Ứng dụng
Bảo mật cho thiết bị IoT: So sánh giữa kết nối di động, LoRa Và Wi-Fi
Sep
Wifi, LoRa và di động là những lựa chọn hàng đầu được chọn để kết nối với các giải pháp IoT. Tùy từng nhu cầu sử dụng, nhưng Wifi truyền thống được loại bỏ đầu tiên khỏi danh sách, tất nhiên là ngoại trừ ứng dụng trong điều kiện phổ thông như nhà thông minh. Trong thực tế, Wifi rất lý tưởng để phát các video trực tuyến, nhưng nó lại không thực tế đối với các lĩnh vực kinh doanh đặc thù. Điều này có nghĩa rằng, có nhiều lựa chọn khác phù hợp hơn ngoài Wifi mà chúng ta sử dụng thường ngày kể cả mạng Wifi riêng tư hoặc tại văn phòng kinh doanh.
Mỗi thiết bị kết nối sẽ có ưu điểm và nhược điểm riêng, nhưng kết nối Wifi, LoRa và Cellular được đánh giá là dễ bị rủi ro tấn công bảo mật, dẫn đến hậu quả nghiêm trọng về rò rỉ thông tin. Dù là giải pháp IoT nào, thì việc lựa chọn kết nối luôn phải được chú trọng xem xét kỹ lưỡng về tính năng bảo mật IoT mạnh mẽ là vô cùng quan trọng.
Các tùy chọn kết nối không dây tầm ngắn và dài khác nhau dựa trên đặc điểm truyền dẫn của chúng khi triển khai giải pháp IoT tại địa điểm khách hàng đã cung cấp cho chúng tôi một số kết luận về kết nối qua một phân tích. Kết quả là lợi thế chung của kết nối di động. Nhưng ngoài những lợi ích chung, kết nối IoT di động có những lợi ích bảo mật cụ thể nào so với các tùy chọn kết nối khác?
Tùy chọn kết nối IoT
Hãy cùng đánh giá 03 tùy chọn kết nối IoT được sử dụng nhiều nhất hiện nay – Wifi, Lora, Cellular và so sánh về độ bảo mật của hcusng. Cụ thể, so sánh 04 thiết lập:
Shared WiFi: Khi triển khai thiết bị IoT tại một địa điểm từ xa, thiết bị có thể được tích hợp với mạng WiFi của khách hàng.
Dedicated WiFi: Bộ định tuyến WiFi được kết nối cùng với các thiết bị tại nơi này.
Lora Network: Các mạng LoRaWAN dùng chung (Như Loriot hoặc The Things Network) trong đó máy chủ ứng dụng Gateway, Nework, Join và LoRaWAN được cung cấp bởi một nhà cung cấp, giống như các mạng LoRaWAN chuyên dụng nơi các đối tượng này được triển khai bởi khách hàng.
Kết nối di động (Cellular): Loại kết nối này cho phép các thiết bị được sử dụng hiệu quả, kéo dài thời gian sử dụng pin và kết nối tin cậy.
SO SÁNH DỰA TRÊN 04 TÍNH NĂNG BẢO MẬT:
Bảng so sánh bốn thiết lập này trên bốn tính năng bảo mật phổ biến:
Cuộc tấn công botnet từ thiết bị bị xâm nhập
Đầu của nửa năm 2019 so với nửa đầu năm 2018, có thêm đến 800% cuộc tấn công Mirai. Mirai là phần mềm độc hại, đã lây nhiễm nhiều thiết bị IoT và tạo ra một mạng botnet bắt đầu tấn công từ chối dịch vụ phân tán vào các nạn nhân. Điều đáng nói (Không có gì ngạc nhiên dựa trên bảng so sánh ở trên) là các thiết bị IoT này chủ yếu được kết nối với mạng inernet công cộng hoặc qua Shared Wifi và có thể đến bất kỳ đích đến nào.
Khi chọn phần cứng WiFi, doanh nghiệp nên chọn bộ định tuyến có tích hợp trong tường lửa có thể giới hạn số lượng địa chỉ IP mà thiết bị đó có thể tiếp cận, điều này giúp cho thiết bị không thể tấn công mục tiêu khác hoặc bị điều khiển từ trung tâm kiểm soát của tin tặc.
Chính vì không sử dụng giao thức Internet, các thiết bị LoRa không thể kết nối và giao tiếp với Internet. Thiết bị LoRa chỉ có thể giao tiếp với các ứng dụng LoRaWAN đã được đăng ký và việc quản lý sẽ được thực hiện trên máy chủ của mạng LoRa.
Trên thế giới đã có cảnh báo về nguy cơ thiết bị LoRa có thể thực hiện các cuộc tấn công DDoS chống lại các thiết bị hoặc máy chủ LoRaWAN, nhưng những trường hợp này thường bắt đầu từ việc triển khai kém và được giải quyết trong các thông số kỹ thuật của LoRaWAN trong tương lai.
Các doanh nghiệp sử dụng IoT có thể chặn tất cả lưu lượng độc hại đã có trên cấp độ mạng bằng cách sử dụng tường lửa mạng di động, điều này đảm bảo 01 thiết bị chỉ có thể gửi dữ liệu đến mục tiêu ứng dụng của nó.
TRUY CẬP THIẾT BỊ TỪ XA
Phần mềm Mirai đã khai thác một lỗ hổng là quyền truy cập thiết bị từ xa không an toàn của các thiết bị IoT trong mạng internet công cộng. Truy cập từ xa thường dùng để tực hiện cấu hình lại, truy xuất dữ liệu từ thiết bị và cho phép hỗ trợ khắc phục sự cố. LoRaWAN không cho phép quyền truy cập từ xa do đó không thể đánh giá dựa trên tính năng này.
Thiết bị IoT sẽ có một địa chỉ IP riêng tư và không hiển thị trên Internet công cộng khi sử dụng bộ định tuyến WiFi tiêu chuẩn.
Mirai sử dụng quyền truy cập từ xa được kích hoạt bằng sử dụng chuyển tiếp cổng và với DynamicDNS trong trường hợp IP động để lây nhiễm, các thiết bị WiFi IoT trong mạng WiFi riêng cũng không ngoại lệ.
Công nghệ Wifi tiên tiến cho phép thiết lập mạng riêng ảo (VPN), điều này giúp cho quyền truy cập thiết bị từ xa được bảo mật – vì các thiết bị phải được xác thực thông tin đăng nhập VNP chính xác mới có quyền truy cập vào mạng. Mặc dù VPN hoạt động với các triển khai cục bộ và đơn lẻ – quản lý nhiều VPN tại vị trí của các khách hàng khác nhau trong 1 mạng riêng là một thách thức lớn.
Các địa chỉ IP tĩnh riêng tư cho phép dễ dàng truy cập từ xa thông qua một mạng riêng ảo trên tất cả vị trí của khách hàng bằng kết nối di động. Các thiết bị sẽ không hiển thị từ Internet và có thể được truy cập bằng kết nối VPN tới cổng của nhà cung cấp mạng di động.
Cập nhật firmware
Cập nhật firmware từ xa là đóng vai trò vô cùng quan trọng trong việc cập nhật bảo mật thiết bị. Lỗ hổng bảo mật có thể bắt nguồn từ firmware thiết bị mà khách hàng đang sở hữu hoặc các thư viện của bên thứ ba. Việc cập nhật thiết bị rất quan trọng đồng thời quá trình đó cũng khá nguy hiểm; phải bảo vệ quá trình khỏi những kẻ tấn công đồng thời phải đảm bảo khôi phục dễ dàng trong trường hợp có lỗi xảy ra.
Giới hạn đường xuống chỉ 10 tin nhắn/ngày, vì vậy LoRa chỉ có thể được sử dụng để cập nhật các thiết bị rất đơn giản, thậm chí quá trình cập nhật kéo dài từ vài ngày đến vài tuần mới hoàn thành. Ban đầu, các bản cập nhật chỉ thực hiện theo thiết bị, về sau được hỗ trợ đa hướng cho các bản cập nhật từ xa qua LoRa từ đó đã được chỉ định.
Có nhiều giải pháp để cập nhật firmware từ xa bằng WiFi và mạng di động. Một số nhà cung cấp nền tảng cloud lớn trên thế giới như: AWS, Azure và Google cung cấp dịch vụ quản lý thiết bị từ xa, ngoài ra còn có các nhà cung cấp khác được ưa chuộng như Balena hoặc hệ thống AV.
Giám sát bất thường
Bất kỳ thiết kế bảo mật nào cũng phải có phần trung tâm là khả năng giám sát các bất thường. Đối với tất cả công nghệ kết nối không dây, chúng phát hiện được thiết bị giả tạo nhờ theo dõi thay đổi thông số nhật ký lưu lượng; chúng đóng vai trò như một biện pháp bảo vệ chống lại lỗi của con người.
Dữ liệu của LoRaWAN được quản lý trong ứng dụng và máy chủ mạng – Chúng cung cấp dữ liệu tải trọng đồng thời có thông tin kết nối quan trọng như cường độ tín hiệu và mất gói.
Bộ định tuyến WiFi tiêu chuẩn sẽ có một bộ nhật ky lưu lựng cơ bản riêng, cung cấp khả năng hiển thị hạn chế giúp theo dõi hiệu quả bất thường. Chúng hỗ trợ thông tin lưu lượng chi tiết và đồng thời phải giám sát và quản lý tập trung nhiều vị trí của khách hàng.
Các giải pháp kết nối di động, thông tin chi tiết kết nối như các sự kiện tín hiệu mạng và khối lượng dữ liệu, có sẵn cho tất cả các thiết bị trong cổng thông tin điện tử tại thời gian thực. Dữ liệu này cũng có thể truyền trực tiếp đến các nền tảng cloud hoặc nền tảng bên thứ 3 cung cấp dịch vụ giám sát bất thường.
Tổng kết
Cài đặt thiết bị IoT sử dụng cơ sở hạ tầng WiFi của khách hàng sẽ kèm theo một số rủi ro về bảo mật. Chính vì thế chúng tôi luôn khuyến khích khách hàng sử dụng một mạng riêng biệt cho các thiết bị IoT và một mạng khác cho hoạt động bình thường để tách kết nối nhằm bảo vệ hai loại thiết bị. Bằng phương án này, các thiết bị IoT không liên quan đến các thiết bị bình thường khác.
LoRaWAN bảo mật rất chặt chẽ – Kết hợp thiết bị với mạng và từng ứng dụng. Phù hợp với các ứng dụng có băng thông thấp, kể cả ở những vị trí khó tiếp cận như cảm biến nhiệt độ trong cơ sở sản xuất, cảm biến mức chất lỏng,… Thông thường, cổng LoRa sẽ kết nối với internet thông qua kết nối di động để truyền dữ liệu về bộ xử lý trung tâm.
Cơ sở hạ tầng WiFi chuyên dụng và kết nối di động là các công nghệ được sử dụng nhiều nhất trong IoT công nghiệp hiện nay. Được bảo mật bằng tường lửa, truy cập từ xa, cập nhật cơ sở và giám sát đem đến lợi ích lớn cho doanh nghiệp IoT.
Kết nối di động giúp phủ sóng liền mạch và giúp nhà cung cấp dịch vụ IoT dễ dàng quản lý các cài đặt khác nhau thông qua việc triển khai tại nhiều địa điểm của khách hàng và sử dụng di động. Đó là 2 lợi thế nổi bật của kết nối di động (Cellular) so với các tùy chọn kết nối khác (Wifi, Lora). Lợi thế khác của kết nối di động:
Mạng lưới kết nối ở khắp nơi
Thiết bị hoạt động ngay tại doanh nghiệp
Không cần cơ sở hạ tầng và thích hợp thêm
Công nghệ năng lượng kéo dài tuổi thọ PIN.
Hỗ trợ băng thông truyền dẫn thấp và cao.
Tuy nhiên, những ưu điểm trên sẽ không hiệu quả trong trường hợp hệ thống bảo mật kém. Vì thế, bất kỳ tùy chọn kết nối nào đều phù hợp với giải pháp IoT mà bạn đã chọn – Chỉ cần đảm bảo rằng các bước được khuyến nghị đã được thực hiện để đảm bảo hệ thống được bảo mật.
Nguồn: EMnify