概要
The Internet protocol suite, more commonly referred to at TCP/IP, represents the computer networking model and set of communications protocols at the center of the Internet. The main design goal of the TCP/IP protocols was to allow the build-out of the interconnection of networks, while shortcoming represent themselves as you consider its use for the forthcoming Internet of Things market, where hundreds of billions of devices are expected to be connected.
本論文では、このようなTCP/IPネットワークの欠点を、クラウド・コネクテッド・ワールドのために解決するためのテクニカルペーパーです。
クラウドコネクテッドは、これまでの市場とは異なり、市場規模とデバイスの数の両方においてチャンスをもたらすものです。その結果生じるセキュリティ、規模、導入の容易さといった新たな課題に対応するため、ネットワーキング・テクノロジーは進化しなければなりません。
TCP/IP≠エンド・トゥ・エンド
IoTの基本的な課題は、TCP/IPベースのインターネット接続ではエンドツーエンドの信頼の連鎖を確保する能力がほとんどなく、連鎖上の独立したネットワークがそれぞれ独立した予測不可能な脆弱性のポイントを表しているという最も大きな制約があるということです。
An Internet Protocol (IP) address, is much like a street address, in that it provides a unique way to identify a network interface. Although it is often thought that IP addresses represent physical devices, it is essential to specifically note that the explicit intent of the specification is that it represents a network interface, which in turn can be associated with a separate network, where some method of routing is used to manage end to end connectivity.
クラウド・コネクテッド・ワールドでは、エンド・ツー・エンドの信頼の連鎖を確保できるセキュアな直接接続技術が必要です。
Remote.Itの安全な接続は、標準のlocalhostインターフェイスを使用して任意のTCP/IPスタックに接続する移植可能なCコードの小片を使用して行われます。このソフトウェアは、Linuxプラットフォーム上のユーザースペースでデーモンとして実行されますが、LwIPやuIPをベースとしたものなど、あらゆるTCP/IPスタックに移植することが可能です[1]。使用例としては、PC上のlocalhostインターフェイスにより、ユーザーは同じPC上のWebサーバーに安全に接続することができる。ユーザーは、ブラウザに127.0.0.1といったlocalhostのアドレスを入力する。127.0.0.1のアドレスを使用した接続は、Webサーバーとブラウザーの間でやり取りされる情報がPCから離れることがないため、安全です。リモート.これは、ユーザーがリモートデバイスからWebサーバーに接続しても、127.0.0.1ローカルホストアドレスを使用して接続することができます。データは、Remote.It接続とlocalhostインターフェイスを使用して、Webサーバーとリモートユーザーのデバイス間で安全かつ直接受け渡しすることができます。Remote.Itの直接接続は、TLSで保護されたトンネルを使用してlocalhostインターフェースを拡張し、例えば、CPU間のプロセス間通信に保護バスを使用するのと同じ方法でホスト間の通信を可能にします。リモート.It接続は、あらゆる種類のPC、モバイル機器、センサー、またはあらゆる種類のIoT(Internet of Things)機器間で行うことができます。
Remote.Itソフトウェアと安全な接続は、サイバーセキュリティ攻撃に対する第一線の保護となります。NSAは、インターネット制御システム(ICS)のユーザーがネットワークデバイスを発見し、ネットワークのトポロジーを決定するためにスキャンを実行することを提唱しています[2]。残念ながら、攻撃者が同じ種類のスキャンを実行することは簡単です。Shodan(インターネット用)とFing(ローカルエリアネットワーク用)は、簡単に使えるが高度なネットワークスキャナツールの一例で、攻撃を支援するために使用されることがあります。Remote.Itでは、HTTP接続などの任意のサービスを、127.0.0.0/8のクラスアドレスを使用してRemote.Itサービスに接続またはバインドすることが可能です。TCP/IPスタックは、127.0.0.0/8またはlocalhostクラスのアドレスからの着信接続にのみ応答するようになりました。RFC1060によると、localhostアドレスが外部ネットワークに表示されることはないため、TCP/IPスタックは外部からの侵入に対して安全な状態になりました。さらに、外部からの要求に対して、すべてのポートを閉じることができます。外部IPアドレスからの接続を制限し、外部ポートをすべて閉じると、ネットワークスキャナが検出するTCP/IPスタックの指紋がなくなり、Remote.Itソフトウェアを使用しているデバイスを効果的に隠蔽または隠蔽することができます。Remote.Itデバイスのクローキングは、インベントリやテストなどの正当なスキャンを実行する場合は選択的にオフにするか無効にし、通常の使用ではポートスキャンや他のネットワーク侵入の悪用から守るために有効にすることができます。
Remote.Itは、認証されたユーザーがモバイル端末やブラウザでRemote.Itアプリケーションを使用して、あらゆるリソース(クラウドやIoT)に接続できるようにする技術です。Remote.It SaaS (Software as a Service) サーバーがユーザーを認証し、IoTデバイスとユーザー間の接続を開始し、仲介します。セッションごとの鍵がIoTデバイスとユーザーに送信され、サーバーが両方のエンドポイントに接続を引き渡すことで、ユーザーとリソースの間に安全な直接接続が確立されます。
リモート.It接続技術は、シンプルでありながら柔軟で強力な技術であり、いくつかの方法で拡張することができます。例えば、センサーノードが信頼できるコードを実行し、Remote.It接続を介してクラウド上の信頼できる別のホストと通信することができます。リモート.It接続はTCP/IPレベルのサービスとして動作するため、二次的な認証は必要ありません。
例
Another example of extension is by enabling service level virtualization, and independent Remote.It secure connections could be made for HTTP/HTTPS, ssh, and VNC on a single device. Services may also be bundled or joined within a single Remote.It connection. In one production deployment of the Remote.It technology, (with more than 100k devices in the field) an IP camera video stream is bundled with a control channel. The bundled connection handled above the TCP/IP layer enables QoS for live streaming video by varying the video stream bit rate according to TCP buffer fill rate. Such a use of Remote.It technology represents a powerful extension to TCP/IP. For example, recently Winstein (Stanford) and Balakrishnan (MIT) have shown that a similar control layer can provide a several-fold improvement in either bandwidth or latency over 4G LTE connections without any alteration to the 4G data channel itself [4].
Remote.It connection technology provides direct connections between devices and eliminates the need for any paid and complex cloud services such as STUN, TURN, and ICE. A direct Remote.It connection also provides lower latency than cloud-based connections. Remote.It can use the low latency of connections from users and IoT devices to the cloud.
簡単なプロビジョニング
Remote.It technology is engineered to allow cloud resources to be easily registered, provisioned, and deployed. So for example, a new server instance in Amazon AWS, Microsoft Azure, or Google Cloud Platform (GCP) can be programmed to be provisioned or re-provisioned based on the fact the instance is using the same external IP address as a user. Remote.It connections originated by the endpoints allowing direct connections to be made without port forwarding or firewall configuration. The connection technology allows cloud resources, IoT devices, and users to migrate between different network configurations, or to operate on or behind different cellular or satellite networks. Deployment of Remote.It simply requires a small stand-alone binary with minimal engineering effort. Remote.It allows the extension of a LAN or proximal network to the Internet in a secure fashion.
Remote.Itは、Remote.Itソフトウェアを搭載した機器同士で直接安全に接続することも、搭載していない機器との間でリレーサーバを利用して接続することも可能です。リモート・イット対応の中継サーバーは、ゲートウェイの一部として、VPC内のクラウドリソースやLAN上のIoTデバイスを、ゲートウェイへのインターネット接続が遮断された状態でも通信できるようにすることができる。使いやすさは、アクセス、所有権、制御の制御を含むサービスやデバイスの共有にも及びます。また、Remote.Itは、登録、プロビジョニング、ネットワーク監視、ジオロケーションサーバー、あらゆるプラットフォームとの統合を可能にするキットなど、Remote.It接続技術をサポートするSaaSインフラを提供しています[5] [6]。
参考文献
[1]http://en.wikipedia.org/wiki/LwIPとhttp://en.wikipedia.org/wiki/UIP_(micro_IP)は、組み込みシステムで使用される一般的な低フットプリント TCP/IP スタックである LwIP と uIP について説明しています。
[2]https://www.nsa.gov/ia/_files/ics/ics_fact_sheet.pdfA Framework for Assessing and Improving the Security Posture of Industrial Control Systems (ICS)、Systems and Network Analysis Center, NSA, Released:2010 年 8 月 20 日 バージョン:1.1。IoT および ICS デバイスに対する NSA の推奨事項を記載。
[3] http://www.icri-sc.org/fileadmin/user_upload/Group_TRUST/PubsPDF/trustlite.pdf Koeberl, Patrick, Steffen Schulz, Ahmad-Reza Sadeghi, and Vijay Varadharajan. “TrustLite: a security architecture for tiny embedded devices.” In Proceedings of the Ninth European Conference on Computer Systems, p. 10. ACM, 2014. Describes Intel’s Trustlite trust and attestation technology.
[4] Winstein, Keith. “Transport architectures for an evolving Internet.” PhD diss., Massachusetts Institute of Technology, 2014. advised by Hari Balakrishnan. Describes the use of channel models above the TCP/IP layer to improve bandwidth and latency of a cellular connection.
[5] 米国特許US8447843(優先日2006年9月)には、Weaved技術がネットワークに接続されたIoTデバイスを識別、設定、アクセスする方法が記載されています。
[6] 米国特許出願 US20150052253