Sicherheit im Internet der Dinge

Damit es keine Probleme im Betrieb mit dem Internet der Dinge gibt, empfiehlt es sich, auf die Sicherheit zu achten.

Es gibt verschiedene Möglichkeiten:
1. Anschluß ins Netz per WLAN
Hier ist zu beachten, das es nur eine sehr begrenzte Anzahl von Übertragungskanälen gibt. Mit Störungen, auch bewussten („Denial of Service“ Angriffe und andere), muss man immer rechnen.

2. Anschluß ins Netz per Ethernet Kabel
Hier gibt es weit mehr Möglichkeiten, Geräte anzuschließen. Es gibt natürlich ebenfalls eine maximale Anzahl (siehe Ethernet). Störungen und Angriffe sind dafür weitaus schwieriger. Kabel und deren Verlegung verursachen allerdings Kosten.

Für die Übertragung:
1. Jeder Controller bietet eine verschlüsselte Übertragung
Da nur sehr begrenzte Ressourcen an Speicherplatz und Rechenkapazität vorhanden sind in „embedded“ Systemen gibt es schnell Engpässe. Es ist grundsätzlich möglich.

2. Alle Controller und zugehörige Server befinden sich im selben gesicherten Subnetz
Es gibt keine Port- oder andere Freigaben nach aussen, ausser zwischen dem Server und der ausserhalb liegenden Zentrale. Wenn dieser Server sich seine Steuerkommandos selbstständig abholt, ist sogar gar keine Portfreigabe nötig.

3. Controller und zugehörige Server befinden sich in verschiedenen Subnetzen in derselben Netzebene
Diese müssen auf eine sichere Weise miteinander verbunden werden. Eine interessante Möglichkeit ist die Einrichtung eines Virtuellen Privaten Netzes (VPN).

Die 3. Übertragungsvariante wähle ich für meine Konfiguration. Ich habe zwei lokale Teilnetze in meinem lokalen Netz aufgebaut. Beide verfügen über eine Fritzbox als Router. Jedes dieser Netze hat eine andere IP Adresse. Die Verbindung als VPN im Router ist leicht eingerichtet, zumal ich keinen MyFritz Account im lokalen Netz brauche. Die Hardware ist die bereits bekannte aus der Messtechnik1: Ein Arduino mit den Sensoren und Display als Publisher für MQTT, ein zweiter Arduino mit dem OLED Display als Subscriber für MQTT. Beide befinden sich im selben Netz. Der MQTT Server befindet sich im zweiten Netz. Der Test zeigt dann eindeutig: es funktioniert!
Eine Konfiguration aus zwei Routern von verschiedenen Herstellern wäre sicher interessant zu testen. Verstehen sich die VPN Vernetzungen untereinander? Oder muss dann der Server als VPN-Client des anderen Routers sich beim Sensor/Aktuator Netz anmelden? Oder die komplexere Lösung mit OpenVPN einsetzen?

Links und Literaturhinweise

BSI Grundlagen der Internetsicherheit
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Internetsicherheit/ISi-E.pdf?__blob=publicationFile

BSI Webkurs IT Grundschutz
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Webkurs/gskurs_pdf.pdf?__blob=publicationFile&v=2

Evothings:  Sichere Übertragung mit Mikrocontrollern
https://evothings.com/is-it-possible-to-secure-micro-controllers-used-within-iot/

Dirk Becker
OpenVPN  Das Praxisbuch

OpenVPN
https://openvpn.net

AVM VPN
https://avm.de/service/vpn/uebersicht/

AVM: VPN Lösungen anderer Hersteller einsetzen
https://avm.de/service/fritzbox/fritzbox-7270/wissensdatenbank/publication/show/169_VPN-Loesung-eines-anderen-Herstellers-im-Heimnetz-einsetzen/

Veröffentlicht von

Jürgen

Ich bin Software Ingenieur und habe meine Schwerpunkte in allen Aktivitäten, die zur Software Entwicklung gehören. Am längsten bin ich als Software Entwickler von Embedded Software in C tätig.