)該期望他們盡自己的一份力量。這是因?yàn)樗麄儧]有被證明能夠快速移動(dòng)以滿足消費(fèi)者的安全需求。

“我在這里的想法和談話有點(diǎn)回應(yīng)我們目前的世界狀況，我對物聯(lián)網(wǎng)制造商的任何期望都是長期的，而對于路由器制造商和家庭網(wǎng)絡(luò)設(shè)備來說，這是更短期的，”他說。 。

亞歷山大認(rèn)為，路由器制造商對消費(fèi)者安全需求的響應(yīng)能力要高得多。但是，任何曾嘗試更新路由器固件的人都可以指出這些增量補(bǔ)丁通常從開發(fā)人員那里得到的最小關(guān)注作為反訴。

除了這個(gè)問題，路由器制造商通常會(huì)相當(dāng)快速地集成更新的802.11和WPA規(guī)范等新功能，除非為消費(fèi)者提供最新和最好的技術(shù)。

“我認(rèn)為很多[路由器]公司都會(huì)開放實(shí)施好的，安全的東西，因?yàn)樗麄冎篮桶踩鐓^(qū)一樣......這些物聯(lián)網(wǎng)設(shè)備不會(huì)變得更好，這些都是將對我們的網(wǎng)絡(luò)構(gòu)成威脅，“亞歷山大說。

那么家用路由器在實(shí)踐中如何實(shí)際實(shí)現(xiàn)網(wǎng)絡(luò)分段呢?根據(jù)亞歷山大的愿景，除非有信心的消費(fèi)者想要自己解決并解決高級配置選項(xiàng)，否則他們的路由器只需在路由器設(shè)置上建立兩個(gè)SSID。在描述這種情況時(shí)，他將SSID稱為“Eldridge”和“Eldridge IoT”，與傳統(tǒng)的“Home”和“Home-Guest”大會(huì)相似。

這兩個(gè)SSID只是結(jié)構(gòu)的初始和最可見(對消費(fèi)者而言)的一部分。真正的力量來自各個(gè)SSID的VLAN部署。在這種情況下，包含IoT設(shè)備的“Eldridge IoT”將不允許其上的設(shè)備將任何數(shù)據(jù)包發(fā)送到主VLAN(在“Eldridge”上)。

同時(shí)，主VLAN可以直接與IoT VLAN通信，或者最好通過路由器本身的IoT配置和管理服務(wù)中繼命令。后一種管理服務(wù)還可以處理基本的物聯(lián)網(wǎng)設(shè)備設(shè)置，以避免盡可能多的直接用戶干預(yù)。

該路由器“還將啟動(dòng)一個(gè)應(yīng)用服務(wù)，如Mozilla Web Things或Home Assistant，或供應(yīng)商定制的東西，它將使它成為代理網(wǎng)關(guān)，”亞歷山大說。“你很少需要從主要的Eldridge VLAN進(jìn)入Eldridge物聯(lián)網(wǎng)VLAN。實(shí)際上，您只需與Web界面通信，然后代表您與IoT VLAN進(jìn)行通信。”

通過專門為物聯(lián)網(wǎng)設(shè)備創(chuàng)建獨(dú)特的VLAN，此配置可以使主VLAN上的家庭用戶筆記本電腦，智能手機(jī)和其他敏感設(shè)備與其中一個(gè)物聯(lián)網(wǎng)設(shè)備無關(guān)。這是因?yàn)槿魏瘟髅ノ锫?lián)網(wǎng)設(shè)備都將被阻止在OSI金字塔的數(shù)據(jù)鏈路層向主VLAN發(fā)送任何數(shù)據(jù)包，這應(yīng)該沒有簡單的方法來規(guī)避。

亞歷山大說，這將是路由器制造商的興趣，因?yàn)樗鼘樗麄兲峁┮粋€(gè)標(biāo)志性功能。如果捆綁在家庭路由器中，它將為消費(fèi)者提供一種安全功能，其中越來越多的人實(shí)際上將從中受益，同時(shí)以技術(shù)專業(yè)知識的方式詢問他們很少。表面上它將與路由器一起打開。

亞歷山大說：“我認(rèn)為這對路由器制造商在擁擠的市場中脫穎而出是一種寶貴的動(dòng)力。”“在Linksys和Belkin以及其他一些制造商之間，定價(jià)之間沒有太多[區(qū)別]，因此提供家庭助理和安全性是他們可能使用的一個(gè)很好的區(qū)別。”

物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)?

Edelson的取證主管兼伊利諾伊理工學(xué)院兼職行業(yè)教授肖恩戴維斯表示，這些提議的安全控制措施有一些承諾，但路由器制造商實(shí)際上是否會(huì)裝備消費(fèi)者路由器才能提供它們是值得懷疑的。

具體來說，市場上的幾乎所有家用路由器設(shè)備都不支持VLAN標(biāo)記，他告訴LinuxInsider，如果沒有它，就不可能從主網(wǎng)絡(luò)中分割物聯(lián)網(wǎng)。

“消費(fèi)者層面的大多數(shù)路由器制造商都不支持讀取VLAN標(biāo)簽，不幸的是，大多數(shù)物聯(lián)網(wǎng)設(shè)備都不支持VLAN標(biāo)記，”戴維斯說。

“他們都可以在軟件級別輕松烘焙該功能。然后，如果所有物聯(lián)網(wǎng)制造商都同意用特定VLAN ID標(biāo)記所有物聯(lián)網(wǎng)設(shè)備，并且所有消費(fèi)者路由器都同意將該特定標(biāo)簽直接路由到互聯(lián)網(wǎng)，那對于消費(fèi)者來說，這可能是讓所有物聯(lián)網(wǎng)設(shè)備自動(dòng)與個(gè)人設(shè)備隔離的簡單方法，“他解釋道。

正如戴維斯指出的那樣，VLAN標(biāo)記不受任何硬件限制的限制，但僅僅是使軟件能夠處理它。僅僅因?yàn)橹圃焐炭梢栽谲浖写蜷_VLAN標(biāo)記，這并不意味著說服他們這樣做是件容易的事。

他說，路由器制造商不太可能愿意為他們的家用路由器系列這樣做，不出所料，它與錢有關(guān)。

“很多大公司生產(chǎn)消費(fèi)者和企業(yè)路由器，”戴維斯指出。“我認(rèn)為他們可以輕松地在消費(fèi)者路由器中包含VLAN功能，但通常不是為了證明功能豐富的業(yè)務(wù)級硬件的成本增加。”

大多數(shù)路由器制造商將VLAN標(biāo)記等高級功能視為值得企業(yè)定價(jià)，因?yàn)樗枰屑?xì)開發(fā)才能滿足企業(yè)更嚴(yán)格的運(yùn)營要求。最重要的是，考慮到家庭用戶的平均技術(shù)素養(yǎng)較低，路由器制造商有理由認(rèn)為家用路由器中的高級用戶功能根本不會(huì)被使用，或者會(huì)被錯(cuò)誤配置。

“除了價(jià)格層面的差異，”戴維斯說，“他們也可能會(huì)想，'好吧，如果我們烘焙VLAN和其他基于企業(yè)的功能，大多數(shù)消費(fèi)者可能甚至不知道如何配置它們，那么為什么甚至打擾? “”

戴維斯強(qiáng)調(diào)，除了哄騙路由器制造商實(shí)現(xiàn)VLAN標(biāo)記以及實(shí)現(xiàn)亞歷山大設(shè)置所需的任何其他企業(yè)級功能外，成功還取決于每個(gè)制造商在形式和功能方面的功能實(shí)現(xiàn)。