Show simple item record

dc.contributor.advisorHonkanen, Risto T.
dc.contributor.authorHakonen, Sami
dc.date.accessioned2023-03-23T06:38:11Z
dc.date.available2023-03-23T06:38:11Z
dc.date.issued2023
dc.identifier.urihttps://jyx.jyu.fi/handle/123456789/86100
dc.description.abstractTässä tutkielmassa tarkoituksena oli selvittää älykoti ja IoT-järjestelmissä yleisesti käytetyn MQTT-protokollan tietoturvallisuuden ominaisuuksia, protokollaan kohdistettavia hyökkäyksiä ja hyökkäyksien lievennyskeinoja. Teoriaosuudessa esitellään älykotien ja IoT-järjestelmien arkkitehtuuria, yleisesti tietoturvallisuutta sen testausta ja älykotien tietoturvallisuutta. Tämän jälkeen esitetään tarkemmin MQTT-protokollan ominaisuuksia yleisesti ottaen ja tietoturvanäkökulmasta, sekä protokollaan kohdistuvia hyökkäystapoja. Tutkielman empiirisessä vaiheessa toteutettiin erilaisia hyökkäystyyppejä protokollaa vastaan. Ensimmäisenä toteutettiin tiedonkeruu välittäjästä käyttäen Nmap-työkalua, testitapauksessa käyttäjän todennus ei ollut käytössä ja havaintona todettiin, että tämä ei tietoturvallisuuden näkökulmasta ole hyvä tapa vaan tiedon luottamuksellisuus, eheys ja saatavuus vaarantuvat. Toisena tapauksena välittäjälle asetettiin todennus ja käyttäjätunnus-salasana-pari hankittiin välittäjältä väsytyshyökkäyksellä Metasploit-työkalua käyttäen. Samaan lopputulokseen päästiin myös ilman väsytyshyökkäystä Wireshark-työkalulla välittäjän ja asiakkaan välistä liikennettä salakuuntelemalla. Viimeisenä tapauksena toteutettiin erityyppisiä palvelunestohyökkäyksiä MQTTSA-ohjelmaa käyttäen. Testissä käytetyistä palvelunestohyökkäyksistä hyötykuormaa pikkuhiljaa kasvattava hyökkäys oli tehokkain estämään järjestelmän toiminnan täysin. Lopuksi testiympäristöön lisättiin päästä päähän TLS-salaus ja yritettiin toistaa hyökkäystapaukset. Hyökkäyksiä ei pystytty toteuttamaan, kun salaus oli käytössä. Jos hyökkääjällä olisi kuitenkin mahdollisuus vaikkapa fyysiseltä laitteelta saada salaukseen käytetty varmenne käyttöönsä, hyökkäykset olisivat mahdollisia. Keskeisinä löydöksinä oli, ettei MQTT-protokolla sisällä kovinkaan vahvoja ominaisuuksia hyökkäyksiä vastaan vaan sitä käyttävän järjestelmän tietoturvallisuuden koventamiseksi olisi hyvä käyttää tietoliikenteen salausta.fi
dc.description.abstractThe purpose of this thesis was to investigate the security features of the MQTT protocol commonly used in smart homes and IoT systems, attacks targeting the protocol, and mitigation methods. The theoretical part introduces the architecture of smart homes and IoT systems, general cybersecurity and its testing, and the cybersecurity of smart homes. This is followed by a detailed presentation of the features of the MQTT protocol in general and from a security perspective, as well as attacks targeting the protocol. In the empirical phase of the thesis, various attack types were implemented as test cases against the protocol. First, information was gathered from the broker using the Nmap tool, where user authentication was not enabled. It was observed that this is not a good security practice as it compromises the confidentiality, integrity, and availability of information. Second, authentication was enabled on the broker, and the username-password pair was obtained from the broker using a brute-force attack with the Metasploit tool. The same result was achieved without a brute-force attack by listening to the traffic between the broker and the client using the Wireshark tool. Finally, different types of denial-of-service attacks were implemented using the MQTTSA program. Of the denial-of-service attacks used in the test, the attack that gradually increases the payload was the most effective in completely preventing the system from functioning. Finally, end-to-end TLS encryption was added to the test environment, and the attack scenarios were attempted to be repeated. Attacks could not be executed when TLS encryption was in use. However, if the attacker were able to obtain the certific te used for encryption, for example, from a physical device, it would be possible to execute the attacks. The main finding was that the MQTT protocol does not have very strong features against attacks, and to enhance the cybersecurity of the system using the protocol, it is advisable to use traffic encryption.en
dc.format.extent61
dc.format.mimetypeapplication/pdf
dc.language.isofi
dc.rightsIn Copyright
dc.titleMQTT-protokollan tietoturvallisuuden testaaminen
dc.identifier.urnURN:NBN:fi:jyu-202303232249
dc.type.ontasotPro gradu -tutkielmafi
dc.type.ontasotMaster’s thesisen
dc.contributor.tiedekuntaInformaatioteknologian tiedekuntafi
dc.contributor.tiedekuntaFaculty of Information Technologyen
dc.contributor.laitosInformaatioteknologiafi
dc.contributor.laitosInformation Technologyen
dc.contributor.yliopistoJyväskylän yliopistofi
dc.contributor.yliopistoUniversity of Jyväskyläen
dc.contributor.oppiaineTietotekniikkafi
dc.contributor.oppiaineMathematical Information Technologyen
dc.rights.copyright© The Author(s)
dc.rights.accesslevelopenAccess
dc.type.publicationmasterThesis
dc.contributor.oppiainekoodi602
dc.subject.ysotietoturva
dc.subject.ysotietotekniikka
dc.subject.ysoprotokollat
dc.subject.ysotietoliikenne
dc.subject.ysosalaus
dc.subject.ysotestaus
dc.subject.ysokyberturvallisuus
dc.subject.ysoesineiden internet
dc.subject.ysoälytalot
dc.format.contentfulltext
dc.rights.urlhttps://rightsstatements.org/page/InC/1.0/
dc.type.okmG2


Files in this item

Thumbnail

This item appears in the following Collection(s)

Show simple item record

In Copyright
Except where otherwise noted, this item's license is described as In Copyright