Cualquier dispositivo que deba conectarse a la Internet de las cosas (Internet of Things, IoT) primero debe conectarse a Internet. Esta conexión puede realizarse a través del celular, WiFi o Ethernet. En este artículo se abordan los desafíos que se enfrentan al diseñar dispositivos conectados con tecnología 802.11. Algunos de los desafíos incluyen el suministro de los detalles de conexión WiFi, la conexión a varias redes WiFi, las actualizaciones de firmware de dispositivos y las restricciones de seguridad. También se destacan las soluciones de Lantronix que mitigan estos desafíos y permiten la rápida implementación de soluciones basadas en WiFi.
Aprovisionamiento de la conexión WiFi
El primer paso para conectar un dispositivo es poder hablar en la red. En una red Ethernet, eso es muy fácil. Enchufe el cable, y el servidor del Protocolo de configuración dinámica de host (DHCP) automáticamente asignará una dirección y el dispositivo estará listo para comunicarse. Con una conexión celular, la tarjeta SIM ya contiene información de identificación segura y el operador de red móvil la aprovisiona de forma inalámbrica, de manera que el dispositivo pueda acceder a la red.
Con WiFi, cada dispositivo debe aprovisionarse con los detalles de la red o las redes a las que se conectará. Como mínimo, eso incluye el Identificador del conjunto de servicios (SSID), el conjunto de seguridad y las credenciales de autenticación o frase de contraseña necesarias para conectarse.
Si el módulo 802.11 no tiene una función de Punto de acceso habilitado por software (Software enabled Access Point, SoftAP), la configuración debe realizarse a través de una serie o de la interfaz de Ethernet. Esto significa que un procesador de anfitrión debe tener una interfaz de usuario y administrar la configuración del dispositivo, lo que agrega un costo significativo y complejidad al diseño, en especial si debe agregarse una pantalla al dispositivo. Se pueden evitar este costo y esta complejidad si se utiliza un dispositivo WiFi con una función de SoftAP. Esta función permite que el módulo 802.11 se anuncie a sí mismo como un punto de acceso, permitiendo así que los clientes de WiFi realicen una conexión con el módulo, sin depender del modo ad hoc más antiguo y menos compatibles.
Uso del SoftAP
La primera consideración que el diseñador debe tener en cuenta es si lo que funciona en el laboratorio funcionará en la implementación de decenas de miles de dispositivos de usuarios con diversos niveles de aptitud. La mayoría de los módulos con SoftAP permitirá que una persona se conecte a algún administrador de configuración web limitado, busque redes de infraestructura disponibles y seleccione una a la que se conectará. Las instrucciones habituales para un usuario final serían las siguientes:
-
Conecte el WiFi del teléfono a la red ACMEWidget.
-
Ingrese la contraseña ACME_Designs.
-
Ahora abra el buscador del teléfono, toque la barra de URL (esperamos que sepa de qué se trata), escriba 10.10.0.1 y presione Enter (Entrar).
-
En la pantalla, busque el enlace que dice Scan (Analizar).
-
Después de unos segundos, seleccione su red WiFi de infraestructura.
-
Ingrese la contraseña de su red WiFi de infraestructura en la casilla que aparece y presione Enter (Entrar).
-
Reinicie y ¡esperemos que los LED muestren una conexión! (si el módulo 802.11 que seleccionó no tiene SoftAP simultáneo y modo de estación)
Esto puede funcionar bien en el laboratorio, pero implementar ese dispositivo dará como resultado costos más altos de soporte técnico y mantenimiento. También limita la capacidad de incluir el aprovisionamiento del dispositivo en las utilidades de configuración existentes de una compañía, en caso de que existan.
La manera de resolver este problema es elegir un módulo que permita una manera fácil de proveer los detalles de WiFi mediante programación. Por ejemplo, Lantronix ha creado una función en su servidor web, denominada WebAPI, que usa mensajes HTTP POST para acceder directamente a la configuración del módulo de WiFi xPico.
Lantronix también ha publicado la aplicación Android de utilidades WiFi xPico que solo requiere que el usuario seleccione la red a la que desea que WiFi xPico se conecte y la contraseña. Se eliminan todos los otros pasos vistos anteriormente. Esta funcionalidad facilita la integración de la configuración en un módulo 802.11 para los dispositivos finales que requieren una interacción del usuario mínima.
Conexión entre múltiples redes WiFi
Cuando un dispositivo se mueve a diferentes ubicaciones, es posible que se mueva a ubicaciones que tengan diferentes redes WiFi. Aunque el almacén puede tener un SSID y una contraseña, la front office puede tener otros. Los usuarios de su dispositivo esperarán que el dispositivo se comporte del mismo modo que un teléfono inteligente o una tablet: aprovisionar cada red WiFi una vez y, después de eso, moverse entre ellas y que el dispositivo que se conecte automáticamente cuando esté dentro del rango de cada red.
La mayoría de los módulos 802.11 solo puede almacenar los detalles de conexión para una red WiFi. Aunque eso funciona bien en el laboratorio, no será aceptable implementar un ventilador que requiere que TI realice una reconfiguración cada vez que se mueve a un ala diferente del hospital. Esto significa que el procesador conectado al módulo 802.11 ahora deberá implementar un administrador de configuración WiFi. Además, el flujo de datos entre el procesador y el módulo deberá interrumpirse periódicamente para que el procesador le solicite al módulo que realice un análisis de las redes inalámbricas y, a continuación, tome la decisión de reconfigurar el módulo 802.11 a través del puerto serie.
Implementar un administrador de configuración WiFi en el procesador conectado significa que probablemente el servidor web del módulo 802.11 no sea utilizable para el aprovisionamiento, puesto que los datos de la interfaz del usuario deben ir al procesador y no al módulo en sí. Ahora, será necesario que el procesador conectado implemente un servidor web completamente nuevo, lo que aumenta significativamente la complejidad del diseño.
Para evitar estos problemas y mantener esa facilidad de uso que los clientes esperan, el WiFi xPico de Lantronix cuenta con un administrador de configuración avanzado como parte del paquete de software del servidor del dispositivo Lantronix. Este administrador de configuración incluye la función WLAN Profiles (Perfiles WLAN), que puede almacenar los detalles de aprovisionamiento automáticamente para varias redes WiFi en la memoria flash de WiFi xPico. Esto significa que un dispositivo final podrá activar la itinerancia entre las redes WiFi sin ninguna interacción del usuario final o del microcontrolador conectado.
Mantenimiento y servicio de dispositivos
SoftAP simultáneo
En muchos casos de uso, el dispositivo ingresa en una instalación del usuario final con una red segura, cuando el usuario final no quiere darle acceso a su red a un técnico de la compañía de servicios. En el modelo tradicional se quita el dispositivo de la red y se lo conecta a una computadora que el técnico de servicio lleva al sitio para un realizar un servicio o una reprogramación del dispositivo.Si hay un sistema de administración central que monitorea el dispositivo, se generará un problema, ya que se activará una alarma porque el dispositivo se ha desconectado. Además, si el dispositivo está controlando el acceso, como una puerta, esta puerta no se puede usar mientras la están reparando.
Una solución para esto es usar un módulo 802.11 que no solo tenga un SoftAP, sino que también pueda ejecutar el SoftAP al mismo tiempo en la interfaz de cliente. Idealmente, el módulo también permitirá el acceso simultáneo a los recursos del módulo y también al microcontrolador conectado. De este modo, el técnico puede acceder al dispositivo sin necesidad de tener las credenciales para ingresar a la red del cliente final.
El WiFi xPico de Lantronix es un módulo que tiene SoftAP simultáneo y que puede conectarse a una red WiFi de empresas. Esto permite un túnel de datos entre el dispositivo final y una aplicación en la nube, y también el respaldo de la configuración del módulo de WiFi de ambas interfaces al mismo tiempo. Esta es una función única de la aplicación del servidor del dispositivo Lantronix.
Actualizaciones de firmware inalámbricas
A veces, un módulo 802.11 necesitará que se actualice el firmware, ya sea para implementar nuevas características o para solucionarproblemas de firmware descubiertos desde que se implementó el dispositivo. Los ingenieros de software deben tener un plan desde el comienzo sobre cómo se realizarán las actualizaciones de firmware. La mayoría de los módulos permitirá una actualización con un cable en serie o un cable JTAG. Esto requiere que el dispositivo final saque la conexión a un cabezal, y también que el acceso físico al dispositivo realice las actualizaciones.
Otra opción que algunos módulos ofrecen es hacer una actualización inalámbrica (Over the Air, OTA) mediante la conexión WiFi del dispositivo. Idealmente, la actualización se realizará a prueba de error, de manera que si la conexión WiFi o el suministro de energía se interrumpen, el dispositivo se deja en un estado de funcionamiento.
El WiFi xPico de Lantronix incluye una aplicación de actualización OTA que reside en una parte diferente de la memoria flash que la aplicación de firmware principal. Esto significa que si la actualización falla por algún motivo, el WiFi xPico se reiniciará en la aplicación de actualización OTA para recibir una nueva imagen de firmware principal.
La aplicación de actualización OTA también almacena el WLAN Profile (Perfil WLAN) del cliente al que está conectado y, al igual que el administrador de configuración, la aplicación de actualización OTA puede administrarse a través de la WebAPI. Esto significa que el WiFi xPico, de fábrica, puede realizar actualizaciones a prueba de error que estén programadas mediante las solicitudes HTTP POST, y puede realizarlas localmente en la interfaz de SoftAP o de forma remota a través de la interfaz de cliente.
Seguridad
Al seleccionar un módulo 802.11, hay muchos aspectos de seguridad que deben tenerse en cuenta: Por ejemplo, la seguridad de la conexión inalámbrica, y también la seguridad de datos.
Seguridad inalámbrica
La seguridad inalámbrica restringe el acceso a una red inalámbrica al solicitar una contraseña, y también cifra datosentre el módulo 802.11 y el punto de acceso. Es importante entender la implementación y las diferencias prácticas entre los distintos métodos de conexión.
Una de las primeras decisiones que hay que tomar es si el dispositivo admitirá Enterprise security (Seguridad de la empresa) o Personal security (Seguridad personal). Personal security (Seguridad personal) es el nombre habitual para una red con clave previamente compartida. Es el tipo de red implementada más común, ya que es la más sencilla tanto para los usuarios finales como para la administración. Con Personal security (Seguridad personal) todas las personas usan la misma frase de contraseña para conectarse a la red. La vulnerabilidad reside en que cualquier persona que conozca esa frase puede conectarse, y si la frase cambia, se debe notificar a todos los usuarios finales y se deben volver a configurar los dispositivos implementados.
Enterprise security (Seguridad de la empresa), o 802.1x, aborda esa vulnerabilidad al tener una contraseña y un nombre de usuario distintos para cada usuario, y al usar un servidor RADIUS de back-end para autenticar el usuario e intercambiar la clave de cifrado una vez completada la autenticación. Este tipo de seguridad es mucho más difícil de administrar ya que requiere que el servidor se autentique. Además, en muchos casos, los dispositivos finales deben aprovisionarse con certificados para que la autenticación funcione.
Ya sea de empresa o personal, la conexión usa una clave de cifrado para los datos. La clave puede generarse en el momento de la conexión, como en Acceso protegido WiFi (WPA) o WPA2, o ser la contraseña de conexión real como en Privacidad equivalente por cable (WEP).
WPA2 es la opción más segura ya que usa un método de cifrado basado en Estándar de cifrado avanzado (AES). Tanto WPA como WEP tienen vulnerabilidades utilizables. Tenga en cuenta que WEP ha quedado obsoleto según Wi-Fi Alliance; por lo que, cualquier nuevo punto de acceso implementado probablemente no admita WEP.
Un tema importante para tener en cuenta es que, al implementar un dispositivo final, la red existente puede utilizar cualquiera de los tres métodos; por lo tanto, el módulo 802.11 elegido debe admitir a todos ellos. WEP presenta un desafío especial porque requiere una clave de 10 (WEP64) o 26 (WEP128) dígitos hexadecimales.
Debido a que esta clave es difícil de recordar para los usuarios finales, los fabricantes de puntos de acceso, en cambio, permiten que los usuarios ingresen una frase de contraseña. Debido a que la frase de contraseña para la conversión de claves hexadecimales no es parte de la especificación WEP, los diferentes fabricantes de puntos de acceso eligen algoritmos de conversión distintos. Lantronix ha identificado 32 algoritmos diferentes que utilizan los puntos de acceso.
La función Lantronix SmartConnect EasyWEP se encarga de administrar los diferentes algoritmos de conversión para que los usuarios puedan ingresar su frase de contraseña y no tengan que utilizar una clave hexadecimal para conectarse a la red WEP. La función SmartConnect EasyWEP utiliza la WebAPI de WiFi xPico para aceptar una frase de contraseña y, a continuación, prueba cada algoritmo de conversión conocido para intentar establecer una conexión con el punto de acceso. Cuando encuentra el algoritmo de conversión que completa la conexión, guarda el WLAN Profile (Perfil WLAN) en la memoria flash con la clave hexadecimal correcta para su uso futuro.
Seleccionar un módulo que solo permita la entrada de la clave hexadecimal en vez de también permitir la frase de contraseña puede generar devoluciones o llamadas innecesarias al soporte técnico, ya que los usuarios que solo conozcan la frase de contraseña de la red no sabrán cómo conectar el dispositivo final a la red.
Seguridad de datos
La parte de seguridad inalámbrica solo cifra datos que van entre el dispositivo final y el punto de acceso más cercano. La carga de datos sin cifrar puede interceptarse en dos puntos: primero, el canal de subida del punto de acceso inalámbrico, puesto que los datos ya no están cifrados con la clave de seguridad inalámbrica; segundo, por otro dispositivo en la red inalámbrica si utiliza una clave no segura o una red que no utilice seguridad inalámbrica.
Los dos métodos habituales para cifrar datos son Estándar de cifrado avanzado (AES) y Capa de sockets seguros/Seguridad de la capa de transporte (SSL/TLS). AES es el método aprobado por NIST para el cifrado de clave simétrica. Cada extremo de la conexión tiene la misma clave para cifrar y descifrar los datos, lo que hace que sea fácil de implementar, ya que puede hacerse al configurar el dispositivo. Los pasos de cifrado y descifrado tienen un gran consumo de CPU, por lo que es mejor elegir un módulo 802.11 que maneje esa parte, para no tener que implementarlo en el microcontrolador conectado.
La desventaja de este método de cifrado es que el diseñador tiene que controlar ambos dispositivos que se comunicarán entre sí, puesto que la clave debe suministrarse tanto en el dispositivo final como en el servidor. Para permitir que los clientes se conecten a servidores sin propietario, es posible utilizar SSL/TLS, que es el método usado en HTTP seguro o HTTPS. Este método utiliza criptografía asimétrica para establecer la conexión y, a continuación, intercambia claves simétricas temporarias en una conexión por base de conexión.
La vulnerabilidad con SSL/TLS consiste en el intercambio inicial de los certificados. Debido a que no hay clave preconfigurada, está abierto a un ataque de tipo "man in the middle" (MITM) por parte de un usuario que redirecciona DNS a su servidor y luego envía un certificado que suplanta el servidor final. Este tema se abordó con la introducción de Autoridades de certificación (CA). Estas son entidades que son de confianza de forma predeterminada, y cualquier certificado de servidor debe estar firmado con el certificado de una CA o un intermediario que pueda verificar la relación, también denominada cadena de certificados.
Este método presenta una configuración más compleja del dispositivo final. El dispositivo debe configurarse con los certificados para las CA de confianza de manera que pueda verificar la cadena de certificados de los servidores a los que se conectará. Además, puesto que los certificados tienen fechas de expiración, debe haber un sistema implementado para recuperar e instalar nuevos certificados antes de la expiración, a fin de mantener la cadena de confianza intacta y evitar ataques de tipo MITM.
Muchas de las tareas de configuración de dispositivos y cifrado de datos pueden descargarse en el módulo 802.11. El WiFi xPico de Lantronix incluye el paquete de software del servidor del dispositivo Lantronix, que consta de capacidades de cifrado, entre ellas, una configuración fácil para que el cifrado sea completamente transparente para el dispositivo final.