在网络和安全世界中,有一个关于被黑客入侵的赌场的着名故事,而黑客攻击背后的故事值得一个不舒服的笑声。经过一些挖掘,发现犯罪者进入的点是物联网设备。具体来说,刚刚安装的鱼缸中的加热器是其网络安全的弱点,使黑客能够访问赌场的网络并最终泄露赌场的信息 - 诸如高滚轮,客户端和其他操作数据等信息,所有这些都通过鱼缸加热器复制。
这个故事的刻面道德是“当你的鱼缸向其他国家发送千兆字节的数据时,这是一个问题。实际的教训是,您应该能够标记任何不遵循其“正常”活动的设备。
过去,该问题通常由组织中的人员解决,他们制定政策,规定所有连接到网络的设备都需要通过严格的筛选流程。如果你曾经是其中的一部分,你也知道,这是有效的,直到一个名字后面有正确字母的人覆盖了“他们”设备的政策,然后它很快就会崩溃。
对于这样的实例,解决方案是从网络端构建和规划这些物联网设备。美国联邦政府最近宣布了一项新计划,以帮助保护物联网设备,但需要时间来让每个人都快速掌握最新信息,认证是自愿的,因此将要求企业根据获得认证的安全设备来设计网络。正如大多数网络工程师所知道的那样,不允许这些设备进入网络也不是一种选择。
虽然这项任务可能令人生畏,RUCKUS1 Networks有一些途径可以帮助网络架构师和管理员处理这些并非真正设计用于企业情况的设备。
Wi-Fi IoT 设备
使用 RUCKUS 网络时,Wi-Fi IoT 设备是最简单易用的 IoT 设备。每个RUCKUS控制器平台都有一个名为Dynamic Pre-Shared Key的解决方案,或DPSK - 一个RUCKUS创新在十年前仍然很强劲。DPSK 允许设备管理,就像您在使用 Dot1X 解决方案但使用 WPA2-Personal 时看到的那样。每个设备都为单个 SSID 分配自己的密码,并使用该密码加入网络。作为此配置的一部分,可将每个设备分配给特定的 VLAN。
老实说,没有人想要一个VLAN上的鱼缸加热器,可以访问企业数据库。这听起来很糟糕,只是输入出来我也很抱歉,如果密码短语 8ndnsis%JGMDskmlmwpo%^!@ 是你的,你可能想现在更改它。一旦物联网设备被放置在特定的 VLAN 上,无论是单独还是作为更大的 IoT VLAN 的一部分,网络配置现在都可以用来使用不同的隧道配置隔离该 VLAN,以及使用防火墙来管理这些设备允许与之通信的内容,此外还可以监控这些设备的网络流量,以确保它们不与他们没有业务通信的随机国家/地区交谈。
我们可能无法修改设备的编程方式,但可以使用现有方法来控制和监控设备。
关于DPSK的另一件事是,如果一些邪恶的人在鱼缸周围闲逛,决定偷窃加热器来访问您的网络,您可以简单地从网络控制器中删除DPSK,设备失去了对网络的所有访问,并且密码现在是无用的。
如果您使用的是 Cloudpath,只需使用内置管理功能撤销 DPSK。
DPSK 适用于任何支持 WPA2-Personal 的设备,使其在 Wi-Fi 中得到普遍支持。最后,物联网设备花了将近十年的时间才将5 GHz无线电添加到他们的设备中,因此WPA3支持甚至不在他们的路线图上。
“其他”物联网设备
DPSK 非常棒,因为几乎所有 Wi-Fi 设备都支持它,但 ZigBee、BLE 和其他 802.15.4 设备等非 Wi-Fi 设备却不支持;这就是对物联网设备的恐惧所在。与Wi-Fi设备不同,一旦它们像我们所有其他设备一样在网络上,就可以进行跟踪和管理,大多数物联网设备在802.11个标准之外运行,因此无法以相同的方式管理和跟踪它们。这就是RUCKUS物联网套件,更具体地说RUCKUS物联网控制器(RIoT)发挥作用的地方。
RUCKUS Wi-Fi 5、6 和 6E AP 都已准备好满足您的物联网网络需求。Wi-Fi 5 AP 需要插入 AP 的 USB 端口的 USB 无线电,而 Wi-Fi 6 和 6E AP(例外是 R350)都包含 IoT 无线电。这种内置功能意味着许多人已经在其网络中获得了物联网支持,即使他们没有意识到这一点。
RIoT 控制器用于 IoT 设备,WLAN 控制器用于 Wi-Fi,这是一个管理和控制网络中出现的 IoT 设备的地方。一旦您的物联网接入点同步到RIoT,网络管理员现在就可以控制和查看他们的物联网设备,这是大多数人从未见过的。IoT 无线电的控制方式与 WLAN 管理员用于管理 Wi-Fi 无线电的方式相同。物联网设备具有加入网络的多步骤过程,并且可以将其放入自己的物联网VLAN中,就像Wi-Fi设备一样。
准备就绪后,每个无线电都可以进入扫描模式,并且当发现设备时,它们可以被批准加入网络或列入黑名单,以适合该设备为准。
如果此手动流程看起来压倒性,则可以上传包含您预期物联网设备的 CSV 文件,将其放入预先批准的列表中。一旦发现,它们将自动添加到控制器中。在此过程中,还可以定义标签和预期的 IoT AP。
需要记住的是,安全与轻松的入职从未真正协调一致。当安全是优先事项时,入职和管理将始终具有一定的时间成本。我们这里的目标不是从网络管理员看板中删除任何工作,而是帮助他们管理它。
与 Wi-Fi IoT 设备和 DPSK 一样,如果设备脱机,该设备将在 RIoT 仪表板中显示为脱机,然后可以根据需要从网络中调查和删除/列入黑名单。
RUCKUS 物联网控制器仪表板
任何安全专业人员都会告诉您,保护网络的第一步是了解连接到网络的内容,然后控制这些设备。RUCKUS 物联网控制器提供安全专业人员所需的控制和可见性,以及网络专业人员所需的控制和可见性。从控制设备到将其从网络中移除,再到管理 VLAN 和代码升级,RIoT 都可以成为运行平台,可以勾选安全团队的所有复选框。
虽然RUCKUS网络在物联网设备或这些设备的制造商中内置的安全性方面无法控制市场,但我们至少可以帮助网络运营商在将这些设备引入其操作环境后管理,控制和保护这些设备。
以下资源可以帮助您了解有关 RUCKUS 网络解决方案的更多信息:
- 带集成物联网无线电的接入点
- 物联网就绪 AP,可使用插入 USB 端口的外部物联网无线电
- RUCKUS SmartZone或RUCKUS One等控制器平台。
- RUCKUS 物联网控制器
要了解有关 RUCKUS 网络物联网解决方案的更多信息,您可以访问产品页面或联系我们,让您的组织帮助您充分发挥物联网可以为您做什么的潜力。
