Så vad gäller när man vill skydda sin information på bästa sätt och hur går man tillväga för att bygga ett optimalt trådlöst nät? I vår bloggserie om säkerheten i de trådlösa näten kommer vi att fokusera på säkerhet i industriella trådlösa nät för M2M kommunikation. Vårt fokus ligger på kommunikation såväl via GSM/3G som i lokala nät med olika trådlösa standarder. Vi kommer att fördjupa oss i två typer av nät nämligen nät för M2M-kommunikation (Machine to Machine) samt WSN (Wireless Sensor Networks), trådlösa sensornätverk.
Hur skapar vi säkra lokala nätverk?
För den som planerar system för M2M kommunikation finns flera aspekter att ta hänsyn till än bara krypteringen. Att skapa en tillförlitlig radiomiljö i industrin kräver idag en del kartläggning och fundering innan man skrider till verket. De tre viktigaste sakerna att ta hänsyn till är störningar i luften, risken för angrepp från utomstående och skillnader mellan trådlösa standarder för trådlösa nät. Inom industrin är de trådlösa sensornätverken på frammarsch, samtidigt finns många redan uppbyggda lokala M2M nät som skall samexistera med dessa nya nät på verkstadsgolven.
Störningar påverkar säkerheten.
Lokala M2M nätverk och trådlösa sensornätverk bygger på trådlös överföring via radio som kommunicerar lokalt med andra enheter. I dessa lokala radionät finns en risk för störningar. Då M2M kommunikation ofta är beroende av hög tillgänglighet i överföringen, kan därför en störning vara en säkerhetsrisk.
Detta är något som Mats Björkman, professor i datakommunikation vid Mälardalens högskola, utreder ordentligt. Han leder två forskningsprojekt som skall möjliggöra säker och pålitlig automationskommunikation över trådlösa nät. Projekt Gauss tjänar till att se hur kommunikationen påverkas i elektromagnetiskt störda miljöer. Projekt Tesla, det andra projektet, syftar till att ta fram beräkningsmodeller för förutsättningarna för kommunikation i olika industriella miljöer. Genom att modellera karaktäristiken för den kanal som används för trådlös överföring (primärt 2,4 GHz-området) hoppas man kunna förutsäga kommunikationsprestanda som till exempel förväntad bandbredd, fördröjning och risken för att ett paket inte tar sig fram.
Trådlösa nätverk finns i många olika utföranden och standarder, men merparten av näten använder 2,4 GHz bandet. Dessa standarder använder frekvensspektrat på litet olika sätt, antingen används en frekvens för sändning och mottagning, alternativt väljer och vrakar nätverket bland de tillgängliga kanalerna för att hitta en ledig kanal att sända på.
Om man vill använda fasta frekvenser måste man redan innan installation göra en adekvat frekvensplanering. Under hela systemets installationstid måste man sedan följa upp att det inte tillkommer andra sändare inom nätverkets område. Alternativet är att välja en standard som använder frekvenshoppning. ”Sensornätverk som använder sig av frekvenshoppning är ganska bra på att motstå störningar, såväl från andra nätverk som rena elektromagnetiska störningar” berättar Mats Björkman, professor i datakommunikation vid Mälardalens högskola.
Men vad händer om man fyller radiospektrat med frekvenshoppande utrustningar, blir det inte återigen risk för kollisioner? Kan man styra detta på något sätt? När det gäller frekvenshoppning så finns det inte mycket man kan göra. Hoppen delas in i sekvenser och olika standarder använder olika hoppsekvenser, men det är inte givet att man som användare kan styra vilken hoppsekvens som används. Om två närliggande förbindelser använder samma hoppsekvens kan det innebära problem om sekvenserna hamnar i synk med varandra, d.v.s. att samma frekvens används av båda sändarna samtidigt. Viktigt är återigen, kartläggning och analys innan installation. Med sin forskning hoppas Mats att de trådlösa nätverkens prestanda i industrin skall öka. Mats rekommenderar idag till eftertanke om säkerhetskraven är höga ”Även i en väldigt störd miljö brukar det gå att förr eller senare få fram ett meddelande, men då får tillämpningen inte ha alltför korta svarstidskrav.”
Säkerheten moment 22.
M2M har ett moment 22 förhållande till säkerhet. Systemen är ofta beroende av hög säkerhet samtidigt är tillgängligheten mycket viktig och verksamheten får inte bli stillastående eller fördröjd till följd av störningar eller av säkerhetssystem som fördröjer kommunikationen. Kraven på systemen skiljer sig från den administrativa sidan, där man kan acceptera störningar och komplexa säkerhetssystem som drar ned systemets prestanda. Vi kan acceptera att arbetspasset avbryts för att ladda hem en uppdatering, något som är helt otänkbart i ett produktionssystem. Resultatet är att den tekniska sidan ligger efter då säkerhet har definierats utifrån driftssäkerhet och tillgänglighet snarare än datasäkerhet. Om ett kommando inte besvaras kan det få konsekvenser. Processer kan heller inte stoppas för att ladda ned den senaste antivirusprogramvaran.
I höstas gjorde SVTs Uppdrag Granskning en test av trådlösa hemmanätverk där många WLAN använde en för svag kryptering, den osäkra WEP krypteringen. Med en korrekt vald kryptering blir näten säkrare och informationen blir svårare att lyssna av.
-I M2M kommunikation används kryptering för att förhindra att information kan läsas och/eller ändras av obehöriga. Genom val av beprövade krypton uppnås bra säkerhet. Med en bra implementation av kryptering, nyckelhantering och autentisering, så erhålls en bra säkerhet. För att uppnå ett fungerande nät krävs att man dessutom möter kraven på driftsäkerhet, tillförlitlighet och enkelt användande. Först då får man en godtagbar och användbar säkerhet som varken stör eller negativt påverkar den verksamhet som utnyttjar M2M, berättar Leif Åkesson på Informasic. Det gäller alltså att ha alla bitar i balans.
Vad gäller kryptering så har små sensornoder ibland inte tillräckligt med processorkraft eller energi för att handa tunga krypteringar, exempelvis sådana som bygger på system med publika nycklar. Det gör att små noder är hänvisade till symmetriska krypton med hemliga nycklar, vilket i sin tur gör att nyckelhantering kan bli ett problem: hur skall den lilla sensornoden få sin hemliga nyckel på ett säkert sätt?
I de lokala näten är det ofta fråga om tidskritisk överföring av information, att en överföring har en fördröjning är inte att tänka på. Jämför man M2M eller WSN nät med de nät som används för administration så är tidsfördröjningar oftast inte ett problem i de administrativa systemen. Utformningen av M2M och WSN systemen å andra sidan blir en balansgång mellan vilken säkerhet som kan implementeras och vilken tid en överföring får ta.
Standarder har olika säkerhetsnivå.
Lokala trådlösa M2M nät kan utformas runt någon av de förekommande standarderna som 802.11 a/b/g/n (WLAN), Bluetooth, Zigbee och WirelessHART. WirelessHART är den standard som anses säkrast av dessa, den har en 128 bitars AES kryptering som inte går att stänga av. Det bygger på ”end-to-end” sessioner som säkerställer att överförd information bara kan dekrypteras av rätt mottagare. WirelessHART har en frekvenshoppande radioteknik med 16 kanaler, den har dessutom MESH teknik, vid störningar tar signalen en annan väg. WirelessHART skall kunna fungera klanderfritt, till och med så nära en WLAN basstation som 1 meter.
Mats Björkman, professor i datakommunikation vid Mälardalens högskola, har en del erfarenheter av WirelessHART i praktiken ”Vi har gjort en del tester som visar att WirelessHART är ganska bra på att få fram trafik. WirelessHART byter frekvens mellan paket (ett långsamt alternativ till frekvenshoppning), så om en frekvens är väldigt störd så kommer omsändningen att gå via en annan kanal. Genom parallella överföringar via alternativa vägar ökar också robustheten. Däremot är WirelessHART designat för datainsamling från sensorer, och dagens standard ger inte alls bra resultat om man både vill samla in data från sensorer och styra aktuatorer genom samma nät. De fina tidsegenskaperna gäller bara data på väg åt åt ena hållet i nätet.”
En viktig aspekt av kommunikation via GSM och 3G nätet är att all kommunikation går okrypterat i operatörens nät, vid M2M kommunikation rekommenderar vi därför att överföringen krypteras, något som även Multicom Security ser som en viktig aspekt.
”En bra början är att inte lämna M2M terminaler öppna för åtkomst från Internet, de skall ligga bakom en brandvägg. De flesta M2M-utrustningar har dock ingen inbyggd brandvägg, då får trafiken styras över en central brandvägg hos kunden eller hos en serviceprovider. Ett exempel på en sådan lösning är Multicom Security med vår tjänst Mobiflex” säger Johnny Olsen på Multicom.
Johnnys tips för säker M2M kommunikation via GSM och 3G är att se till att terminalerna inte är direkt nåbara från Internet. Att styra trafiken genom en brandvägg ger bättre säkerhet. Andra lösningar kan vara att kryptera trafiken, även om den vanligaste lösningen är genom att skicka trafiken genom en så kallad VPN-tunnel. Då skapas en säker förbindelse mellan två anslutna enheter. De flesta moderna M2M kommunikationsprodukter för GSM/GPRS och 3G har stöd för detta i hårdvaran, inga anpassningar av den egna lösningen krävs.
Om stöd för kryptering i M2M-kommunikationen saknas går det också att i efterhand komplettera enheterna i nätet med en krypteringsmodul. Därmed skapas en krypterad och skyddad förbindelse hela vägen från sändare till mottagare, på samma sätt som med en VPN tunnel. Ingen utomstående kan då längre avlyssna eller manipulera kommunikationen. Alla enheter autentiseras, dvs sändare och mottagare vet alltid att det är rätt enhet man kommunicerar med. Skulle någon försöka byta ut en enhet och ersätta den med en annan, kommer kommunikationen inte längre att fungera.
I framtiden kommer trenden att gå mot ett ökat säkerhetstänkande menar Johnny Olsen på Multicom Security. ”Trenden går mot differentierade lösningar som tar hänsyn till hotbild och antal enheter. Bättre skydd ända ute i M2M-utrustningarna med inbyggda brandväggar och stöd för autentisering och kryptering samt generiska lösningar med många enheter där man eftersträvar en centralt kontrollerad säkerhetslösning för enkel administration och konfiguration av utrustning i fält.”