我有两种实现物联网设备的方案,我想知道哪一个具有最大的安全性?因为我是程序员而且我对网络问题有点了解
Main Goal 是实施物联网设备,并从本地网络外部进行修改和配置 . 假设我们在智能家居中有物联网设备,我想通过改变一些参数来改变其外部配置 .
现在:
First Scenario: 在下图中,左侧显示红色 .
编写我们自己的Web服务并通过设置“静态IP”和使用“端口转发”SSH来访问它以获得高安全连接 .
在这个故事中,用户在智能家居外部的地址栏上写静态IP并连接到Web服务并可以进行修改
现在我的问题是,这种方式是否会对我们的防火墙和网络造成危害?如果这种方式永久打开防火墙端口?如果所有用户都可以发送请求,那么我们是否有可以攻击其他设备的攻击者?
我们可以让我们的身份验证具有更高的安全性 .
Second Scenario: 在下图中,右侧显示蓝色 .
在这种情况下,我们使用来自IoT公司的API,而不是向IoT公司编写我们自己的服务和用户发送请求,而在我们的智能住宅中,我们有来自物联网公司的网关,例如每1秒发送一次请求以检查是否有任何关于物联网公司服务器与否,如果有的话,进行修改 .
因为在这种情况下Iot公司可能会使用DHCP IP而不是静态IP,是否可能对防火墙造成一些伤害?
因为我不确定,但我认为防火墙会在任何请求时打开,所以这种方式可能更安全吗?
2 回答
Mahsa的描述不够详细,所以我决定添加更多信息......否则这将是一个"what tastes better: a pear or an apple?"讨论 .
更精确的场景
first scenario (S1) 使用端口转发 . 这个端口可以被互联网上的每个人使用 . 安全性基于该Web服务的软件和实现 . 必须保持良好和定期更新 .
Second scenario (S2) 从互联网服务器进行轮询,由制造商(飞利浦)维护 . 本地IoT网关向Internet中的philips-hue服务器发起TCP / HTTP-rest-request请求 . 防火墙/ NAT根本不需要更改 . "Open Port whenever we need"不是100%正确,它是一个NAT防火墙,只接受来自飞利浦服务器(SPI)请求目的地的数据包
Please read 关于网络,防火墙和NAT在做出假设之前如何在大多数环境中工作:
网络:OSI层3,4,7(目前我们谈论IPv4 ;-)
Firewall/SPI: Stateful Package Inspection
NAT: Port-restricted cone or symmetric
安全问题
在你的情况下"safety"是什么?您必须定义要保护的内容 . 在这种情况下,它是本地网络,因此不可能入侵 . 详细问题"what is more safe?"是:
A1) 端口转发或 A2) 端口限制/对称NAT和SPI?
B1) 模式用户⇒防火墙⇒自己的网络服务⇒网关或 B2) 模式用户⇒飞利浦服务器 ⇐ 防火墙 ⇐ 网关
C1) 安全性基于较高层5-7或 C2) 基于较低层3 4
方面
图片应该告诉"own web service"可以 NOT 直接与IoT设备通信 . 它必须通过IoT设备与网关/网桥进行通信 . 这意味着您必须设置与IoT网关并行的本地Web服务器 .
D) 这样的本地网络服务的成本,精力和维护......是否真的需要一个安全的场景?
请将答案发送给A-D
一些论点会很好 . 也许您还发现其他一些安全问题E,F,G,H ......让我们知道 . 谢谢弗兰克
如果可能,我建议不要在物联网设备上打开任何端口 . 问题表明,这确实产生了很多担忧 .
相反,在您的情况下让IoT设备轮询Web服务以获取指令是否有意义?如果设备对传入请求具有高响应性,则可以使用Web套接字或长轮询 .