Sicherheit für das IoT am Netzwerkrand:

Ein praktischer Leitfaden zur Sicherheit von Mobilfunkroutern

Weißbuch – Zusammenfassung

Kurz

Mit der zunehmenden Verbreitung des IoT sind Mobilfunkrouter (3G/4G) zum Rückgrat der industriellen Konnektivität geworden – sie verbinden SPSen, Kameras, Steuerungen und Maschinen mit der Cloud. Allerdings sind diese Geräte oft die größte Schwachstelle in puncto Sicherheit. Öffentliche IP-SIM-Karten, schlecht verwaltete Ports und unverschlüsselte Verbindungen bieten Angriffsflächen für Cyberangriffe, Datendiebstahl und sogar ausufernde Konnektivitätskosten.

Dieses Whitepaper enthält einen klaren, praktischen Fahrplan für die Sicherung von Mobilfunkroutern in IoT-Umgebungen. Es befasst sich mit Best Practices für SIM-Karten, physischen Sicherheitsvorkehrungen, VPN-Architekturen und den integrierten Sicherheitsfunktionen von Robustel. Anhand von Einblicken aus der Praxis zeigt es, wie Unternehmen ihre Vermögenswerte schützen, Risiken reduzieren und IoT in großem Maßstab sicher einsetzen können.

Was Sie lernen werden
  • Warum öffentliche IP-SIM-Karten eine große Gefahr darstellen und wie man sie mit privaten IP-Adressen und sicheren APNs entschärfen kann.
  • Wie man mit SIM-Anbietern bei Penetrationstests, TAC-Sperren und Netzwerksicherheiten zusammenarbeitet.
  • Praktische Maßnahmen zur physischen Absicherung von Routern, von der Deaktivierung ungenutzter Ethernet-Ports bis hin zur Sicherung von USB-Konfigurationsschnittstellen.
  • So verbessern Sie die WLAN-Sicherheit, vom Ausblenden der SSID bis hin zu WPA-Enterprise und MAC-Zugriffskontrolllisten.
  • Die Rolle von VPNs (End-to-End, Router-to-Cloud, vom SIM-Anbieter verwaltet) beim Schutz des IoT-Datenverkehrs.
  • Wie Robustel Sicherheit durch Design in seine RCMS-Plattform und Router integriert, von verschlüsselten Diagnosedateien bis hin zu Multi-Role-Management und TLS-verschlüsselten Protokollen.

Einführung

„IoT-Sicherheit“ ist ein weit gefasster Begriff. So weit gefasst, dass er für sich genommen wohl bedeutungslos ist. Zu Beginn müssen wir den Umfang und Zweck dieses Artikels definieren, um ihn klar in der IoT-Hierarchie zu positionieren.

Dieser Artikel stellt einige Sicherheitskonzepte im Zusammenhang mit dem Einsatz von Mobilfunkroutern (3G/4G) und Gateways vor, wie sie beispielsweise von Robustel und anderen Herstellern weltweit vertrieben werden.

Die Architektur solcher Bereitstellungen umfasst in der Regel einen Router, eine SIM-Karte und ein verbundenes Gerät wie einen PLC, eine IP-Kamera, einen BMS-Controller, einen Mediaplayer oder ein ähnliches Gerät am Rand, wobei öffentlich zugängliche Mobilfunknetze genutzt werden, um Daten vom Rand in die Cloud zu übertragen.

Daten und die Infrastruktur selbst können anfällig für böswillige Handlungen sein. Dieser Artikel befasst sich aus praktischer Sicht mit allgemeinen und Robustel-spezifischen Lösungen für diese Herausforderungen im Bereich der IoT-Sicherheit.

SIM-Sicherheit

Ironischerweise ist die SIM-Karte der wichtigste Sicherheitsaspekt beim Einsatz eines Routers.

Die SIM-Karte ist direkt für das IP-Adressierungsschema verantwortlich, das mit der WAN-Schnittstelle des Routers verbunden ist.

Eines der deutlichsten Beispiele für dieses Konzept ist die Verwendung von SIM-Karten mit öffentlicher IP-Adresse (die weltweit noch immer von einigen Mobilfunknetzbetreibern/Mobilfunk-Discountern angeboten werden) durch Installateure. Mit einer öffentlichen IP-Adresse auf der SIM-Karte kann jeder im öffentlichen Internet die „Eingangstür“ zu Ihrem Router sehen. Wenn die Portweiterleitung auf dem Router aktiviert ist, kann nicht nur direkt auf den Router selbst zugegriffen werden, sondern auch die an die LAN-Seite des Routers angeschlossenen Geräte sind für alle sichtbar!

Erfahrene Netzwerkarchitekten könnten argumentieren, dass durch die Deaktivierung des Fernzugriffs (HTTP/HTTPS/SSH auf dem Router und den angeschlossenen Geräten blockiert) und die Verwendung einer weniger bekannten Portnummer für die Portweiterleitung das Sicherheitsrisiko gemindert wird, und bis zu einem gewissen Grad trifft dies auch zu.

Brute-Force-Angriffe auf die öffentliche IP-Adresse des Routers müssen jedoch das 3G/4G-Netzwerk durchlaufen, damit sie von der Firewall der WAN-Schnittstelle des Routers abgewehrt werden können. Das bedeutet, dass die Daten das Netz des Betreibers in eine Richtung durchlaufen haben. Das bedeutet, dass alle diese (unaufgeforderten) Daten von der Person, die den SIM-Vertrag unterzeichnet hat, in Rechnung gestellt werden können. Konzertierte Angriffe können Sie monatlich mehrere GB an Daten kosten. Multiplizieren Sie dies mit einer großen Anzahl von Routern und multiplizieren Sie es erneut mit einem teuren SIM-Tarif, und Sie haben eine kommerzielle Katastrophe, selbst wenn Sie eine Sicherheitskatastrophe abgewendet haben.

Tipp Nr. 1: Vermeiden Sie SIM-Karten mit öffentlicher IP-Adresse

Der erste Schritt auf Ihrem Weg zu mehr Sicherheit ist ganz einfach: Stellen Sie sicher, dass Ihre SIM-Karte über eine private IP-Adresse verfügt und keine öffentliche.

Einige spezialisierte SIM-Anbieter bieten statische oder dynamische private IP-Adressen an. Solange dieser Anbieter seine Angelegenheiten in Ordnung hat und über angemessene Sicherheitsvorkehrungen für seine eigene Infrastruktur verfügt, ist die Frage nach einer festen oder dynamischen privaten IP-Adresse irrelevant – beide bieten ein akzeptables Maß an Sicherheit.

Abbildung 1.1 zeigt eine vereinfachte Darstellung der Kommunikation zwischen einem „Thing“ und der Cloud – genauer gesagt – einem Anwendungsserver im Internet. Wichtig ist hier der Begriff „APN“.

Ein APN ist ein ziemlich abstraktes Konzept, das von Netzbetreibern nicht sehr offen diskutiert wird, aber es ist eine Route, die Ihre IoT-Daten jeden Tag nehmen werden. Insofern ist es ironisch, wie wenig über diesen „riesigen Router im Himmel“ bekannt ist und wie entscheidend er für den Erfolg Ihrer Anwendung ist. Einfach ausgedrückt ist der APN der Torwächter zum Internet und zu anderen über das Internet erreichbaren Netzwerken. Er ist letztendlich für die Zuweisung Ihrer IP-Adresse verantwortlich, egal ob diese fest oder statisch ist.

Wenn Sie also ein 3G/4G-Netzwerk nutzen, hängt die Leistung und Sicherheit Ihrer Daten in hohem Maße vom gewählten Betreiber ab, sodass die Qualität der Sicherheit des Betreibers auch die Qualität Ihrer Sicherheit bestimmt.

Tipp Nr. 2: Fragen Sie Ihren SIM-Anbieter nach „Penetrationstests“ in seinem Netzwerk und nach ähnlichen Zusicherungen, dass Ihre Daten gut geschützt sind. Bitten Sie um ein Netzwerkdiagramm seines Netzwerks, wenn Sie es besser verstehen möchten.

Die Over-the-Air-Verschlüsselung von 3G- und 4G-Netzen ist ein zentrales Thema einer detaillierten Sicherheitsanalyse der Mobilfunkkommunikation. Dieser Artikel geht jedoch davon aus, dass die aktuellen Verschlüsselungsstandards für die Zwecke der meisten IoT-Anwendungen ausreichend sind. Wenn der Leser Bedenken hinsichtlich der OTA-Verschlüsselung hat, stehen ihm zwei Optionen zur Verfügung:

  • Vertiefen Sie sich in die Spezifikationen der verschiedenen RANs (Radio Access Networks) und/oder konsultieren Sie einen Sicherheitsspezialisten zu diesem Thema, um zu erfahren, welche Kryptostandards geknackt wurden und wie sich dies auf Sie auswirken könnte.
  • Implementieren Sie eine End-to-End-Verschlüsselung in Ihrer Anwendung, sodass ein geknackter Verschlüsselungsschlüssel nur eine weitere Ebene verschlüsselter Daten offenlegt. Eine gängige Methode hierfür auf einem 3G/4G-Router ist die Verwendung eines der VPN-Dienste, die direkt auf dem Router selbst verfügbar sind. VPNs werden später in Abschnitt 4 behandelt.

Die physische Sicherheit der SIM-Karte selbst kann ebenfalls ein wichtiger Aspekt sein. Eine gestohlene SIM-Karte könnte zu einer Verletzung der IP-Netzwerksicherheit führen (unwahrscheinlich), birgt jedoch eher die Gefahr von Daten- oder Sprachverkehrskosten, solange die SIM-Karte verloren ist, aber nicht gesperrt wurde.

Tipp Nr. 3: Fragen Sie Ihren SIM-Anbieter, ob er die SIM-Karte mit einem „TAC“-Code oder ähnlichem sperren kann, sodass die SIM-Karte außerhalb der vorgesehenen Hardware keinen Netzwerkzugang erhält.

Physische Sicherheit

Mit der richtigen Wahl der SIM-Karte sind Angriffe von der WAN-Seite des Routers viel weniger wahrscheinlich, sodass wir unsere Aufmerksamkeit auf die physische Sicherheit richten – allgemein gesagt, was könnte jemand mit physischem Zugriff mit dem Gerät anstellen und wie können wir solche Bedrohungen mindern.

Ethernet-Ports und DHCP auf Ethernet-Ports deaktivieren

Der Ethernet-Anschluss ist ein wichtiges Medium für Angriffe. Wenn er nicht benötigt wird, kann er über die Systemeinstellungen deaktiviert werden, um böswillige Zugriffe durch den Anschluss eines PCs oder Laptops zu verhindern. Wenn mindestens ein Ethernet-Anschluss verwendet werden muss, empfiehlt es sich, DHCP auf der LAN-Seite des Routers zu deaktivieren, damit angeschlossene Geräte nicht automatisch eine IP-Adresse im richtigen Bereich erhalten, um Internetzugang zu erhalten. Eine logische Erweiterung davon könnte die Wahl eines kleinen und unbekannten Subnetzes für die LAN-Seite des Routers sein, damit die Wahrscheinlichkeit einer zufälligen richtigen Ermittlung durch einen Passanten sehr gering ist.

USB-Schnittstellen-Schlüsselvalidierung

Viele 3G/4G-Router bieten einen sehr einfachen Mechanismus für die Konfigurationsaktualisierung über einen USB-Stick.

Die USB-Schnittstelle ist ebenfalls ein Ziel für Angriffe auf physische Medien. Jeder Robustel-Router verfügt über einen unabhängigen Schlüssel, der vom Betriebssystem generiert wird, und fordert den Schlüssel zur Authentifizierung an, sobald ein USB-Stick angeschlossen wird. Der USB-Stick muss diesen Schlüssel speichern, um die Dateien zu aktualisieren. Auf diese Weise kann der USB-Anschluss eine einzige Funktion (automatische Konfigurationsaktualisierung) auf sichere Weise erfüllen.

Konsolenzugriff deaktivieren

Moderne Router und viele der daran angeschlossenen Geräte bieten über eine Web-GUI (HTTP/HTTPS), SSH oder Ähnliches eine Benutzeroberfläche zur Außenwelt. Es empfiehlt sich, solche Konsolen zu deaktivieren, sofern sie nicht benötigt werden. Falls doch, sollten Sie sicherstellen, dass nur berechtigte Benutzer auf das entsprechende IP-Subnetz zugreifen können, auf dem der Konsolenzugriff verfügbar ist.

Tipp Nr. 4: Ein nützlicher Trick, um Systemadministratoren auf Probleme auf der LAN-Seite aufmerksam zu machen, besteht darin, entweder in der Cloud-Plattform wie RCMS oder direkt vom Router aus (SMS/E-Mail) eine Warnmeldung zu konfigurieren, dass ein Ethernet-Kabel abgezogen wurde – ob dies böswillig geschieht oder nicht, kann anschließend schnell festgestellt werden.

WLAN-Sicherheit

Der effektivste Weg, WLAN zu sichern, besteht darin, es nicht zu verwenden. Wenn Sie es dennoch verwenden müssen, stellen Sie sicher, dass mindestens die WPA-Sicherheit verwendet wird.

WPA-Enterprise bietet zusätzliche Radius-Authentifizierung, kann jedoch komplex zu konfigurieren sein.

Eine einfachere (aber weniger skalierbare) Methode zur Verwaltung einzelner WLAN-Clients ist die Verwendung einer Zugriffskontrollliste, bei der nur MAC-Adressen, die auf einer Whitelist stehen, sich mit dem entsprechenden SSID (drahtlosen Netzwerk) verbinden dürfen.

Tipp Nr. 5: Die Deaktivierung der „SSID-Übertragung” im Router-AP kann eine clevere Möglichkeit sein, die Sicherheit zu erhöhen. Das bedeutet, dass der Netzwerkname für Passanten, die einen Netzwerkscan durchführen, nicht sichtbar ist, aber der WLAN-Zugang bleibt für diejenigen mit der richtigen Konfiguration und dem richtigen Passwort weiterhin verfügbar.

VPN-Sicherheitsoptionen

Es gibt viele Möglichkeiten, wie VPNs wie OpenVPN, PPTP, L2TP und IPSEC verwendet werden können.

Wichtige Überlegungen sind, wo genau sich die VPN-Endpunkte befinden und in welcher Gerichtsbarkeit sie liegen. Wie in Abschnitt 1 hervorgehoben, ist es wichtig, Router-Verbindungen im Kontext des Netzwerks des SIM-Anbieters zu betrachten, um ein vollständiges Bild zu erhalten. Im Folgenden stellen wir die am häufigsten verwendeten VPN-Architekturen vor.

a) Das End-to-End-VPN

In diesem Beispiel durchläuft das VPN den gesamten Weg vom Rand bis zur Cloud, wobei in der Regel das Thing am Rand einen VPN-Client ausführt und der Anwendungsserver einen VPN-Server für die Beendigung der VPN-Verbindung hostet.

In diesem Beispiel besteht keine Abhängigkeit vom SIM-Anbieter, damit dies funktioniert, außer dass der gewählte VPN-Typ die APN des Betreibers durchlaufen darf. Dies kann ein entscheidender Stolperstein sein, den Sie mit Ihrem SIM-Anbieter klären sollten, bevor Sie versuchen, eine Verbindung herzustellen.

Bei realen Implementierungen dieser Art von Verbindung würde in der Regel eine VPN-Appliance direkt vor dem Anwendungsserver eingesetzt, um eine logische Abgrenzung der Netzwerkbausteine zu schaffen.

Viele „Dinge“ sind nicht in der Lage, als VPN-Endpunkt zu fungieren (z. B. ein RS232-Gerät). In diesem Fall könnte Option (b) verwendet werden.

Tipp Nr. 6: Einige APNs können bestimmte Ports oder Protokolle genauso blockieren wie eine Firewall. Erkundigen Sie sich bei Ihrem SIM-Anbieter, ob dies bei dessen APN der Fall ist.
b) Der Router zum Cloud-VPN

In diesem Beispiel verläuft das VPN vom Router zur Cloud (Anwendungsserver oder VPN-Appliance in der Cloud), was in vielerlei Hinsicht eine logischere Nutzung der Ressourcen darstellt als (a) – so kann das Ding so kostengünstig/einfach wie möglich sein und der Router übernimmt die Kommunikation.

In seltenen Fällen werden Sie mit pedantischen Sicherheitsprüfern konfrontiert, die darauf bestehen, dass bei Verwendung der oben genannten Architektur die Daten, die über das Kabel vom Gerät zum Router übertragen werden, nicht durch ein VPN geschützt sind und somit ein Sicherheitsrisiko darstellen. Gängige Methoden, um diesem Einwand zu begegnen, sind:

  • Implementieren Sie anstelle oder zusätzlich zu einem VPN Sicherheitsmaßnahmen auf Anwendungsebene, damit die Daten zwischen dem Thing und dem Router verschlüsselt werden.
  • Wenn jemand physischen Zugriff auf den Router und das Verbindungskabel hat, dann haben Sie „Wichtigeres zu tun“, als sich Gedanken darüber zu machen, ob diese Person Ihre Bits und Bytes sehen kann!

Dies ist eine gute Erinnerung daran, dass Sicherheit eine Kosten-Nutzen-Rechnung ist, und obwohl Option (ii) für einige Anwendungen ein vernünftiges Argument ist, ist sie für medizinische oder militärische Projekte wahrscheinlich nicht akzeptabel.

c) VPN-Lösung von einem spezialisierten M2M/IoT-SIM-Anbieter

Diese Art von Dienstleistung wird in der Regel von MVNOs angeboten, die ihr Dienstleistungsangebot für Kunden verbessern und gegen eine geringe Gebühr einen größeren Teil der Lösung übernehmen möchten.

In den meisten Fällen muss ein IPSEC-VPN-Tunnel zwischen dem APN des SIM-Anbieters und der VPN-Appliance/dem Server des Kunden eingerichtet werden. Für mehr Ausfallsicherheit können zwei IPSECs eingerichtet werden, was jedoch zu einer zusätzlichen Komplexität der Architektur führt.

Diese Lösung hat folgende Vor- und Nachteile:

Vorteile

  • Es müssen keine Änderungen am Router oder Thing vorgenommen werden.
  • Der Kunde muss nicht die Möglichkeit in Betracht ziehen, viele VPNs (eines von jedem Router) zu kündigen – er benötigt lediglich ein Site-to-Site-VPN aus der Infrastruktur des SIM-Anbieters.
  • Die Einrichtung kann recht einfach sein, wenn der SIM-Anbieter guten Support bietet.

Nachteile

  • VPN deckt nicht den Funkteil der Verbindung ab, was bedeutet, dass das Knacken von Funktechnologien Ihre Daten ungeschützt lassen könnte – ein echter Einwand, der jedoch selten durchgesetzt wird.
  • Wenn Ihr SIM-Anbieter schlechte Arbeit leistet, ist Ihr gesamter Gerätebestand gefährdet!

Robustel-spezifische Sicherheit

RCMS – Cloud-Geräteverwaltungsplattform

Die Hauptstrategie von Robustel zur Sicherung seines eigenen Router-Management-Dienstes – RCMS – besteht darin, die erstklassigen IaaS- und SaaS-Funktionen von Microsoft Azure zu nutzen.

Es gibt ein ausführliches Tutorial darüber, wie die RCMS-Anwendungssoftware dank der tiefen Integration in die Microsoft Azure-Plattform über einen mehrschichtigen Schutz vor Cyberangriffen verfügt. Eine Kopie des Dokuments ist auf Anfrage bei Ihrem Robustel-Vertriebsmitarbeiter erhältlich.

RobustOS – Router-Betriebssystem

  • Rückverfolgbarkeit des Software-Lebenszyklus

Robustel Integrieren Sie Sicherheit in alle Phasen des Softwareentwicklungszyklus, einschließlich Firmware-Design, sicherer Speicherung und Rückverfolgbarkeit des Quellcodes sowie Codeüberprüfung und -analyse.

  • Radius, Tacacs Plus, LDAP, LDAP X509-Authentifizierung

Unterstützung für die Authentifizierung von Drittanbieter-Servern mit flexiblen Authentifizierungsmechanismen. Die Interaktion zwischen Client und Server wird durch einen gemeinsamen Schlüssel verifiziert, und alle übertragenen Benutzerkennwörter werden verschlüsselt.

  • Verschlüsselte Diagnosedatei

Die exportierbare Diagnosedatei enthält Protokoll- und Konfigurationsinformationen und ist vollständig verschlüsselt, sodass sie zur Analyse an den technischen Support von Robustel weitergeleitet werden kann, ohne dass die Gefahr einer Kompromittierung besteht.

  • Verwaltung von Benutzerrollen

Mehrfachrollenverwaltung: Verschiedene Rollen haben unterschiedliche Verwaltungsberechtigungen. Das „Gast”-Konto kann nur den Gerätestatus anzeigen – es ist schreibgeschützt. Der „Editor” kann lesen/schreiben, hat jedoch keine Benutzerverwaltungsberechtigungen. Der „Administrator” verfügt über alle Verwaltungsrechte.

  • E-Mail-TLS-Verschlüsselung

Wenn Ereigniserinnerungen per E-Mail benachrichtigt werden, werden die Daten unter dem TLS-Protokoll übertragen, wodurch Vertraulichkeit und Datenintegrität gewährleistet sind.

  • Modbus-Daten TLS-Verschlüsselung

In industriellen Anwendungen können die gesammelten Daten sehr sensibel sein. Modbus-RTU-Daten werden für maximale Sicherheit per MQTT in TLS verpackt an Ihren Server übertragen. Ein gutes Beispiel für Sicherheit auf Anwendungsebene. Hinweis: Erfordert die Installation der App „Modbus MQTT” in RobustOS.

  • Paketfilterung, Firewall und DMZ

Filtern Sie Datenpakete nach IP, MAC-Adresse und Protokoll und überwachen Sie jedes weitergeleitete IP-Paket, um die Sicherheit des internen Netzwerks zu gewährleisten.

Werden Sie Partner von Robustel: Richten Sie sichere, ausfallsichere Netzwerke ein



Die Sicherheit des IoT ist nur so stark wie ihre schwächste Verbindung – und Mobilfunkrouter werden dabei oft am meisten übersehen. Robustel verfügt über fundiertes Fachwissen, robuste Produkte und bewährte Best Practices, mit denen Sie Ihre Netzwerke sichern können, ohne die Bereitstellung zu verlangsamen. Werden Sie noch heute unser Partner, um Ihre IoT-Infrastruktur zu schützen, Risiken zu reduzieren und sicherzustellen, dass Ihre vernetzten Abläufe weltweit zuverlässig funktionieren.