Sicheres Onboarding von IoT-Geräten in IT-Netzwerke
Ausgabe 02-2022:
alle Artikel online lesen
als PDF lesen
Gebäudeeigentümer und Büromieter verwandeln Arbeitsplätze derzeit innerhalb kurzer Zeit in energieeffiziente Smart Spaces. Dieser Trend verschärft ein bereits seit Langem bestehendes Problem im Bereich der Gebäudesteuerung: die Einbindung IP-basierter EnOcean-Controller, Displays und Protokollwandler in die abgesicherten IT-Netzwerke von Gebäuden. Eine Reihe aufsehenerregender Sicherheitsverletzungen, die von IoT-Geräten ausgingen, hat Chief Information Security Officers (CISOs) in Alarmbereitschaft versetzt. Immer häufiger müssen IoT-Geräte vor der Einbindung in IT-Netzwerke einer Sicherheitsprüfung unterzogen werden.
Doch selbst die Bereitstellung von als sicher befundenen Geräten im Netzwerk gestaltet sich mitunter aufwändig. Bei Geräten, deren Benutzeroberfläche nicht für IT-Netzwerke entwickelt wurde, fehlen teilweise die entsprechenden Konfigurationsoptionen. Auch die Verwaltung der Sicherheitszertifikate kann zu einer unlösbaren Aufgabe werden: Nur Geräte im Netzwerk erhalten ein Sicherheitszertifikat – doch ohne ein installiertes Zertifikat können Geräte nicht ins Netzwerk eingebunden werden. Manche Unternehmen lösen dieses Problem, indem sie vertrauliche Zugangsdaten über ein ungeschütztes offenes Netzwerk versenden, was jedoch ein enormes Risiko darstellt.
Device Provisioning Protocol für sicheres Onboarding
Das Device Provisioning Protocol (DPP), das von der Wi-Fi Alliance unter dem Namen „Easy Connect“ zertifiziert wurde, ist ein Standard, der es erlaubt, Geräte auf unkomplizierte Weise mit einem sicheren Netzwerk zu verbinden – und zwar mithilfe einfacher Methoden wie QR-Code-Scans. Diese Lösung ersetzt den WPS-Standard (Wi-Fi Protected Setup), eine sehr beliebte Onboarding-Lösung, die leider erhebliche Sicherheitslücken aufweist. Diese sind teilweise auf die Verwendung von unzureichenden und veralteten WLAN-Verschlüsselungsverfahren wie WPA (Wi-Fi Protected Access) zurückzuführen.
Das DPP-Protokoll schließt diese Lücke, indem es WPA3 einsetzt und die Handhabung von Zertifikaten verbessert. Damit stellt es eine robuste, sichere und skalierbare Konfigurationsmöglichkeit von IoT-Geräten bei kommerziellen, industriellen, behördlichen und privaten Anwendungen zur Verfügung. Dabei unterstützt DPP auch ältere WPA2-Verbindungen.
DPP kann für Geräte mit und ohne Benutzeroberfläche verwendet werden. DPP-fähige Geräte verfügen über ein mit elliptischen Kurven generiertes öffentlich-privates Schlüsselpaar und lassen sich mit unterschiedlichen Methoden in Netzwerke einbinden. Die gängigste Vorgehensweise ist das Scannen eines QR-Codes an den Geräten mithilfe eines Smartphones. Der QR-Code enthält den öffentlichen Schlüssel sowie optional die MAC-Adresse und die Seriennummer des jeweiligen Geräts.
DPP nutzt die Elliptische-Kurven-Kryptografie von WPA3, um mit kleineren Schlüsseln und weniger Rechenleistung eine bessere kryptografische Stärke zu erreichen, als dies zuvor möglich war. Dies senkt wiederum die Gerätekosten.
Das Onboarding eines IoT-Geräts im IT-Netzwerk über DPP erfolgt in vier Schritten, wobei der gesamte Vorgang in der Regel nur wenige Sekunden dauert:
- Bootstrapping: Das Gerät übermittelt einen öffentlichen Schlüssel, der an einen eindeutigen privaten Schlüssel gebunden ist.
- Discovery: Nicht konfigurierte Geräte werden von der DPP-fähigen Netzwerkinfrastruktur erkannt.
- Authentifizierung und Konfiguration: Per Request-Response-Prozess werden das Gerät und der Konfigurationsdienst authentifiziert. Anschließend wird dem Gerät eine Sicherheitsrolle und eine Gruppe zugewiesen.
- Netzwerkzugriff: Ein Aruba Wi-Fi Access Point oder ein kabelgebundener Controller signalisiert die Verfügbarkeit der DPP-Netzwerkfunktion. Das Gerät und das Netzwerk tauschen die Schlüssel aus und erstellen unabhängig voneinander einen paarweisen Hauptschlüssel (Pairwise Master Key, PMK). Wenn beide denselben PMK erzeugen, wird das Gerät zum Netzwerk zugelassen.
Problem gelöst
DPP kann sowohl über WLAN als auch über Ethernet genutzt werden und deckt so den Großteil der Anwendungen in intelligenten Gebäuden ab. Mobilfunkfähige Geräte können auch die WLAN-Zugangsdaten per DPP empfangen und zwischen Mobilfunk- und WLAN-Netzwerken wechseln. Die DPP-QR-Codes lassen sich einzeln oder im Batch scannen. Ein Einzelscan ist ideal für kleinere Standorte und beim Austauschen eines Geräts. Batch-Scans eignen sich insbesondere für größere Projekte und die Inbetriebnahme neuer Standorte. Schließlich entfällt dank DPP die Notwendigkeit, Sicherheitsdaten über ein offenes Netzwerk zu konfigurieren, wodurch eine erhebliche Sicherheitslücke geschlossen wird. Da keine manuellen Schritte mehr erforderlich sind, kann die Installation schneller und ohne IT-Fachkräfte erfolgen.
Zusammenfassung
DPP ist das Mittel der Wahl, um IP-basierte EnOcean-Controller, Displays oder Protokollwandler in ein sicheres IT-Netzwerk einzubinden. Es beschleunigt die Installation, schließt Sicherheitslücken früherer Bereitstellungssysteme und erfüllt dank Verwendung von WPA3 und anderen Sicherheitsmechanismen auch die hohen Anforderungen von CISOs.