Security

Es stehen Möglichkeiten zur Absicherung der Kommunikation bereit. Hierfür kann eine TLS-Verbindung auf Basis von X.509-Zertifikaten oder ein Pre-shared Key (PSK) genutzt werden. Insbesondere, wenn über nicht-vertrauenswürdige Netze (beispielsweise das Internet) kommuniziert wird, wird empfohlen die Kommunikation mit TLS abzusichern. In den Kapiteln Konfigurationsdatei und Beispiele finden Sie Erläuterungen und exemplarische Konfigurationsdateien zum Betrieb von ADS-over-MQTT über TLS.

Der Broker selbst muss in einer vertrauenswürdigen Umgebung betrieben werden, da auf dem Broker alle Nachrichten ungesichert vorliegen.

Kompromittierung des virtuellen ADS-Netzwerks Auch wenn die Kommunikation zwischen den Teilnehmern und dem Broker verschlüsselt über TLS erfolgt, existiert keine Absicherung der Teilnehmer untereinander. Die ADS-Kommandos liegen auf dem Broker unverschlüsselt vor. Wenn ein Teilnehmer kompromittiert wurde, kann der Angreifer über die erlangten Rechte alle ADS-Kommandos ausführen. Zu diesen Kommandos gehören auch Datei-Lese-Operationen oder Operationen zum Starten von Prozessen.

Für die Konfiguration von Zugriffsrechten zwischen einzelnen ADS-Geräten, können zwei Verfahren angewandt werden:

• Konfiguration von Zugriffsrechten über Access Control Listen (am Beispiel von Mosquitto)
• Konfiguration von Zugriffsrechten über ein Plugin (nur für Mosquitto)