<<< Previous topic - Next topic >>> |
|
Author |
Message |
kdw
Joined: 05 May 2006 Posts: 1490
|
Posted: 11.12.2017, 07:42 Post subject: Sensor-2-Cloud-Gateway … |
|
|
Hallo Forum.
Anfang 2018 kommt ein neues Gateway mit DNP/9535 auf den Markt. Es dient dazu die Daten aus einem Wireless Sensor Network (ZigBee, BLE, Thread usw.) per 4G-LTE-Schnittstelle an eine Cloud weiterzuleiten und dabei eine IT-Security zu bieten, die über die gesamte Produktlebensdauer dem Stand der Technik entspricht.
Für dieses Gateway wird die Schaltung des OEM LTE Router Board mit dem DIL/NetPC DNP/9535 an die Kundenanforderungen angepasst und durch eine Nahbereichsfunkschnittstelle erweitert. Die weiteren Änderungen sind: Die LAN-Schnittstelle ist nur noch für Servicezwecke erforderlich und wurde in das Gehäuseinnere verlegt. Ein 110-230 VAC-Netzteil befindet sich direkt im Gehäuse.
VG KDW |
|
Back to top |
|
|
kdw
Joined: 05 May 2006 Posts: 1490
|
Posted: 11.12.2017, 07:58 Post subject: Bot-Net-Integration … |
|
|
Hallo Forum.
Im Smart-Home-Bereich werden immer mehr Sensor-2-Cloud-Gateways von Cyberangreifern in Botnets eingebunden. Der Gateway-Betreiber bekommt davon in der Regel nichts mit. Die Integration eines per Internet erreichbaren Gateways in ein Botnet und die missbräuchliche Nutzung erfolgen in fünf Schritten:
1. Bots suchen: Die Angreifer suchen im Internet gezielt nach Systemen mit bestimmten Merkmalen, um sie in ein Botnet einzubinden. Für die Suche kommen mehrere Verfahren in Frage. Teilweise werden zur Suche selbst auch Botnets eingesetzt.
2. Bots programmieren: Gefundene Systeme mit einer bekannten „Schwachstelle“ werden von den Angreifern mit einer Remote Control-Software als Schadcode ausgestattet, um sie später von einem zentralen Command-and-Control- (C&C- bzw. C2-) Server aus fernzusteuern.
3. C2-Server erzeugen: Aufsetzen eines C2-Servers irgendwo im Internet. Von diesem Rechner aus werden die einzelnen Bots bei Bedarf als Orchester ferngesteuert. Die IP-Adresse eines C2-Servers lässt in der Regel keine Rückschlüsse auf die Identität und den Standort der Angreifer zu.
4. Ziel bestimmen: Das eigentliche Angriffsziel auswählen: Zum Beispiel ein beliebiger Server im Internet, der dann durch Überlastung für andere Benutzer (z. B. die Kunden eines Online-Shops) nicht mehr erreichbar ist.
5. Angreifen: Den Angriff per C2-Server starten und überwachen: Die Angreifer werden von einem weiteren Rechner aus über eine Remote Access-Verbindung zum C2-Server den Angriff starten, die Auswirkungen überwachen und die Attacke auch wieder beenden.
So etwas wollen wir bei unserem neuen Gateway verhindern. Daher entwickeln wir einige sehr spezielle Produkteigenschaften, um den Schritt „2. Bots programmieren“ automatisch zu erkennen und so die missbräuchliche Nutzung zu unterbinden. Auf Anfrage gerne weitere Details …
VG KDW |
|
Back to top |
|
|
kdw
Joined: 05 May 2006 Posts: 1490
|
Posted: 11.12.2017, 18:47 Post subject: Angriffsvektoren … |
|
|
Hallo Forum.
Sensor-to-Cloud-IoT-Anwendungen bieten Cyberangreifern vielfältige Angriffsvektoren. Nicht nur Gateway und Router, zum Teil mit altbekannten und immer noch unzureichend geschützten TR-069-Service-Schnittstellen, sondern auch die innerhalb einer Anwendung als Pre-Shared Key ausgeführte digitale Identität gegenüber der Cloud laden Angreifer geradezu ein, die Bausteine einer solchen Lösung missbräuchlich zu nutzen.
Es ist daher besonders wichtig, nicht nur das Sensor-2-Cloud-Gateway zu betrachten, sondern insgesamt eine sichere Lösung zu schaffen. Dabei sind u. a. folgende Punkte zu beachten:
1. Es müssen Update-Möglichkeiten sowohl für die Gateway- als auch für die Sensor-Firmware geschaffen werden. Dafür sollte das Gateway in ein Service-VPN oder eine ähnlich sichere Umgebung eingebunden werden.
2. Alle nachträglich installierten Softwarekomponenten müssen signiert werden, so dass ein nachprüfbarer Root-of-Trust existiert.
3. Bei jedem Update oder bei einer Konfigurationsänderung muss das Gateway eine SIEM-Meldung an einen zentralen Maintenance-Server schicken, damit eine missbräuchliche Nutzung umgehend erkannt wird.
VG KDW |
|
Back to top |
|
|
kdw
Joined: 05 May 2006 Posts: 1490
|
Posted: 08.08.2018, 11:50 Post subject: DIN EN 62368-1:2014 Prüfung … |
|
|
Hallo Forum.
Das MGW/946 Gateway mit den DNP/9535 hat inzwischen auch die Prüfung nach DIN EN 62368-1:2014 (Niederspannungsrichtlinie der Europäischen Union) erfolgreich durchlaufen.
Diese Prüfung soll die Produktsicherheit für elektrische und elektronische Einrichtungen im Bereich der Audio-, Video-, Informations- und Telekommunikationstechnik mit einer Nennspannung bis zu 600 V gewährlisten.
Eine besondere Herausforderung war in diesem Fall das interne 110-230 VAC-Netzteil. Dadurch wurde sogar ein besonders hitzebeständiger Kunststoff für das Gehäuse erforderlich, um die umfangreichen Vorgaben der aktuellen EU-Niederspannungsrichtlinie zu erfüllen.
VG KDW |
|
Back to top |
|
|
|