远程设备访问
Mirai恶意软件利用的另一个漏洞是公共互联网上IoT设备的不安全的远程设备访问。远程访问通常是进行远程重新配置,从设备检索数据并允许支持人员进行故障排除的必要步骤。 LoRaWAN没有远程访问的概念,因此无法使用此功能进行判断。
使用标准的WiFi路由器,物联网设备将获得一个专用地址,并且在公共Internet上不可见。
远程设备访问使用端口转发(如果使用动态IP则使用DynamicDNS)来激活,Mirai一直使用它来感染专用WiFi网络中的WiFi IoT设备。
借助允许建立虚拟专用网络(VPN)的高级WiFi基础设施,可以确保远程设备访问的安全,因为只有具有正确VPN凭据的经过身份验证的设备才能访问网络。尽管这可以用于单个本地部署,但要在具有相同专用网络的不同客户位置管理多个VPN充满挑战。
具有私有静态IP地址的蜂窝连接可通过一个虚拟私有网络在所有客户位置进行简单的远程访问。这些设备在Internet上不可见,可以通过与移动网络运营商网关的VPN连接进行访问。
固件更新
远程固件更新是确保设备安全性最新的关键部分。安全漏洞可能源自客户拥有的设备固件错误,也可能源自第三方。更新设备可能具有挑战性。远程更新过程必须防范攻击者,同时还要保证在发生错误时易于回滚。
由于每天的10条消息的下行链路限制,LoRa只能用于更新非常简单的设备,即使如此,更新过程也可能需要数天至数周才能完成。最初,只能逐个设备进行更新,但是此后已指定了对通过LoRa进行远程更新的多播支持。
有多种解决方案可用于通过Wi-Fi和蜂窝网络远程更新固件。 AWS、Azure和Google等云平台提供商提供了远程设备管理服务,但Balena或AV System等其他提供商也有提供。
异常监测
任何安全设计的核心部分是监视异常的能力。对于所有无线连接技术,流量日志参数的更改可以帮助检测设备篡改并充当防止人为错误的保护措施。
LoRaWan数据在应用和网络服务器中进行集中管理,不仅使有效负载数据(例如温度测量)可用,而且还使重要的连接性信息(如信号强度和数据包丢失)可用。
标准WiFi路由器具有一组基本的流量日志,这些日志提供了有限的可见性。为了有效地监视异常,WiFi路由器不仅需要支持详细的流量信息,还需要集中监视和管理多个客户站点。
借助蜂窝连接解决方案,详细的连接信息(例如网络信令事件和数据量)可在Web门户中实时提供给所有设备。该数据还可以流式传输到已经提供异常监视即服务的云平台(AWS、Azure、Google Cloud)或第三方平台(DataDog、DevicePilot)。
总结
如上所示,使用客户的WiFi基础设施安装IoT设备会带来一些安全风险。因此,建议为物联网设备正常运行使用单独的网络,以保护这些设备。这样,物联网设备就不会影响普通设备,例如共享LAN上过时的个人计算机就不能用作物联网设备的入口点。
LoRaWAN具有非常严格的安全概念,将设备耦合到网络和每个应用。它最适合于低带宽应用,包括难以到达的位置,例如制造环境中的温度传感器。通常,LoRa网关通过蜂窝连接到公共Internet,因此可以在中央位置处理数据。
专用的WiFi基础设施和蜂窝连接是用于工业物联网的最常用的无线技术。通过使用防火墙、远程访问、固件更新和监视,物联网企业可以从网络级别上已经获得的全面安全功能中受益。
对于在多个客户站点的部署以及移动应用,蜂窝连接不仅提供了无缝覆盖,而且还使IoT服务提供商可以更轻松地管理不同的安装。这些仅仅是蜂窝连接性优于其他选择的众多优势中的两个。
其他的优点包括:
1.网络覆盖几乎所有地方
2.设备可在客户现场立即工作
3.无需其他基础架构和集成
4.低功耗技术可延长电池寿命(LTE-M / NB-IoT)
5.支持上下传输带宽
但是,如果安全性较差,上述优点很快就会变得毫无用处。因此,无论决定采用哪种连接选项都适合你的IoT解决方案,不过需要确保采取必要的措施来保护他们的安全。