物聯(lián)網安全的路由器障礙路徑怎樣設計

沒有關于物聯(lián)網安全的糟糕狀態(tài)的介紹，沒有單一的信息安全會議，這是新的傳統(tǒng)智慧。雖然這對于希望為自己命名的研究人員來說是一個福音，但對于擁有連接設備的任何人來說，這種令人遺憾的事情絕對沒有益處。

盡管如此，物聯(lián)網設備所有者并不是唯一厭倦的人。緊隨其后的是Duo Security的Duo Labs經理Eldridge Alexander。更好的是，他有一個計劃和經驗，可以提供一些可信度。

在擔任Duo Security現任職務之前，Alexander在Google和Cloudflare擔任過各種IT職位。對他而言，將過去和現在的IT工作聯(lián)系在一起的直通線是將所有網絡安全控制與零信任原則相結合所帶來的安全收益。

亞歷山大告訴LinuxInsider，“在過去的幾年里，我基本上一直生活并且沒有信任?！?/p>

簡而言之，“零信任”的觀點是，在最大可能的范圍內，不應該信任設備是安全的，并且它們應該被視為這樣。零信任可以通過許多方式表現出來，因為它不是一種單一的技術作為指導原則，但是這個想法是讓自己對任何一個設備的妥協(xié)都盡可能無懈可擊。

在他過去的幾個雇主中反復出現的主題，這可以理解地在亞歷山大留下了印記，以至于它積極地滲透到他在家庭網絡上的物聯(lián)網安全計劃中。他對零信任的熱情恰逢家庭網絡。

雖然消費者的物聯(lián)網采用速度正在加快，但是至少消費者網絡技術還沒有考慮到零信任，亞歷山大觀察到，我們已經到了我們無法負擔的地步。

他說：“調查不是真正的新威脅，但物聯(lián)網和家庭網絡中的威脅數量增加，我一直非常有興趣了解如何將這些非常注重企業(yè)的原則和理念應用于家庭網絡?！?/p>

在亞歷山大的家庭物聯(lián)網安全架構中，他在今年春天在芝加哥舉辦的THOTCON黑客大會上公布，零信任主要采用網絡細分的形式，這是企業(yè)網絡長期依賴的一種做法。

特別是，他主張路由器制造商為家庭用戶提供一種方法，可以自動創(chuàng)建兩個單獨的SSID（每個段一個），也可以使用簡單的用戶驅動GUI，類似于基本網絡配置中已包含的SSID（想想你的） 192.168.1.1 Web GUI）。

一個是桌面和移動終端用戶設備的獨家主機，而另一個只包含家庭的物聯(lián)網設備，而且不會滿足兩個人的需求。

至關重要的是，亞歷山大的解決方案在很大程度上繞過了物聯(lián)網制造商本身，這是設計的。這不是因為物聯(lián)網制造商應該免于改進他們的開發(fā)實踐 - 相反，應該期望他們盡自己的一份力量。這是因為他們沒有被證明能夠快速移動以滿足消費者的安全需求。

“我在這里的想法和談話有點回應我們目前的世界狀況，我對物聯(lián)網制造商的任何期望都是長期的，而對于路由器制造商和家庭網絡設備來說，這是更短期的，”他說。 。

亞歷山大認為，路由器制造商對消費者安全需求的響應能力要高得多。但是，任何曾嘗試更新路由器固件的人都可以指出這些增量補丁通常從開發(fā)人員那里得到的最小關注作為反訴。

除了這個問題，路由器制造商通常會相當快速地集成更新的802.11和WPA規(guī)范等新功能，除非為消費者提供最新和最好的技術。

“我認為很多［路由器］公司都會開放實施好的，安全的東西，因為他們知道和安全社區(qū)一樣。..。..這些物聯(lián)網設備不會變得更好，這些都是將對我們的網絡構成威脅，“亞歷山大說。

那么家用路由器在實踐中如何實際實現網絡分段呢？根據亞歷山大的愿景，除非有信心的消費者想要自己解決并解決高級配置選項，否則他們的路由器只需在路由器設置上建立兩個SSID。在描述這種情況時，他將SSID稱為“Eldridge”和“Eldridge IoT”，與傳統(tǒng)的“Home”和“Home-Guest”大會相似。

這兩個SSID只是結構的初始和最可見（對消費者而言）的一部分。真正的力量來自各個SSID的VLAN部署。在這種情況下，包含IoT設備的“Eldridge IoT”將不允許其上的設備將任何數據包發(fā)送到主VLAN（在“Eldridge”上）。

同時，主VLAN可以直接與IoT VLAN通信，或者最好通過路由器本身的IoT配置和管理服務中繼命令。后一種管理服務還可以處理基本的物聯(lián)網設備設置，以避免盡可能多的直接用戶干預。

該路由器“還將啟動一個應用服務，如Mozilla Web Things或Home Assistant，或供應商定制的東西，它將使它成為代理網關，”亞歷山大說?！澳愫苌傩枰獜闹饕腅ldridge VLAN進入Eldridge物聯(lián)網VLAN。實際上，您只需與Web界面通信，然后代表您與IoT VLAN進行通信。”

通過專門為物聯(lián)網設備創(chuàng)建獨特的VLAN，此配置可以使主VLAN上的家庭用戶筆記本電腦，智能手機和其他敏感設備與其中一個物聯(lián)網設備無關。這是因為任何流氓物聯(lián)網設備都將被阻止在OSI金字塔的數據鏈路層向主VLAN發(fā)送任何數據包，這應該沒有簡單的方法來規(guī)避。

亞歷山大說，這將是路由器制造商的興趣，因為它將為他們提供一個標志性功能。如果捆綁在家庭路由器中，它將為消費者提供一種安全功能，其中越來越多的人實際上將從中受益，同時以技術專業(yè)知識的方式詢問他們很少。表面上它將與路由器一起打開。

亞歷山大說：“我認為這對路由器制造商在擁擠的市場中脫穎而出是一種寶貴的動力?！薄霸贚inksys和Belkin以及其他一些制造商之間，定價之間沒有太多［區(qū)別］，因此提供家庭助理和安全性是他們可能使用的一個很好的區(qū)別?！?/p>

物聯(lián)網安全標準？

Edelson的取證主管兼伊利諾伊理工學院兼職行業(yè)教授肖恩戴維斯表示，這些提議的安全控制措施有一些承諾，但路由器制造商實際上是否會裝備消費者路由器才能提供它們是值得懷疑的。

具體來說，市場上的幾乎所有家用路由器設備都不支持VLAN標記，他告訴LinuxInsider，如果沒有它，就不可能從主網絡中分割物聯(lián)網。

“消費者層面的大多數路由器制造商都不支持讀取VLAN標簽，不幸的是，大多數物聯(lián)網設備都不支持VLAN標記，”戴維斯說。

“他們都可以在軟件級別輕松烘焙該功能。然后，如果所有物聯(lián)網制造商都同意用特定VLAN ID標記所有物聯(lián)網設備，并且所有消費者路由器都同意將該特定標簽直接路由到互聯(lián)網，那對于消費者來說，這可能是讓所有物聯(lián)網設備自動與個人設備隔離的簡單方法，“他解釋道。

正如戴維斯指出的那樣，VLAN標記不受任何硬件限制的限制，但僅僅是使軟件能夠處理它。僅僅因為制造商可以在軟件中打開VLAN標記，這并不意味著說服他們這樣做是件容易的事。

他說，路由器制造商不太可能愿意為他們的家用路由器系列這樣做，不出所料，它與錢有關。

“很多大公司生產消費者和企業(yè)路由器，”戴維斯指出?！拔艺J為他們可以輕松地在消費者路由器中包含VLAN功能，但通常不是為了證明功能豐富的業(yè)務級硬件的成本增加。”

大多數路由器制造商將VLAN標記等高級功能視為值得企業(yè)定價，因為它需要仔細開發(fā)才能滿足企業(yè)更嚴格的運營要求。最重要的是，考慮到家庭用戶的平均技術素養(yǎng)較低，路由器制造商有理由認為家用路由器中的高級用戶功能根本不會被使用，或者會被錯誤配置。

“除了價格層面的差異，”戴維斯說，“他們也可能會想，‘好吧，如果我們烘焙VLAN和其他基于企業(yè)的功能，大多數消費者可能甚至不知道如何配置它們，那么為什么甚至打擾？ “”

戴維斯強調，除了哄騙路由器制造商實現VLAN標記以及實現亞歷山大設置所需的任何其他企業(yè)級功能外，成功還取決于每個制造商在形式和功能方面的功能實現。