Qualsiasi dispositivo che richiede la connessione all'Internet delle cose (IoT), deve innanzitutto essere connesso a Internet. Questa connessione può essere cellulare, Wi-Fi o Ethernet. In questo articolo vengono illustrate le sfide affrontate nella progettazione di dispositivi connessi con la tecnologia 802.11. Tra queste, sono inclusi il provisioning dei dettagli della connessione Wi-Fi, la connessione a più reti Wi-Fi, gli aggiornamenti del firmware dei dispositivi e i vincoli di sicurezza. Vengono inoltre illustrate le soluzioni Lantronix che aiutano a superare queste sfide e consentono la distribuzione rapida di soluzioni Wi-Fi.
Provisioning della connessione Wi-Fi
Il primo passaggio per la connessione di un dispositivo è la possibilità di comunicare con la rete. Su una rete Ethernet, si tratta di un'operazione semplice. È sufficiente inserire il cavo per far sì che il server DHCP (Dynamic Host Configuration Protocol) assegni automaticamente un indirizzo e il dispositivo è pronto per comunicare. Con una connessione cellulare, la scheda SIM contiene già le informazioni di identificazione sicura e il provisioning viene effettuato over-the-air dall'operatore di telefonia mobile per permettere al dispositivo di accedere alla rete.
Con la connessione Wi-Fi, ogni dispositivo deve avere il provisioning con i dettagli della rete o delle reti a cui si connetterà. Al livello base, sono inclusi SSID (Service Set Identifier), suite di sicurezza e passphrase o credenziali di autenticazione necessarie per la connessione.
Se il modulo 802.11 non dispone di funzionalità SoftAP (Software enabled Access Point), è necessario effettuare la configurazione tramite un'interfaccia seriale o Ethernet. Ciò significa che un processore host deve disporre di un'interfaccia utente e gestire la configurazione del dispositivo, con un aumento dei costi e della complessità del progetto, in particolare se è necessario aggiungere un display al dispositivo. I costi e le complessità possono essere evitati utilizzando un dispositivo Wi-Fi con funzionalità SoftAP. Questa caratteristica consente al modulo 802.11 di promuoversi come punto di accesso, permettendo ai client Wi-Fi di connettersi al modulo, senza affidarsi alla modalità Ad-Hoc più vecchia e meno supportata.
Utilizzo di SoftAP
Il primo punto sul quale un progettista dovrebbe riflettere è la possibilità che ciò che funziona in laboratorio funzioni anche per la distribuzione di decine di migliaia di dispositivi a utenti con vari livelli di competenza. La maggior parte dei moduli con SoftAP permette all'utente di connettersi a un gestore della configurazione Web limitato, cercare le reti di infrastruttura disponibili e selezionare quella a cui connettersi. Le istruzioni tipiche per un utente finale possono essere analoghe alle seguenti:
-
Tramite Wi-Fi connettere il telefono alla rete: ACMEWidget
-
Immettere la password: ACME_Designs
-
Aprire il browser del telefono, toccare la barra dell'URL, digitare 10.10.0.1, quindi premere Invio
-
Sul display trovare il collegamento che indica Ricerca
-
Dopo qualche secondo, selezionare la rete Wi-Fi dell'infrastruttura
-
Immettere la password per la rete Wi-Fi dell'infrastruttura nella casella visualizzata e premere Invio
-
Riavviare e controllare che sul display venga segnalata la connessione (se il modulo 802.11 selezionato non dispone di modalità SoftAP e Stazione simultanee).
Questa procedura può funzionare bene in laboratorio, ma la distribuzione di un dispositivo di questo tipo comporta costi superiori in termini di manutenzione e supporto tecnico. Inoltre, limita la possibilità di includere il provisioning del dispositivo nelle utilità di configurazione esistenti della società.
Per risolvere questo problema, è possibile scegliere un modulo che permetta di effettuare con facilità il provisioning dei dettagli Wi-Fi a livello di programmazione. Ad esempio, Lantronix ha ideato una funzionalità nel proprio server Web, denominata WebAPI, che utilizza messaggi HTTP POST per accedere direttamente alla configurazione del modulo xPico Wi-Fi.
Lantronix ha anche pubblicato l'app Android xPico Wi-Fi Utilities tramite la quale è sufficiente che l'utente scelga la rete a cui connettere xPico Wi-Fi e inserisca la password. Tutti gli altri passaggi indicati in precedenza vengono eliminati. Questa funzionalità semplifica l'integrazione della configurazione in un modulo 802.11 per dispositivi finali che richiedono un'interazione minima da parte dell'utente.
Connessione tra più reti Wi-Fi
Quando si trasferisce un dispositivo in altre ubicazioni, è possibile che in tali località siano presenti reti Wi-FI diverse. Ad esempio, nel magazzino possono essere in uso un SSID e una password diversi da quelli del front office. Gli utenti del dispositivo si aspetteranno che questo si comporti come il loro smartphone o tablet: dopo avere effettuato il provisioning di ciascuna rete Wi-Fi una volta, potranno spostarsi con il dispositivo che si connetterà automaticamente alla rete disponibile.
La maggior parte dei moduli 802.11 può memorizzare i dettagli di connessione per una sola rete Wi-Fi. Benché ciò non crei problemi in laboratorio, non è concepibile distribuire un ventilatore che deve essere riconfigurato dal reparto IT ogni volta che viene trasferito in un'ala diversa all'interno di un ospedale. È pertanto necessario che il processore collegato al modulo 802.11 implementi un gestore della configurazione Wi-Fi. Inoltre, il flusso di dati tra il processore e il modulo dovrà essere periodicamente interrotto per permettere al processore di chiedere al modulo di eseguire una ricerca delle reti wireless e quindi decidere di riconfigurare il modulo 802.11 mediante la porta seriale.
L'implementazione di un gestore della configurazione Wi-Fi sul processore collegato implica che il server Web del modulo 802.11 potrebbe non essere utilizzabile per il provisioning, poiché i dati dell'interfaccia utente devono essere inviati al processore, non al modulo stesso. Il processore collegato dovrà ora implementare un server Web completamente nuovo, con un notevole aumento della complessità del progetto.
Per evitare questi problemi, garantendo la facilità d'uso desiderata dai clienti, il modulo Lantronix xPico Wi-Fi dispone di un gestore della configurazione avanzato come parte della suite di software server per dispositivi Lantronix. Questo gestore della configurazione include la caratteristica Profili WLAN, che permette di memorizzare i dettagli di provisioning per più reti Wi-Fi nella memoria flash del modulo xPico Wi-Fi. In questo modo un dispositivo finale potrebbe passare da una rete Wi-Fi a un'altra senza alcuna interazione da parte dell'utente finale o del microcontroller collegato.
Assistenza e manutenzione dei dispositivi
SoftAP simultaneo
In molti casi, è possibile che l'utente finale utilizzi il dispositivo in una struttura con una rete sicura e non desideri fornire accesso a tale rete a un tecnico dell'assistenza. Il modello tradizionale prevede che il dispositivo venga scollegato dalla rete e connesso a un computer portato in loco dal tecnico dell'assistenza per eventuali interventi di servizio o riprogrammazione del dispositivo.Ciò costituisce un problema se è presente un sistema di gestione centrale che monitora il dispositivo, in quanto la disconnessione del dispositivo dalla rete farebbe scattare un allarme. Inoltre, se il dispositivo controlla l'accesso a una porta, non sarebbe possibile utilizzare la porta durante l'intervento di manutenzione.
Una soluzione consiste nell'utilizzare un modulo 802.11 dotato di SoftAP e in grado di eseguire SoftAP simultaneamente all'interfaccia client. In teoria, il modulo permetterà anche l'accesso simultaneo alle risorse del modulo e al microcontroller collegato. In questo modo, il tecnico può accedere al dispositivo, senza dover disporre delle credenziali per entrare nella rete del cliente.
Lantronix xPico Wi-Fi è un modulo che dispone di SoftAP simultaneo ed è in grado di connettersi a una rete Wi-Fi aziendale. Ciò consente un tunnel dati tra il dispositivo finale e un'applicazione cloud oltre a supportare la configurazione del modulo Wi-fi da entrambe le interfacce contemporaneamente. Si tratta di una funzionalità esclusiva dell'applicazione Lantronix Device Server.
Aggiornamenti firmware over-the-air
Un modulo 802.11 richiede talvolta l'aggiornamento del firmware, sia per distribuire nuove caratteristiche sia per correggereproblemi del firmware rilevati dopo la distribuzione del dispositivo. I progettisti di software devono pianificare la modalità di aggiornamento del firmware dall'inizio. La maggior parte dei moduli permette l'aggiornamento con un cavo seriale o JTAG. Ciò richiede che il dispositivo finale porti alla luce la connessione a una piastra, oltre all'accesso fisico al dispositivo per effettuare gli aggiornamenti.
Un'altra opzione offerta da alcuni moduli è l'aggiornamento over-the-air (OTA) tramite la connessione Wi-Fi del dispositivo. Idealmente, l'aggiornamento viene effettuato in sicurezza, in modo che il dispositivo rimanga funzionante nel caso di interruzione della connessione Wi-Fi o dell'alimentazione.
Lantronix xPico Wi-Fi include un'applicazione di aggiornamento OTA che risiede in una parte della memoria flash diversa dal firmware principale. Ciò significa che, in caso di errore dell'aggiornamento, il modulo xPico Wi-Fi eseguirà il riavvio nell'applicazione di aggiornamento OTA per ricevere una nuova immagine del firmware principale.
L'applicazione di aggiornamento OTA memorizza anche il profilo WLAN del client a cui è connessa e, come il gestore della configurazione, può essere gestita tramite WebAPI. Il modulo xPico Wi-Fi, pronto all'uso, può pertanto eseguire aggiornamenti sicuri scritti utilizzando richieste HTTP POST, sia in locale sull'interfaccia SoftAP sia in remoto tramite l'interfaccia client.
Sicurezza
Quando si seleziona un modulo 802.11 occorre considerare numerosi aspetti legati alla sicurezza, tra cui la sicurezza della connessione wireless e quella dei dati.
Sicurezza wireless
La sicurezza wireless limita l'accesso a una rete wireless richiedendo una password e crittografa inoltre i datitra il modulo 802.11 e il punto di accesso. È importante comprendere l'implementazione e le differenze pratiche tra i diversi metodi di connessione.
Una delle prime decisioni da prendere è relativa al fatto che il dispositivo supporti la sicurezza aziendale o personale. La sicurezza personale è il nome consueto per una rete con chiave pre-condivisa. È il tipo di rete che viene distribuita più comunemente, in quanto è la più semplice per l'amministrazione e gli utenti finali. Con la sicurezza personale, tutti utilizzano la stessa passphrase per connettersi alla rete. La vulnerabilità è data dal fatto che è sufficiente conoscere la passphrase per connettersi e, se questa viene modificata, occorre informare tutti gli utenti finali e riconfigurare tutti i dispositivi distribuiti.
La sicurezza aziendale, o 802.1x, risponde a tale vulnerabilità con un nome utente e una password differenti per ogni utente e con l'utilizzo di un server RADIUS back-end per autenticare l'utente e scambiare la chiave di crittografia al completamento dell'autenticazione. Questo tipo di sicurezza è più complesso a livello di amministrazione, in quanto è necessario il server per l'autenticazione. In molti casi, inoltre, per il funzionamento dei dispositivi finali è necessario fornire certificati per l'autenticazione.
Che sia aziendale o personale, la connessione utilizza una chiave di crittografia per i dati. La chiave può essere generata al momento della connessione, come per il protocollo WPA (Wi-Fi Protected Access) o WPA2, o essere la password di connessione effettiva, come per il protocollo WEP (Wired Equivalent Privacy).
Il protocollo WPA2 è più sicuro in quanto utilizza un metodo di crittografia basato su AES (Advanced Encryption Standard). Sia WPA che WEP presentano vulnerabilità sfruttabili. Si consideri che WEP è stato dichiarato obsoleto dalla Wi-Fi Alliance, pertanto è improbabile che qualsiasi nuovo punto di accesso disponga di supporto WEP.
Un problema importante da considerare quando si distribuisce un dispositivo finale è che la rete esistente può utilizzare indifferentemente uno dei tre metodi, quindi il modulo 802.11 scelto deve supportarli tutti. WEP presenta una sfida speciale in quanto richiede una chiave di 10 (WEP64) o 26 (WEP128) cifre esadecimali.
Trattandosi di una chiave difficile da ricordare per gli utenti finali, i produttori del punto di accesso consentono agli utenti di immettere in sostituzione una passphrase. La conversione della passphrase in chiave esadecimale non fa parte della specifica WEP, pertanto i diversi produttori dei punti di accesso scelgono algoritmi di conversione differenti. Lantronix ha identificato 32 algoritmi diversi utilizzati dai punti di accesso.
La caratteristica Lantronix SmartConnect EasyWEP si occupa della gestione dei diversi algoritmi di conversione per consentire agli utenti di immettere la passphrase senza dover utilizzare una chiave esadecimale per connettersi alla rete WEP. La caratteristica SmartConnect EasyWEP utilizza WebAPI di xPico Wi-Fi per accettare una passphrase, quindi prova ogni algoritmo di conversione noto per tentare di stabilire una connessione al punto di accesso. Quando trova l'algoritmo di conversione che completa la connessione, salva il profilo WLAN nella memoria flash con la chiave esadecimale corretta per l'uso futuro.
La scelta di un modulo che permette di immettere unicamente la chiave esadecimale e non la passphrase può comportare inutili chiamate al supporto tecnico o restituzioni del prodotto, perché gli utenti che conoscono solo la passphrase della loro rete non saranno in grado di connettere il dispositivo finale alla rete.
Sicurezza dei dati
La sicurezza wireless gestisce unicamente la crittografia dei dati trasferiti tra il dispositivo finale e il punto di accesso più vicino. Il carico di dati non crittografati può essere intercettato in due punti: innanzitutto, a monte del punto di accesso wireless, in quanto i dati non sono più crittografati con la chiave di sicurezza wireless; in secondo luogo, da un altro dispositivo sulla rete wireless se si utilizza una chiave non sicura o su una rete che non utilizza la sicurezza wireless.
I due metodi più consueti utilizzati per la crittografia dei dati sono Advanced Encryption Standard (AES) e Secure Sockets Layer/Transport Layer Security (SSL/TLS). AES è il metodo approvato da NIST per la crittografia a chiave simmetrica. Ciascuna estremità della connessione ha la stessa chiave per crittografare e decrittografare i dati. Ciò ne agevola la distribuzione che può essere effettuata quando si configura il dispositivo. Per la crittografia e la decrittografia è richiesto un utilizzo intenso della CPU, pertanto è preferibile scegliere un modulo 802.11 che gestisca questa parte, per evitare di doverla implementare nel microcontroller collegato.
Il rovescio della medaglia di questo metodo di crittografia è il fatto che il progettista deve controllare entrambi i dispositivi tra cui avviene la comunicazione, poiché la chiave deve essere fornita sia al dispositivo finale che al server. Per consentire ai client di connettersi a server non di proprietà, è possibile utilizzare SSL/TLS, il metodo impiegato nelle connessioni HTTP sicure o HTTPS. Questo metodo utilizza la crittografia asimmetrica per stabilire la connessione e scambiare le chiavi simmetriche temporanee a ogni connessione.
La vulnerabilità di SSL/TLS è insita nello scambio iniziale dei certificati. Non essendo presente una chiave preconfigurata, è possibile un attacco di tipo man-in-the-middle (MITM) da parte di un utente che reindirizza DNS al server e invia quindi un certificato che rappresenta il server finale. Questo problema è stato risolto con l'introduzione delle Autorità di certificazione (CA). Si tratta di entità attendibili per impostazione predefinita e qualsiasi certificato del server deve essere firmato con il certificato di una CA o un intermediario che può verificare la relazione, anche denominato catena di certificati.
Questo metodo presenta una configurazione più complessa del dispositivo finale. Il dispositivo deve essere configurato con i certificati per le CA attendibili in modo da poter verificare la catena di certificati dei server a cui effettuerà la connessione. Inoltre, poiché i certificati hanno una data di scadenza, deve essere messo in atto un sistema per recuperare e installare nuovi certificati prima della scadenza, per preservare intatta la catena di attendibilità e impedire attacchi MITM.
Molte attività di crittografia dei dati e di configurazione del dispositivo possono essere trasferite al modulo 802.11. Il modulo Lantronix xPico Wi-Fi include la suite di software Lantronix Device Server, che include funzionalità di crittografia, tra cui la configurazione facile, che rendono la crittografia completamente trasparente al dispositivo finale.