IoT vs. bezpečnost

IoT vs. bezpečnost
« kdy: 16. 06. 2020, 22:55:37 »
Dobrý den,
Dnes na root.cz vyšel článek o IPv6, kde se zmiňuje, že (jako příklad garážová vrata - super) díky rozšíření této verze protokolu bude konečně naplněno poslání internetu, a sice propojení všech zařízení vůči všem ostatním.
Idea hezká. Nicméně mě zajímá z možná laického pohledu toto:
- není přeci jen lepší, když jsou IoT schovaná v LAN?

Modelový příklad. Mám vlastní VPN Wireguard, díky níž se v blesku připojím do své sítě, kde mohu v klidu vše monitorovat - třeba kamery.

Není tedy lepší se spoléhat na jedno funkční řešení z hlediska bezpečnosti (VPN), než na dílčí zařízení, která jsou přístupná z WAN? Přeci jen je onen Wireguard snad dost bezpečný, než nějaká garážová vrata, obzvlášť když týden co týden je článek, jak kdejaká zařízení mají chybu, která se třeba ani nemusí nikdy opravit či aktualizovat?

Děkuji za odpovědi.
« Poslední změna: 16. 06. 2020, 23:03:14 od vita.srutek »


Re:IoT vs. bezpečnost
« Odpověď #1 kdy: 16. 06. 2020, 23:18:21 »
- není přeci jen lepší, když jsou IoT schovaná v LAN?
To je pseudoproblém, protože stejného chování je možné dosáhnout jedním řádkem v IPv6 firewallu a není moc důvodů, proč by to nemohl být default. Je to tak trochu podobný, jako bys říkal "a nebylo lepší, když nic nebylo připojený do netu?" No, možná bylo. Jestli se k tomu stavu chceš vrátit, stačí vytáhnout nebo přestřihnout kabel :)

Hlavní problémy IoT bezpečnosti jsou ve skutečnosti úplně jinde - zařízení s malým výkonem pro pořádné zabezpečení, nekvalitní firmware (o jehož nekvalitách uživatel vůbec neví, protože je closed source), neexistující updaty chyb, krachující dodavatelé a tím (polo|ne)funkční zařízení apod.

Re:IoT vs. bezpečnost
« Odpověď #2 kdy: 16. 06. 2020, 23:25:10 »
nebezpečí je přece také v připojení k/z internetu a nikoliv v odposlechu samotné komunikace (VPN), na to bys potřeboval mít VPN terminátor někde lokálně schované v lan a pak teprve routovat do internetu či do služeb.

K Mirkovi bych jen dodal, že u IoT je také nedostatek logů, audit nástrojů a sledování provozu, wireguard to nevyřeší, u běžných IoT hraček nemáš dostatek entropie a výkonu na dobré šifrování.

Re:IoT vs. bezpečnost
« Odpověď #3 kdy: 16. 06. 2020, 23:50:07 »
u IoT je také nedostatek logů, audit nástrojů a sledování provozu, wireguard to nevyřeší,
Tak bavíme se předpokládám o consumer segmentu, takže tam bych ani nečekal, že by zákazník něco debugoval nebo ladil.

u běžných IoT hraček nemáš dostatek entropie a výkonu na dobré šifrování.
Takhle rezolutně bych to netvrdil. Všelijakých secure elementů a koprocesorů je (teď, poslední dobou) dostatek a jejich cena není vysoká.  A existují i nějaké ty šifry, které se dají rozumně bezpečně provozovat i s nízkým výkonem (symetrické šifry, pre-shared secret). Spíš je to o tom, že v embedded světě se nedá jenom tak od stolu použít třeba TLS a nic moc neřešit, vyžaduje to daleko větší péči a dobrý design, který se ale pro ty levné bazmeky nezaplatí a navíc spousta dodavatelů to má v paži, protože uživatel to stejně nemá jak posoudit...

Na druhou stranu bych to ale příliš nehrotil. Ne každá IoT blbost přenáší nějak zásadně citlivá data. Jestliže např. jenom útočník ve fyzicky blízké vzdálenosti, s netriviálním úsilím pro naboření LAN, s netriviální znalostí technologických podrobností zařízení a jeho protokolu může nabořit přenos z mojí SuprČuprHajtekWifi váhy a zjistit, že tento měsíc vážím stejně jako minulej, je to fakt problém? Ani bych neřekl. Protože takový útok se nikdy neuskuteční, protože by ho prostě nikdo nezaplatil. Spíš by byl problém, kdyby útok šel udělat vzdáleně, automatizovaně a skrz váhu se dostat do vnitřní sítě a třeba k IP kamerám, který jsem si chytře dal do ložnice, aby mi někdo neukradl můj oblíbenej polštářek...

Re:IoT vs. bezpečnost
« Odpověď #4 kdy: 17. 06. 2020, 10:01:02 »
U domácích a SOHO sítí je „schované v LAN“ jenom iluze. Vy byste tu VPN použil jen pro řízení síťového přístupu k tomu zařízení – a to můžete snáze řešit na firewallu.


kate

  • ***
  • 102
    • Zobrazit profil
Re:IoT vs. bezpečnost
« Odpověď #5 kdy: 17. 06. 2020, 10:46:50 »
Navíc, i v případě použití VPN je IPv6 dobrý nápad. Nehrozí pak konflikty adres.

Petr M

  • ***
  • 105
    • Zobrazit profil
    • E-mail
Re:IoT vs. bezpečnost
« Odpověď #6 kdy: 17. 06. 2020, 15:52:42 »
nebezpečí je přece také v připojení k/z internetu a nikoliv v odposlechu samotné komunikace (VPN), na to bys potřeboval mít VPN terminátor někde lokálně schované v lan a pak teprve routovat do internetu či do služeb.

K Mirkovi bych jen dodal, že u IoT je také nedostatek logů, audit nástrojů a sledování provozu, wireguard to nevyřeší, u běžných IoT hraček nemáš dostatek entropie a výkonu na dobré šifrování.

Naštěstí VLAN nic nestojí... ;) Schovat to do sítě, ze které nemůže ven a nevidí LAN ani internet, ale z LAN a z internetu se dá kontaktovat. I když se toho někdo zmocní, tak co potom může, když o okolním světě nic neví?

SB

  • ****
  • 347
    • Zobrazit profil
    • E-mail
Re:IoT vs. bezpečnost
« Odpověď #7 kdy: 18. 06. 2020, 15:21:40 »
Navíc, i v případě použití VPN je IPv6 dobrý nápad. Nehrozí pak konflikty adres.

Konflikty jsou tím posledním, to IPv6 dnes může znamenat, že se do své domácí sítě VŮBEC DOSTANETE!