The IoT-Revolution Security für das Internet der Hippies
Dror-John Roecher - @droecher
Lead Consultant – Secure Information
IoT Revolution
Security Architektur für das
2
Internet der Hippies
© COMPUTACENTER 2014
Dror-John Röcher
Computacenter
DAS HIPPIE NETZ
VERTRAUEN & ROBUSTIHEIT
“the Internet originally developed among a
community of like-minded technical
professionals who trusted each other”
[RFC 3724]
“The top level goal for the DARPA Internet
Architecture was to develop an effective
technique for multiplexed utilization of
existing interconnected networks.”
David D. Clark, 1988
http://ccr.sigcomm.org/archive/1995/jan95/ccr-9501-clark.pdf
3
© COMPUTACENTER 2014
ARCHITEKTUR PRINZIPIEN
Survivability in the
Face of Failure
Robustness Principles
End-to-End Principle
4
© COMPUTACENTER 2014
NEUE SPIELER BETRATEN DIE SZENERIE
UND DIE UNTERNEHMEN FÜHREN DIE MIDDELBOXEN EIN
Unternehmen
•  Schützen Ihre Assets
mit Netzwerk-Security
5
© COMPUTACENTER 2014
Hacker
•  Spielen mit fremden Assets
IPS
NAT
Firewall
RFC 3234 (2004)
Taxonomy and Issues of Middleboxes
"middleboxes" - defined as any intermediary box performing
functions apart from normal, standard functions of an IP router
on the data path between a source host and destination host .
6
© COMPUTACENTER 2014
Middleboxes sind mächtige Security-Werkzeuge
! Ersetzen Vertrauen durch Reputation
! Mail/Web
! Filtern Pakete
! Schalten „Leitungen“
! „Stateful Firewall “
! Authentisieren
! Isolieren
! Durchsuchen
Pakete/Leitungen
nach „bad stuff“
7
© COMPUTACENTER 2014
Widerspruch
zum Ur-Internet
Survivability in the Face of Failure
Robustness Principles
End-to-End Principle
8
© COMPUTACENTER 2014
Aber jetzt kommt ja
das IoT und damit
ändert sich Einiges
© COMPUTACENTER 2014
M2M Communication
( Not M2FW2M )
IPv6
TCP -> MPTCP
HTTP -> HTTP/2
https://blogs.cisco.com/ioe/beyond-mqtt-a-cisco-view-on-iot-protocols/
Protocol
CoAP
XMPP
RESTful HTTP
MQTT
Transport
UDP
TCP
TCP
TCP
Messaging
Request/
Response
Publish/Subscribe Request/
Request/Response Response
Publish/Subscribe
Request/Response
2G, 3G, 4G
Suitability
Excellent
Excellent
Excellent
10
© COMPUTACENTER 2014
Excellent
PROTOKOLL-IMPLIKATIONEN
DES IOT
! IPv6
! End-to-End-Prinzip per
Design
! HTTP2/SPDY
! TLS per Default
! Variable / Flexible Header
! Mehrere SPDY-Stream
über eine TCP Verbindung
! Anderer Adress-Umgang
! Server Push
! /64 für „Endpunkte“
11
! MPTCP
© COMPUTACENTER 2014
SPDY (+MPTCP)
Nicht Multiplexed
Warum Middelboxen scheitern…
Multiplexed:
War
um M
iddel
boxe
n sch
eit
ern
…
12
© COMPUTACENTER 2014
3G/4G
WLAN
Ethernet
DIE KONSEQUENZEN
! Einige Middlebox-Aufgaben werden schwieriger / komplexer in der Umsetzung
! Reputation
! Stateful Stuff (nicht nur TCP -> auch z.B. Neighbor Cache Themen auf L2)
! Einige Mifflebox-Aufgaben werden sich so gar nicht mehr realisieren lassen
! Content-based Security & Signature-based Security
! Encryption
! Header-Foobar
! [IPv6 IPS Evasion aktuell viel diskutiert]
! Vermutlich müssen wir ein wenig umdenken
13
© COMPUTACENTER 2014
DAS UMDENKEN
BACK TO THE ROOTS
! Verlagerung von Security-Funktionen zum Endpunkt
(Vorsicht -> Endpunkt mit limited Computing & Battery Power)
! Identity, Encryption
! Trust-Model, Endpoint-Firewall
! Advanced Endpoint Security
! Beim Einsatz von Netzwerk/Middlebox-Security
! Erst Decryption / Sanitization / Scrubbing
! Lasst uns State vergessen
! Vielleicht einfach mal wieder mit stateless ACLs arbeiten?
! Ist auf dem Netzwerk dann ACL vielleicht einfach „good enough“?
14
© COMPUTACENTER 2014
Ende – Vielen Dank
@droecher
Mit freundlicher Unterstützung von
-  @WEareTROOPERS
-  Enno Rey - @insinuator
-  Carsten Dibbern, Computacenter
15
© COMPUTACENTER 2014
Thank you.