Internet Of Things: IoT Security - Rozdział 4
1. IoT składa się z czujników, siłowników i inteligentnych urządzeń, które są połączone z aplikacjami za pośrednictwem kanałów komunikacyjnych. Te kanały przesyłają dane do aplikacji do przechowywania i przetwarzania. Niektóre aplikacje IoT analizują te dane, tworząc interaktywne panele i raporty, podczas gdy inne sterują siłownikami, wprowadzając zmiany w środowisku.
Warstwa komunikacyjna IoT odpowiada za transport danych, który często odbywa się w chmurze. Bezpieczeństwo sieci jest kluczowe, ponieważ dane w ruchu mogą być przechwytywane, uszkodzone lub zmienione, co może doprowadzić do awarii całego systemu IoT. Podatności warstwy komunikacyjnej są pokazane na rysunku.
2. Wiele węzłów czujników IoT jest ograniczonych pod względem zasobów, mocy i przetwarzania. Oznacza to, że kanały komunikacyjne będą istnieć między urządzeniami o niskim zużyciu energii a urządzeniem bramkowym. Bramka tłumaczy ruch sieci czujników bezprzewodowych (WSN) na ruch protokołu IP, który może podróżować po tradycyjnych sieciach danych. Niektóre WSN mogą składać się z setek, a nawet tysięcy węzłów czujników. Te węzły mogą być zasilane tylko z baterii i mają bardzo ograniczoną zdolność przetwarzania. Ze względu na ograniczenia mocy, te węzły mogą używać tylko bardzo krótkozasięgowych radiostacji. W takim przypadku używane są protokoły, które pozwalają na przesyłanie danych z czujników od węzła do węzła, aż dane dotrą do bramki.
3.
- WBAN (Wireless Body Area Network) - Sieć łącząca niezależne węzły (np. czujniki i siłowniki), które są umieszczone na ubraniach, na ciele lub pod skórą osoby. Sieć ta zwykle rozciąga się na całe ciało człowieka, a węzły są połączone za pomocą bezprzewodowego kanału komunikacyjnego.
- WPAN (Wireless Personal Area Network) - Typ sieci osobistej, która wykorzystuje technologie komunikacji bezprzewodowej do komunikacji i przesyłania danych między urządzeniami użytkownika.
- WHAN (Wireless Home Area Network) - Typ sieci, która używa bluetooth`a lub innych protokołów sieciowych do łączenia urządzeń, komponentów systemu alarmowego i siłowników z bramami i Internetem.
- WFAN (Wireless Field Area Network)- Komponenty sieciowe łączą czujniki i siłowniki w rozproszonych lokalizacjach
- WNAN (Wireless Neighborhood Area Network) - Sieć elektroenergetyczna istniejąca na ograniczonym obszarze geograficznych, często obsługiwana przez zewnętrzny AP.
4. Protokoły bezprzewodowe IoT działają w kilku różnych topologiach. Topologia siatki, w której inteligentne "rzeczy" przekazują dane innym inteligentnym obiektom, aby dotrzeć do bramki (która może być poza zasięgiem). Umożliwia to rozmieszczenie węzłów czujników i inteligentnych obiektów na znacznie większym obszarze, niż byłoby to możliwe, gdyby każdy węzeł musiał komunikować się bezpośrednio z bramką. Przemysłowy router zintegrowany łączy się z prywatną lub publiczną siecią.
W topologii gwiazdy wszystkie rzeczy muszą być rozmieszczone w zasięgu bramki IoT. Ogranicza to potencjalny obszar pokrycia sieci i wymaga zakupu, instalacji i konfiguracji dodatkowych urządzeń bramkowych oraz łączy z siecią WAN lub internetem. W obu topologiach urządzenie bramkowe konwertuje ruch na Wi-Fi lub Ethernet. Także enkapsuluje dane w pakietach IP do transmisji w sieci przedsiębiorstwa i internecie.
W sytuacji w którym rzeczy mogą komunikować się bezpośrednio z chmurą lub centrum danych, rzeczy mają własne stosy protokołów IPv6 i protokoły komunikacyjne. Pozwala to na wysyłanie danych z czujników przez sieć IP bez konieczności tłumaczenia na IP przez bramkę IoT. Ponieważ większość rzeczy prawdopodobnie nie będzie korzystać z Wi-Fi ze względu na ograniczenia mocy i przetwarzania, bramka przekonwertuje ruch na odpowiednią enkapsulację warstwy 2; jednak enkapsulacja warstwy 3 najprawdopodobniej pozostanie niezmieniona. W tej topologii każda rzecz będzie miała swój unikalny adres IPv6.
5. Bluetooth i Wi-Fi są często używane w systemach IoT, które wymagają prostoty konfiguracji, takich jak domowa sieć IoT. Wielu producentów tworzy urządzenia, które są łatwe do skonfigurowania, aby zwiększyć sprzedaż. Jednak prostota konfiguracji i administracji często poświęca bezpieczeństwo. Niektóre z tych urządzeń faktycznie tworzą punkty dostępowe w domu, które mogą być zidentyfikowane przez aplikację na telefon komórkowy producenta lub oprogramowanie na komputer. Te minimalnie zabezpieczone punkty dostępowe Wi-Fi rzadko są znane jako działające w domu. To, w połączeniu z powszechnie znanymi danymi logowania, sprawia, że te inteligentne urządzenia są bardzo podatne na kontrolę przez nieautoryzowanych użytkowników. Ponadto, słabo zabezpieczone urządzenia mogą faktycznie zapewnić ścieżkę do reszty sieci dla aktorów zagrożeń i złośliwego oprogramowania.
6. Urządzenia 802.15.4 mogą działać w kilku rolach:
- Pełnofunkcyjne urządzenie (FFD) - Może działać jako koordynator sieci PAN i komunikować się z dowolnym innym urządzeniem.
- Koordynator sieci PAN - Jeden FFD jest wyznaczony jako koordynator PAN dla WSN.
- Urządzenie o ograniczonej funkcjonalności (RFD) - Są to niezwykle proste urządzenia, które mogą komunikować się tylko z FFD lub koordynatorem PAN. RFD nigdy nie mogą działać jako koordynator.
7. W topologii gwiazdy komunikacja jest nawiązywana między urządzeniami a pojedynczym centralnym kontrolerem, nazywanym koordynatorem PAN. Koordynator PAN może mieć stałe zasilanie, podczas gdy inne urządzenia najprawdopodobniej będą zasilane z baterii. Aplikacje, które korzystają z tej topologii, to automatyka domowa, peryferia komputerowe, zabawki i gry. Po pierwszym uruchomieniu FFD może ono założyć własną sieć i stać się koordynatorem PAN. Każda sieć gwiazdy wybiera identyfikator PAN, który nie jest obecnie używany przez żadną inną sieć w obrębie sfery wpływów radiowych. Pozwala to każdej sieci gwiazdy działać niezależnie. Alternatywą dla topologii gwiazdy są topologie peer-to-peer, ponieważ połączenia mogą być tworzone między węzłami FFD i RFD, aż zostanie osiągnięty węzeł PAN.
W topologii siatki jest również jeden koordynator PAN. W przeciwieństwie do topologii gwiazdy, dowolne urządzenie może komunikować się z dowolnym innym urządzeniem, o ile są one w zasięgu siebie nawzajem. Sieć siatki może być ad hoc, samoorganizująca się i samonaprawiająca się. Aplikacje takie jak kontrola i monitorowanie przemysłowe, sieci czujników bezprzewodowych, śledzenie zasobów i zapasów skorzystałyby z takiej topologii. RFD nie mają możliwości przekazywania wiadomości; dlatego muszą być w stanie połączyć się z FFD lub PAN.
Topologia drzewa to specjalny przypadek sieci siatki, w której większość urządzeń to FFD. RFD może połączyć się z siecią drzewa skupisk jako węzeł liściowy na końcu gałęzi. Każde z FFD może działać jako koordynator i dostarczać usługi synchronizacji innym urządzeniom i koordynatorom. Tylko jeden z tych koordynatorów jest koordynatorem PAN.
8. Na warstwie łącza danych wykonuje się cztery podstawowe usługi związane z bezpieczeństwem:
- Kontrola dostępu - Ta usługa zapobiega dołączaniu do sieci nieautoryzowanych urządzeń.
- Integralność wiadomości - Ta usługa chroni przed zmianą danych podczas ich transmisji za pomocą zaszyfrowanego klucza kryptograficznego. Ten klucz jest czasami nazywany kodem uwierzytelniającym wiadomość.
- Poufność wiadomości - Ta usługa zapobiega czytaniu przesyłanych danych przez osoby stanowiące zagrożenie. Ładunki danych wiadomości są szyfrowane, aby chronić poufność wiadomości.
- Ochrona przed powtórnym odtwarzaniem - Legitymacje wiadomości mogą być przechwytywane i wysyłane w sieci w późniejszym czasie. Ponieważ wiadomości są uwierzytelniane, mogą być akceptowane przez odpowiednie hosty. Jeśli te wiadomości są odtwarzane z dużą częstotliwością, wydajność sieci może ulec pogorszeniu do tego stopnia, że prawidłowe dane nie mogą dotrzeć do bramy. Ponieważ urządzenia pośrednie mogą również być systemami ograniczonymi, może również dojść do wyczerpania mocy baterii urządzenia.
Każdy zestaw zabezpieczeń oferuje różne schematy szyfrowania i uwierzytelniania z różnymi długościami kluczy.
Zigbee używa szyfrów klucza symetrycznego do szyfrowania. Szyfry klucza symetrycznego są z natury mniej bezpieczne niż asymetryczne, czyli kryptografia klucza publicznego. W szyfrowaniu symetrycznym wszystkie urządzenia w sieci muszą znać klucz, a klucz jest używany zarówno do szyfrowania, jak i deszyfrowania. Aby klucz mógł być udostępniony wcześniej, jest często szyfrowany innym kluczem, który może być zaprogramowany w urządzeniu. Ten zakodowany początkowo klucz jest niezbędny, w przeciwnym razie klucz szyfrowania transmisji danych musiałby być udostępniony jako tekst jawny. Ponieważ wszystkie urządzenia w sieci wymagają tego samego klucza, jeśli ten klucz zostanie skompromitowany, bezpieczeństwo wszystkich danych przesyłanych w sieci jest zagrożone.
9. Wiele ograniczonych urządzeń nie obsługuje pełnego stosu protokołu TCP/IP), dlatego bramy często zapewniają usługi IP, umożliwiające wysyłanie danych z czujników do przetwarzania przez aplikacje analizy danych i sterowania.
Głównym celem IoT jest przesyłanie, przechowywanie i analizowanie danych w sieciach IP; dlatego bezpieczeństwo IP jest poważnym problemem. Elementy powierzchni ataku IoT, które będą miały podatności na IP, jak pokazano na rysunku, obejmują:
- Sieć czujników
- Bramę IoT
- Sieć IT przedsiębiorstwa
- Łącze do internetu
- Urządzenia IoT, które mają bezpośrednie połączenia z internetem, są również poważnym problemem, jak ilustrują ataki botnetu Mirai.
Brama IoT jest podatna na ataki, podobnie jak urządzenia odpowiedzialne za przekazywanie danych do sieci. Każdy interfejs IP między elementami kanału komunikacyjnego jest również podatny na ataki. Obejmuje to interfejs do aplikacji w chmurze przez internet, jak pokazano na rysunku.
10. Istnieją różne rodzaje ataków na IP. Oto niektóre z bardziej typowych ataków związanych z IP:
- Ataki DoS - Osoby stanowiące zagrożenie próbują uniemożliwić prawidłowym użytkownikom dostęp do informacji lub usług. Mogłoby to uniemożliwić użytkownikom dostęp do aplikacji kontrolera IoT.
- Ataki DDoS – Ten atak jest podobny do ataku DoS, ale cechuje się jednoczesnym, skoordynowanym atakiem z wielu maszyn źródłowych. Jak w przypadku botnetu Mirai, tysiące podatnych urządzeń IoT mogą być rekrutowane do przeprowadzania potencjalnie niszczycielskich ataków DDoS.
- Ataki ICMP - Osoby stanowiące zagrożenie używają pakietów echo protokołu Internet Control Message Protocol (ICMP) (pingi) do odkrywania podsieci i hostów w chronionej sieci, do generowania ataków powodziowych DoS i do zmiany tabel trasowania hostów.
- Ataki na podszywanie się pod adresy IP - Osoba stanowiąca zagrożenie umieszcza źródłowy adres IP w pakiecie, aby podszyć się pod inne źródło, wprowadzając w błąd miejsce docelowe, które sądzi, że pakiet pochodził z prawidłowego źródła. Szczególnie niepokojące jest podszywanie się pod urządzenia bramy IP IoT. Takie ataki mogą narazić duże ilości danych na utratę, zmianę lub sfałszowanie.
- Atak typu man-in-the-middle (MITM) - Osoby stanowiące zagrożenie umieszczają się między źródłem a miejscem docelowym, aby transparentnie monitorować, przechwytywać i kontrolować komunikację. Mogą po prostu podsłuchiwać, sprawdzając przechwycone pakiety lub zmieniać pakiety i przesyłać je do ich pierwotnego miejsca docelowego. W IoT dodanie nieautoryzowanego urządzenia, które podszywa się pod prawidłowego członka sieci IoT, może skutkować znaczną kradzieżą danych lub ich sfałszowaniem.
- Porwanie sesji - Osoby stanowiące zagrożenie uzyskują dostęp do fizycznej sieci, a następnie używają ataku MITM do przechwycenia ważnego tokena dostępu do serwera WWW.
11. DoS to jeden z najczęstszych rodzajów ataków. Celem ataku DoS jest uniemożliwienie prawidłowym użytkownikom dostępu do stron internetowych, poczty e-mail, kont online i innych usług.
Istnieją dwa główne źródła ataków DoS:
- Złośliwie sformatowane pakiety - Osoby stanowiące zagrożenie tworzą złośliwie sformatowany pakiet i przekazują go podatnemu hostowi, powodując jego awarię lub znaczne spowolnienie.
- Przytłaczająca ilość ruchu - Osoby stanowiące zagrożenie przeciążają sieć, hosta lub aplikację docelową, powodując ich awarię lub znaczne spowolnienie.
Inny typ ataku DDoS jest pokazany na Rysunku 2. Ten scenariusz jest podobny do tego, który został użyty w ataku botnetu Mirai. Atak ten mógłby przebiegać następująco:
I. Osoba stanowiąca zagrożenie (botmaster) buduje lub kupuje do użytku botnet złożony z hostów zombie. Serwer poleceń i kontroli (CnC) komunikuje się z zombie za pomocą ukrytego kanału, używając Internet Relay Chat (IRC), Peer-to-Peer (P2P), Domain Name System (DNS), Hypertext Transfer Protocol (HTTP) lub bezpiecznego HTTP (HTTPS).
II. Komputery zombie kontynuują skanowanie i zarażanie kolejnych celów, tworząc więcej zombie.
III. Gdy botmaster jest gotowy, używa systemów obsługi, aby botnet zombie przeprowadził atak DDoS na wybrany cel.
Osoba stanowiąca zagrożenie komunikuje się z zombie za pomocą serwera CnC, aby przeprowadzić atak DDoS na infrastrukturę ofiary. Boty mają zdolność samorzutnego rozprzestrzeniania się podobną do robaków, ale mogą być używane do innych celów:
- Rejestrowanie naciśnięć klawiszy
- Zbieranie haseł
- Przechwytywanie i analizowanie pakietów
- Zbieranie informacji finansowych
- Przeprowadzanie ataków DoS
- Przekazywanie spamu
- Otwieranie tylnych drzwi na zainfekowanym hoście
- Istnieje wiele potencjalnych źródeł ataków DoS i DDoS. Chociaż ataki DDoS są bardzo łatwe do wykrycia, są trudne do zwalczania. Niezabezpieczone urządzenia IoT były wykorzystywane do zwiększenia rozmiarów botnetów w sposób wykładniczy.
Niezabezpieczone urządzenia IoT zostały zarejestrowane jako boty w masowych atakach DDoS. Osobom stanowiącym zagrożenie udało się wykorzystać podatności na hasła do kopiowania złośliwego oprogramowania na tysiące urządzeń podłączonych do internetu. Te urządzenia były następnie używane do atakowania stron internetowych. Ogromna liczba urządzeń IoT i bardzo poważne luki w zabezpieczeniach wielu z nich sprawiają, że urządzenia IoT są bardzo atrakcyjnym celem dla ataków botnet DDoS.
12. Protokół Internet Control Message Protocol (ICMP) został opracowany w celu przesyłania wiadomości diagnostycznych i raportowania błędów, gdy trasy, hosty i porty są niedostępne. Wiadomości ICMP są generowane przez urządzenia, gdy występuje błąd sieci lub awaria. Polecenie ping to generowana przez użytkownika wiadomość ICMP, która jest nazywana żądaniem echa. Żądanie echa służy do weryfikacji łączności z miejscem docelowym.
Osoby stanowiące zagrożenie używają ICMP do rozpoznawania i skanowania ataków. Umożliwia im to przeprowadzanie ataków na gromadzenie informacji w celu zmapowania topologii sieci, odkrycia, które hosty są aktywne (osiągalne), identyfikacji systemu operacyjnego hosta (fingerprinting OS) i określenia stanu zapory ogniowej.
Osoby stanowiące zagrożenie często używają ICMP do tworzenia ataków DoS. Na przykład, osoby stanowiące zagrożenie używają wiadomości ICMP do znacznego nasycenia i spowolnienia urządzenia docelowego w typie ataku DoS zwanym atakiem powodziowym ICMP, jak pokazano na rysunku.
Elementy sieci komunikacyjnej IoT, które mają adresy IP, są podatne na ataki ICMP.
13. Ataki polegające na podszywaniu się pod adresy IP występują, gdy osoba stanowiąca zagrożenie tworzy pakiety z fałszywymi informacjami o źródłowym adresie IP. Te pakiety pomagają osobie stanowiącej zagrożenie albo ukryć tożsamość nadawcy, albo podszyć się pod innego prawidłowego użytkownika. Atakujący może wtedy uzyskać dostęp do inaczej niedostępnych danych lub obejść konfiguracje zabezpieczeń. Podszywanie się jest zwykle łączone z innym atakiem, takim jak atak Smurf.
Ataki polegające na podszywaniu się mogą być przeprowadzane w następujący sposób:
- Nieślepy spoofing - Osoba stanowiąca zagrożenie może zobaczyć ruch, który jest wysyłany między hostem a celem. Nieślepy spoofing jest używany przez osobę stanowiącą zagrożenie do inspekcji pakietu odpowiedzi od ofiary. Powody dla nieślepego spoofingu obejmują określanie stanu zapory ogniowej, przewidywanie numerów sekwencyjnych TCP lub przejęcie autoryzowanej sesji.
- Ślepy spoofing - Osoba stanowiąca zagrożenie nie może zobaczyć ruchu, który jest wysyłany między hostem a celem. Ślepy spoofing jest używany w atakach DoS.
Podszywanie się pod aplikację lub usługę to kolejny przykład podszywania się. Osoba stanowiąca zagrożenie może podłączyć nieautoryzowany serwer DHCP, tworząc warunek MITM. Gdy to nastąpi, nieautoryzowany serwer DHCP jest używany do odpowiadania na prawidłowe żądania nieprawidłowymi informacjami i potencjalnie przekierowywania użytkowników do nieprawidłowej bramy domyślnej lub serwera DNS, który może być używany do celów złośliwych.
Techniki łagodzenia, takie jak DHCP snooping i Dynamic ARP Inspection (DAI), mogą być używane do łagodzenia ataków polegających na podszywaniu się pod adresy IP i MAC. Oba te rozwiązania wykraczają poza zakres tego kursu.
15. Podobnie jak IP, TCP jest również podatny na ataki. TCP zapewnia następujące usługi:
- Niezawodna dostawa - Niezawodna komunikacja to najważniejsza korzyść z TCP. TCP zawiera potwierdzenia, aby gwarantować dostawę, zamiast polegać na protokołach wyższej warstwy do wykrywania i rozwiązywania błędów. Jeśli potwierdzenie nie zostanie otrzymane w odpowiednim czasie, nadawca ponownie transmituje dane. Wymaganie potwierdzeń otrzymanych danych może powodować znaczne opóźnienia.
- Kontrola przepływu - TCP implementuje kontrolę przepływu, aby poradzić sobie z opóźnieniami. Zamiast potwierdzać jedną segmentację na raz, wiele segmentów może być potwierdzonych za pomocą jednego segmentu potwierdzenia.
- Komunikacja stanowa - Komunikacja stanowa TCP między dwiema stronami odbywa się za pomocą trójstronnego uścisku dłoni TCP. Przed przesyłaniem danych za pomocą TCP, trójstronny uścisk dłoni otwiera połączenie TCP. Jeśli obie strony zgadzają się na połączenie TCP, dane mogą być wysyłane i odbierane przez obie strony za pomocą TCP.
- Przykłady protokołów warstwy aplikacji, które korzystają z niezawodności TCP, to HTTP, Secure Socket Layer/Transport Layer Security (SSL/TLS), File Transfer Protocol (FTP), transfer stref DNS i inne.
Jak pokazano na rysunku, protokoły na warstwie transportowej modelu OSI używają adresowania portów, aby umożliwić śledzenie wielu rozmów i łączenie ich z odpowiednimi aplikacjami. Znane numery portów identyfikują powszechnie używane aplikacje. Jednak aplikacji takiej jak Telnet można przypisać dowolny numer portu z zakresu otwartych portów. Ponieważ Telnet nie jest bezpieczny, nie powinien być uruchomiony na urządzeniach IoT. Ponadto inne niepożądane aplikacje i usługi, w tym złośliwe oprogramowanie, mogą używać niejasnych numerów portów. Ważne jest, aby każdy inteligentny obiekt był oceniany pod względem tego, które protokoły komunikacyjne są domyślnie włączone i które porty nasłuchujące są otwarte.
Protokół TCP jest podatny na skanowanie portów. Aplikacje sieciowe używają portów TCP lub UDP. Osoby stanowiące zagrożenie przeprowadzają skanowanie portów urządzeń docelowych, aby odkryć, jakie usługi oferują. Skanery portów mogą dostarczyć bardzo szczegółowych informacji o usługach, które są uruchomione na urządzeniu sieciowym. Te usługi mogą być podatne na wykorzystanie przez osoby stanowiące zagrożenie.
16. Atak TCP SYN Flood wykorzystuje trójstronny uścisk dłoni TCP. Osoba stanowiąca zagrożenie nieustannie wysyła pakiety żądania sesji TCP SYN z losowo sfałszowanym źródłowym adresem IP do zamierzonego celu. Urządzenie docelowe odpowiada pakietem TCP SYN-ACK na sfałszowany adres IP i czeka na pakiet TCP ACK. Te odpowiedzi nigdy nie przychodzą. W końcu host docelowy jest przytłoczony półotwartymi połączeniami TCP i odrzuca prawidłowy ruch TCP.
Atak resetowania TCP może być używany do zakończenia komunikacji TCP między dwoma hostami. TCP używa czterokierunkowej wymiany do zamknięcia połączenia TCP za pomocą pary segmentów FIN i ACK od każdego punktu końcowego TCP. Połączenie TCP może być również zerwane, gdy otrzyma bit RST. Jest to gwałtowny sposób na zerwanie połączenia TCP i poinformowanie hosta odbierającego, aby natychmiast przestał korzystać z połączenia TCP. Osoba stanowiąca zagrożenie mogłaby przeprowadzić atak resetowania TCP i wysłać sfałszowany pakiet zawierający TCP RST do jednego lub obu punktów końcowych.
Podbieranie sesji TCP to kolejna podatność TCP. Chociaż jest trudne do przeprowadzenia, umożliwia osobie stanowiącej zagrożenie przejęcie już uwierzytelnionego hosta podczas komunikacji z celem. Osoba stanowiąca zagrożenie musiałaby podszyć się pod adres IP jednego hosta, przewidzieć następny numer sekwencyjny i wysłać ACK do drugiego hosta. Jeśli atak się powiedzie, osoba stanowiąca zagrożenie mogłaby wysyłać dane do urządzenia docelowego, ale nie odbierać danych od niego.
17. UDP to prosty protokół zapewniający podstawowe funkcje warstwy transportowej. UDP jest powszechnie używany przez DNS, Trivial File Transfer Protocol (TFTP), Network File System (NFS) i Simple Network Management Protocol (SNMP). Jest również używany z aplikacjami w czasie rzeczywistym, takimi jak strumieniowanie multimediów czy VoIP. UDP to protokół warstwy transportowej bez połączenia. Ma znacznie mniejszy narzut niż TCP, ponieważ nie jest zorientowany na połączenie i nie oferuje zaawansowanych mechanizmów retransmisji, sekwencjonowania i kontroli przepływu, które zapewniają niezawodność. Struktura segmentu UDP jest znacznie mniejsza niż struktura segmentu TCP. Rysunek pokazuje strukturę segmentu UDP.
To nie oznacza, że aplikacje korzystające z UDP są zawsze niewiarygodne, ani nie oznacza, że UDP to gorszy protokół. Oznacza to, że te funkcje nie są dostarczane przez protokół warstwy transportowej i muszą być zaimplementowane gdzie indziej, jeśli są wymagane.
Niski narzut UDP sprawia, że jest bardzo pożądany dla protokołów, które wykonują proste transakcje żądanie-odpowiedź. Na przykład użycie TCP dla DHCP wprowadziłoby niepotrzebny ruch sieciowy. Jeśli wystąpi problem z żądaniem lub odpowiedzią, urządzenie po prostu wysyła żądanie ponownie.
UDP nie jest chroniony przez żadne szyfrowanie. Możliwe jest dodanie szyfrowania do UDP, ale nie jest ono dostępne domyślnie. Brak szyfrowania pozwala każdemu na przeglądanie ruchu, zmienianie go i wysyłanie go do miejsca docelowego. Zmiana danych w ruchu zmieni sumę kontrolną UDP o 16 bitach, która jest obowiązkowa, gdy jest przenoszona przez IPv6. Osoba stanowiąca zagrożenie może utworzyć nową sumę kontrolną na podstawie nowego ładunku danych i zapisać ją w nagłówku jako nową sumę kontrolną. Urządzenie docelowe stwierdzi, że suma kontrolna pasuje do danych, nie wiedząc, że dane zostały zmienione.
Ten typ ataku nie jest najczęściej używany. Częściej spotyka się atak UDP, w którym zużywane są wszystkie zasoby sieci. Nazywa się to atakiem powodziowym UDP. Aby to zrobić, osoba stanowiąca zagrożenie musi użyć narzędzia takiego jak UDP Unicorn lub Low Orbit Ion Cannon, które wysyła falę pakietów UDP, często z podszywanego hosta, do serwera w podsieci. Program będzie przeszukiwał wszystkie znane porty, próbując znaleźć zamknięte porty. Spowoduje to, że serwer odpowie wiadomością ICMP o niedostępności portu. Ponieważ na serwerze jest tak wiele zamkniętych portów, powoduje to tak duży ruch w segmencie, że prawie cała przepustowość jest używana. Efekt jest bardzo podobny do ataku DoS.
Ważne jest, aby zmniejszyć rozmiar całkowitej powierzchni ataku poprzez ustanowienie mniejszych stref zaufania za pomocą zapór ogniowych i innych technologii zabezpieczających. Umożliwi to kontrolę dostępu na warstwie 3 i warstwie 4 modelu OSI. Pomaga to zapewnić, że udany atak na jedną część sieci nie pozwoli na dostęp do wszystkich części sieci. Dane z wielu obszarów sieci mogą musieć przechodzić przez te strefy zaufania. Dlatego ważne są techniki izolacji ruchu, takie jak używanie VLANów. Rysunek pokazuje strefowanie ruchu i izolację w architekturze Industrial IoT. Zwróć uwagę na zapory ogniowe, które izolują sieć IT przedsiębiorstwa od sieci OT produkcji. DMZ między nimi obejmuje usługi, które wymagają administracji z sieci przedsiębiorstwa, ale które obsługują sieć produkcyjną.