物联网安全的路由器障碍路径怎样设计

没有关于物联网安全的糟糕状态的介绍，没有单一的信息安全会议，这是新的传统智慧。虽然这对于希望为自己命名的研究人员来说是一个福音，但对于拥有连接设备的任何人来说，这种令人遗憾的事情绝对没有益处。

尽管如此，物联网设备所有者并不是唯一厌倦的人。紧随其后的是Duo Security的Duo Labs经理Eldridge Alexander。更好的是，他有一个计划和经验，可以提供一些可信度。

在担任Duo Security现任职务之前，Alexander在Google和Cloudflare担任过各种IT职位。对他而言，将过去和现在的IT工作联系在一起的直通线是将所有网络安全控制与零信任原则相结合所带来的安全收益。

亚历山大告诉LinuxInsider，“在过去的几年里，我基本上一直生活并且没有信任。”

简而言之，“零信任”的观点是，在最大可能的范围内，不应该信任设备是安全的，并且它们应该被视为这样。零信任可以通过许多方式表现出来，因为它不是一种单一的技术作为指导原则，但是这个想法是让自己对任何一个设备的妥协都尽可能无懈可击。

在他过去的几个雇主中反复出现的主题，这可以理解地在亚历山大留下了印记，以至于它积极地渗透到他在家庭网络上的物联网安全计划中。他对零信任的热情恰逢家庭网络。

虽然消费者的物联网采用速度正在加快，但是至少消费者网络技术还没有考虑到零信任，亚历山大观察到，我们已经到了我们无法负担的地步。

他说：“调查不是真正的新威胁，但物联网和家庭网络中的威胁数量增加，我一直非常有兴趣了解如何将这些非常注重企业的原则和理念应用于家庭网络。”

在亚历山大的家庭物联网安全架构中，他在今年春天在芝加哥举办的THOTCON黑客大会上公布，零信任主要采用网络细分的形式，这是企业网络长期依赖的一种做法。

特别是，他主张路由器制造商为家庭用户提供一种方法，可以自动创建两个单独的SSID（每个段一个），也可以使用简单的用户驱动GUI，类似于基本网络配置中已包含的SSID（想想你的） 192.168.1.1 Web GUI）。

一个是桌面和移动终端用户设备的独家主机，而另一个只包含家庭的物联网设备，而且不会满足两个人的需求。

至关重要的是，亚历山大的解决方案在很大程度上绕过了物联网制造商本身，这是设计的。这不是因为物联网制造商应该免于改进他们的开发实践 - 相反，应该期望他们尽自己的一份力量。这是因为他们没有被证明能够快速移动以满足消费者的安全需求。

“我在这里的想法和谈话有点回应我们目前的世界状况，我对物联网制造商的任何期望都是长期的，而对于路由器制造商和家庭网络设备来说，这是更短期的，”他说。 。

亚历山大认为，路由器制造商对消费者安全需求的响应能力要高得多。但是，任何曾尝试更新路由器固件的人都可以指出这些增量补丁通常从开发人员那里得到的最小关注作为反诉。

除了这个问题，路由器制造商通常会相当快速地集成更新的802.11和WPA规范等新功能，除非为消费者提供最新和最好的技术。

“我认为很多［路由器］公司都会开放实施好的，安全的东西，因为他们知道和安全社区一样。..。..这些物联网设备不会变得更好，这些都是将对我们的网络构成威胁，“亚历山大说。

那么家用路由器在实践中如何实际实现网络分段呢？根据亚历山大的愿景，除非有信心的消费者想要自己解决并解决高级配置选项，否则他们的路由器只需在路由器设置上建立两个SSID。在描述这种情况时，他将SSID称为“Eldridge”和“Eldridge IoT”，与传统的“Home”和“Home-Guest”大会相似。

这两个SSID只是结构的初始和最可见（对消费者而言）的一部分。真正的力量来自各个SSID的VLAN部署。在这种情况下，包含IoT设备的“Eldridge IoT”将不允许其上的设备将任何数据包发送到主VLAN（在“Eldridge”上）。

同时，主VLAN可以直接与IoT VLAN通信，或者最好通过路由器本身的IoT配置和管理服务中继命令。后一种管理服务还可以处理基本的物联网设备设置，以避免尽可能多的直接用户干预。

该路由器“还将启动一个应用服务，如Mozilla Web Things或Home Assistant，或供应商定制的东西，它将使它成为代理网关，”亚历山大说。“你很少需要从主要的Eldridge VLAN进入Eldridge物联网VLAN。实际上，您只需与Web界面通信，然后代表您与IoT VLAN进行通信。”

通过专门为物联网设备创建独特的VLAN，此配置可以使主VLAN上的家庭用户笔记本电脑，智能手机和其他敏感设备与其中一个物联网设备无关。这是因为任何流氓物联网设备都将被阻止在OSI金字塔的数据链路层向主VLAN发送任何数据包，这应该没有简单的方法来规避。

亚历山大说，这将是路由器制造商的兴趣，因为它将为他们提供一个标志性功能。如果捆绑在家庭路由器中，它将为消费者提供一种安全功能，其中越来越多的人实际上将从中受益，同时以技术专业知识的方式询问他们很少。表面上它将与路由器一起打开。

亚历山大说：“我认为这对路由器制造商在拥挤的市场中脱颖而出是一种宝贵的动力。”“在Linksys和Belkin以及其他一些制造商之间，定价之间没有太多［区别］，因此提供家庭助理和安全性是他们可能使用的一个很好的区别。”

Edelson的取证主管兼伊利诺伊理工学院兼职行业教授肖恩戴维斯表示，这些提议的安全控制措施有一些承诺，但路由器制造商实际上是否会装备消费者路由器才能提供它们是值得怀疑的。

具体来说，市场上的几乎所有家用路由器设备都不支持VLAN标记，他告诉LinuxInsider，如果没有它，就不可能从主网络中分割物联网。

“消费者层面的大多数路由器制造商都不支持读取VLAN标签，不幸的是，大多数物联网设备都不支持VLAN标记，”戴维斯说。

“他们都可以在软件级别轻松烘焙该功能。然后，如果所有物联网制造商都同意用特定VLAN ID标记所有物联网设备，并且所有消费者路由器都同意将该特定标签直接路由到互联网，那对于消费者来说，这可能是让所有物联网设备自动与个人设备隔离的简单方法，“他解释道。

正如戴维斯指出的那样，VLAN标记不受任何硬件限制的限制，但仅仅是使软件能够处理它。仅仅因为制造商可以在软件中打开VLAN标记，这并不意味着说服他们这样做是件容易的事。

他说，路由器制造商不太可能愿意为他们的家用路由器系列这样做，不出所料，它与钱有关。

“很多大公司生产消费者和企业路由器，”戴维斯指出。“我认为他们可以轻松地在消费者路由器中包含VLAN功能，但通常不是为了证明功能丰富的业务级硬件的成本增加。”

大多数路由器制造商将VLAN标记等高级功能视为值得企业定价，因为它需要仔细开发才能满足企业更严格的运营要求。最重要的是，考虑到家庭用户的平均技术素养较低，路由器制造商有理由认为家用路由器中的高级用户功能根本不会被使用，或者会被错误配置。

“除了价格层面的差异，”戴维斯说，“他们也可能会想，‘好吧，如果我们烘焙VLAN和其他基于企业的功能，大多数消费者可能甚至不知道如何配置它们，那么为什么甚至打扰？ “”

戴维斯强调，除了哄骗路由器制造商实现VLAN标记以及实现亚历山大设置所需的任何其他企业级功能外，成功还取决于每个制造商在形式和功能方面的功能实现。