Sécurisation de l'IoT à la périphérie :

Guide pratique sur la sécurité des routeurs cellulaires

Livre blanc – Résumé

Résumé

À mesure que les déploiements IoT prennent de l'ampleur, les routeurs cellulaires (3G/4G) sont devenus la colonne vertébrale de la connectivité industrielle, reliant les automates programmables, les caméras, les contrôleurs et les machines au cloud. Pourtant, ces appareils constituent souvent le maillon faible en matière de sécurité. Les cartes SIM IP publiques, les ports mal gérés et les liaisons non cryptées créent des opportunités pour les cyberattaques, le vol de données et même des coûts de connectivité incontrôlables.

Ce livre blanc fournit une feuille de route claire et pratique pour sécuriser les routeurs cellulaires dans les environnements IoT. Il explore les meilleures pratiques en matière de cartes SIM, les mesures de protection physiques, les architectures VPN et les fonctionnalités de sécurité intégrées propres à Robustel. Grâce à des informations concrètes, il montre comment les organisations peuvent protéger leurs actifs, réduire les risques et déployer l'IoT à grande échelle en toute confiance.

Ce que vous apprendrez
  • Pourquoi les cartes SIM IP publiques constituent une menace majeure et comment les atténuer grâce à l'adressage IP privé et aux APN sécurisés.
  • Comment collaborer avec les fournisseurs de cartes SIM pour les tests de pénétration, les verrouillages TAC et les garanties réseau.
  • Mesures pratiques pour renforcer la sécurité physique des routeurs, depuis la désactivation des ports Ethernet inutilisés jusqu'à la sécurisation des interfaces de configuration USB.
  • Comment renforcer la sécurité sans fil, du masquage du SSID au WPA-Enterprise et aux listes de contrôle d'accès MAC.
  • Le rôle des VPN (de bout en bout, du routeur au cloud, gérés par les fournisseurs de cartes SIM) dans la protection du trafic de données IoT.
  • Comment Robustel intègre la sécurité dès la conception dans sa plateforme RCMS et ses routeurs, depuis les fichiers de diagnostic cryptés jusqu'à la gestion multi-rôles et aux protocoles cryptés TLS.

Introduction

« Sécurité IoT » est une expression très vague. Tellement vague qu'elle pourrait même être considérée comme dénuée de sens. Pour commencer, nous devons définir la portée et l'objectif de cet article afin de le positionner clairement dans la hiérarchie IoT.

Cet article présente certains concepts de sécurité associés au déploiement de routeurs et de passerelles cellulaires (3G/4G) tels que ceux commercialisés par Robustel et d'autres fabricants à travers le monde.

L'architecture de ces déploiements comprend généralement un routeur, une carte SIM et un appareil connecté tel qu'un PLC, une caméra IP, un contrôleur BMS, un lecteur multimédia ou tout autre appareil similaire situé à la périphérie, utilisant les réseaux cellulaires publics pour transférer les données de la périphérie vers le cloud.

Les données et l'infrastructure elle-même peuvent être vulnérables à des comportements malveillants. Cet article présente une approche pratique des solutions générales et spécifiques à Robustel pour relever ces défis en matière de sécurité de l'IoT.

Sécurité SIM

Ironiquement, le facteur de sécurité le plus critique dans le déploiement d'un routeur est la carte SIM.

La carte SIM est directement responsable du schéma d'adressage IP associé à l'interface WAN du routeur.

L'un des exemples les plus frappants de ce concept est l'utilisation par les installateurs de cartes SIM adressables par IP publique (toujours disponibles auprès de certains opérateurs de réseaux mobiles (MNO) / opérateurs de réseaux mobiles virtuels (MVNO) dans le monde). Avec une adresse IP publique sur la carte SIM, n'importe qui sur l'Internet public peut voir la « porte d'entrée » de votre routeur. Lorsque la redirection de port est activée sur le routeur, non seulement le routeur lui-même est directement accessible, mais les appareils connectés au réseau local (LAN) du routeur sont également visibles par tous !

Les architectes réseau les plus avertis pourraient faire valoir qu'en désactivant l'accès à distance (HTTP/HTTPS/SSH bloqués sur le routeur et les appareils connectés) et en utilisant un numéro de port moins connu pour la redirection de port, le risque pour la sécurité est atténué, ce qui est vrai dans une certaine mesure.

Cependant, les tentatives de force brute vers l'adresse IP publique du routeur doivent traverser le réseau 3G/4G pour être bloquées par le pare-feu de l'interface WAN du routeur. Cela signifie que les données ont traversé le réseau de l'opérateur dans un sens. Cela signifie que toutes ces données (non sollicitées) sont facturables à la personne qui a signé le contrat SIM. Des attaques concertées pourraient vous coûter plusieurs gigaoctets de données par mois. Multipliez ce chiffre par un grand nombre de routeurs, puis par un tarif SIM élevé, et vous obtenez un désastre commercial, même si vous avez atténué un désastre sécuritaire.

Conseil n° 1 : évitez les cartes SIM à adresse IP publique

La première étape de votre parcours vers la sécurité est simple : assurez-vous que votre carte SIM dispose d'une adresse IP privée, et non publique.

Certains fournisseurs de cartes SIM spécialisés proposent des adresses IP privées statiques ou dynamiques. Tant que ce fournisseur est en règle et dispose d'une sécurité adéquate sur sa propre infrastructure, le choix entre une adresse IP privée fixe ou dynamique n'a pas d'importance, car les deux offrent un niveau de sécurité acceptable.

La figure 1.1 présente une vue simplifiée de la manière dont un « objet » communique avec le cloud, ou plus précisément avec un serveur d'applications sur Internet. Il est important de noter ici l'existence de l'« APN ».

Un APN est un concept assez abstrait, peu abordé ouvertement par les opérateurs réseau, mais qui correspond à la route que vos données IoT empruntent chaque jour. À cet égard, il est ironique que l'on sache si peu de choses sur ce « routeur géant dans le ciel » et sur son rôle essentiel dans le succès de votre application. En termes simples, l'APN est le gardien de l'Internet et des autres réseaux accessibles via Internet. Il est en fin de compte responsable de l'attribution de votre adresse IP, qu'elle soit fixe ou statique.

Ainsi, lorsque vous utilisez un réseau 3G/4G, vos données dépendent fortement des performances et de la sécurité de l'opérateur choisi. La qualité de la sécurité de ce dernier devient donc la qualité de votre sécurité.

Conseil n° 2 : demandez à votre fournisseur de carte SIM s'il effectue des « tests de pénétration » sur son réseau et s'il vous garantit que vos données sont bien protégées. Demandez-lui un schéma de son réseau si vous souhaitez mieux le comprendre.

Le chiffrement sans fil des réseaux 3G et 4G est un sujet au cœur d'une analyse détaillée de la sécurité des communications cellulaires. Cependant, cet article part du principe que les normes de chiffrement actuelles sont adéquates pour la plupart des applications IoT. Si le lecteur a des inquiétudes concernant le chiffrement OTA, deux options s'offrent à lui :

  • Étudiez attentivement les spécifications des différents réseaux d'accès radio (RAN) et/ou consultez un spécialiste en sécurité sur le sujet afin de savoir quelles normes de cryptage ont été piratées et quel impact cela pourrait avoir sur vous.
  • Implémentez un chiffrement de bout en bout dans votre application, ce qui signifie qu'une clé de chiffrement piratée ne révélera qu'une autre couche de trafic chiffré. Une méthode courante pour y parvenir sur un routeur 3G/4G consiste à utiliser l'un des services VPN directement disponibles sur le routeur lui-même. Les VPN sont abordés plus loin dans la section 4.

La sécurité physique de la carte SIM elle-même peut également être un facteur important à prendre en considération. Le vol d'une carte SIM pourrait entraîner une violation du réseau IP (peu probable), mais il est plus probable qu'il entraîne des frais liés au trafic de données ou de voix tant que la carte SIM est perdue mais non bloquée.

Conseil n° 3 : demandez à votre fournisseur de carte SIM s'il peut verrouiller la carte SIM à l'aide d'un code « TAC » ou similaire, ce qui signifie que la carte SIM n'aura pas accès au réseau en dehors du matériel prévu.

Sécurité physique

Avec le bon choix de carte SIM, les attaques provenant du côté WAN du routeur sont beaucoup moins probables. Nous nous concentrons donc sur la sécurité physique : de manière générale, que pourrait faire une personne ayant un accès physique à l'appareil et comment atténuer ces menaces ?

Désactiver les ports Ethernet et le DHCP sur les ports Ethernet

Le port Ethernet est un moyen important d'attaque. Lorsqu'il n'est pas nécessaire de l'utiliser, il peut être désactivé dans les paramètres système afin d'éviter tout accès malveillant via la connexion d'un PC ou d'un ordinateur portable. Si au moins un port Ethernet doit être utilisé, il est recommandé de désactiver le DHCP côté LAN du routeur afin que les appareils connectés n'obtiennent pas automatiquement une adresse IP dans la plage appropriée pour accéder à Internet. Une extension logique de cette mesure pourrait consister à choisir un sous-réseau petit et obscur pour le côté LAN du routeur, afin que les chances qu'un passant devine au hasard la bonne adresse soient très improbables.

Validation de la clé d'interface USB

De nombreux routeurs 3G/4G offrent un mécanisme très simple pour la mise à jour de la configuration via une clé USB.

L'interface USB est également une cible des attaques physiques. Chaque routeur Robustel dispose d'une clé indépendante générée par le système d'exploitation et demande la clé d'authentification chaque fois qu'une clé USB est insérée. La clé USB doit stocker cette clé pour mettre à jour les fichiers. De cette manière, le port USB peut remplir une seule fonction (mise à jour automatique de la configuration) de manière sécurisée.

Désactiver l'accès à la console

Les routeurs modernes et la plupart des équipements qui y sont connectés présentent une interface utilisateur vers le monde extérieur via une interface graphique Web (HTTP/HTTPS), SSH ou similaire. Il est recommandé de désactiver ces consoles, sauf si elles sont nécessaires. Si elles sont nécessaires, assurez-vous que seuls les utilisateurs autorisés peuvent accéder au sous-réseau IP sur lequel l'accès à la console est disponible.

Conseil n° 4 : une astuce utile pour alerter les administrateurs système en cas de problèmes côté LAN consiste à configurer une alerte, soit dans la plateforme cloud comme RCMS, soit directement depuis le routeur (SMS/e-mail), indiquant qu'un câble Ethernet a été débranché. Il sera ensuite possible de déterminer rapidement s'il s'agit d'un acte malveillant ou non.

Sécurité Wi-Fi

Le moyen le plus efficace de sécuriser le Wi-Fi est de ne pas l'utiliser. Si vous devez l'utiliser, assurez-vous qu'au minimum, la sécurité WPA est activée.

WPA-Enterprise ajoute une authentification Radius supplémentaire, mais peut être complexe à configurer.

Une méthode plus simple (mais moins évolutive) pour gérer les clients WiFi individuels consiste à utiliser une liste de contrôle d'accès (Access Control List) qui autorise uniquement les adresses MAC figurant sur la liste blanche à se connecter au SSID (réseau sans fil) correspondant.

Conseil n° 5 : désactiver la « diffusion SSID » dans le routeur AP peut être un moyen intelligent de renforcer la sécurité. Cela signifie que le nom du réseau ne sera pas visible pour les passants qui effectuent un scan du réseau, mais que l'accès Wi-Fi restera accessible à ceux qui disposent de la configuration et du mot de passe appropriés.

Options de sécurité VPN

Il existe de nombreuses façons d'utiliser les VPN tels que OpenVPN, PPTP, L2TP et IPSEC.

Les éléments clés à prendre en considération sont l'emplacement exact des points d'extrémité du VPN et la juridiction dont ils relèvent. Comme souligné dans la section 1, il est essentiel de considérer les connexions des routeurs dans le contexte du réseau du fournisseur de cartes SIM afin de comprendre la situation dans son ensemble. Nous présentons ci-dessous les architectures VPN les plus couramment utilisées.

a) Le VPN de bout en bout

Dans cet exemple, le VPN traverse entièrement le réseau, de la périphérie au cloud, généralement avec le dispositif périphérique exécutant un client VPN et le serveur d'applications hébergeant un serveur VPN pour la terminaison de la connexion VPN.

Dans cet exemple, il n'y a aucune dépendance vis-à-vis du fournisseur de carte SIM pour que cela fonctionne, sauf que le type de VPN choisi doit être autorisé à traverser l'APN de l'opérateur. Cela peut constituer un obstacle majeur qu'il convient de vérifier auprès de votre fournisseur de carte SIM avant d'essayer d'établir une connexion.

Dans la pratique, ce type de connexion utilise généralement un dispositif VPN placé juste devant le serveur d'applications afin de fournir une démarcation logique des composants du réseau.

De nombreux « objets » ne peuvent pas fonctionner comme point d'extrémité VPN (par exemple, un appareil RS232) et, dans ce cas, l'option (b) peut être utilisée.

Conseil n° 6 : certains APN peuvent bloquer certains ports ou protocoles spécifiques, exactement comme le ferait un pare-feu. Vérifiez auprès de votre fournisseur de carte SIM si c'est le cas avec son APN.
b) Le routeur vers le VPN cloud

Dans cet exemple, le VPN traverse le routeur vers le cloud (serveur d'application ou appareil VPN dans le cloud), ce qui, à bien des égards, constitue une utilisation plus logique des ressources que (a) : cela permet à l'objet d'être aussi bon marché/simple que possible et au routeur de prendre en charge l'élément de communication.

Dans de rares cas, vous vous heurterez à des auditeurs de sécurité particulièrement pointilleux qui insisteront sur le fait que, dans l'architecture ci-dessus, les données transitant par le câble entre l'objet et le routeur ne sont pas protégées par un VPN et constituent donc un risque pour la sécurité. Voici quelques moyens courants de répondre à cette objection :

  • Mettez en place une sécurité au niveau de la couche application à la place ou en complément d'un VPN afin que les données Thing to Router soient cryptées.
  • Suggérez que si quelqu'un a physiquement accès au routeur et au câble d'interconnexion, vous avez alors « d'autres chats à fouetter » que de vous inquiéter de savoir s'il peut voir vos bits et octets !

Cela nous rappelle que la sécurité est une question de rapport coût/bénéfice et, bien que l'option (ii) soit un argument raisonnable pour certaines applications, elle a peu de chances d'être acceptable dans le cadre de projets médicaux ou militaires.

c) Solution VPN proposée par un fournisseur spécialisé dans les cartes SIM M2M/IoT

Ce type de service est généralement proposé par les MVNO qui souhaitent améliorer leur offre de services à leurs clients et prendre en charge une plus grande partie de la solution en échange d'une modique somme.

Dans la plupart des cas, un tunnel VPN IPSEC doit être établi entre l'APN du fournisseur de carte SIM et l'appareil/serveur VPN du client. Il est possible de configurer deux IPSEC pour plus de résilience, au prix d'une architecture plus complexe.

Cette solution présente les avantages et inconvénients suivants :

Avantages

  • Aucune modification ne doit être apportée au routeur ou à l'objet.
  • Le client n'a pas à envisager de résilier plusieurs VPN (un pour chaque routeur) : il lui suffit d'un seul VPN site à site depuis l'infrastructure du fournisseur de cartes SIM.
  • La configuration peut être assez facile si le fournisseur de carte SIM offre un bon service d'assistance.

Inconvénients

  • Le VPN ne couvre pas la partie aérienne de la connexion, ce qui signifie que le piratage des technologies radio pourrait laisser vos données sans protection – une objection réelle mais rarement retenue.
  • Si votre fournisseur de carte SIM fait mal son travail, tous vos appareils sont en danger !

Sécurité spécifique à Robustel

RCMS – Plateforme de gestion des appareils dans le cloud

La stratégie principale de Robustel pour sécuriser son propre service de gestion de routeurs (RCMS) consiste à tirer parti des capacités IaaS et SaaS de classe mondiale fournies par Microsoft Azure.

Un tutoriel détaillé est disponible sur la manière dont le logiciel RCMS offre une défense multicouche contre les cyberattaques grâce à une intégration approfondie avec la plateforme Microsoft Azure. Une copie du document est disponible sur demande auprès de votre représentant commercial Robustel.

RobustOS – Système d'exploitation pour routeurs

  • Traçabilité du cycle de vie des logiciels

Robustel Intégrez la sécurité à toutes les étapes du cycle de vie du développement logiciel, y compris la conception du micrologiciel, le stockage sécurisé et la traçabilité du code source, ainsi que la révision et l'analyse du code.

  • Rayon, Tacacs Plus, LDAP, authentification LDAP X509

Prise en charge de l'authentification par serveur tiers, avec des mécanismes d'authentification flexibles. L'interaction entre le client et le serveur est vérifiée par une clé partagée et tout mot de passe utilisateur transmis est crypté.

  • Fichier de diagnostic crypté

Le fichier de diagnostic exportable contient des informations de journalisation et de configuration. Il est entièrement crypté afin de pouvoir être partagé avec l'équipe d'assistance technique de Robustel à des fins d'analyse sans risque de compromission.

  • Gestion des rôles utilisateur

Gestion multi-rôles, différents rôles ont différents niveaux d'autorité de gestion. Le compte « Invité » peut uniquement voir l'état de l'appareil – en lecture seule. L'« Éditeur » peut lire/écrire mais n'a pas les autorisations de gestion des utilisateurs. L'« Administrateur » dispose de tous les droits administratifs.

  • Chiffrement TLS des e-mails

Lorsque les rappels d'événements sont notifiés par e-mail, les données sont transmises sous le protocole TLS, garantissant ainsi la confidentialité et l'intégrité des données.

  • Chiffrement TLS des données Modbus

Dans les applications industrielles, les données collectées peuvent être très sensibles. Les données Modbus RTU sont transmises à votre serveur par MQTT encapsulées dans TLS pour une sécurité maximale. Un bon exemple de sécurité au niveau de la couche application. NB – nécessite l'installation de l'application « Modbus MQTT » dans RobustOS.

  • Filtrage de paquets, pare-feu et zone démilitarisée (DMZ)

Filtrez les paquets de données par adresse IP, adresse MAC, protocole et surveillez chaque paquet IP transféré afin de garantir la sécurité du réseau interne.

Devenez partenaire de Robustel : déployez des réseaux sécurisés et résilients



La sécurité de l'IoT dépend de la solidité de sa connexion la plus faible, et les routeurs cellulaires sont souvent les plus négligés. Robustel met à votre disposition son expertise approfondie, ses produits renforcés et ses meilleures pratiques éprouvées pour vous aider à sécuriser vos réseaux sans ralentir leur déploiement. Collaborez avec nous dès aujourd'hui pour protéger votre infrastructure IoT, réduire les risques et garantir le bon fonctionnement de vos opérations connectées dans le monde entier.