Иной штраф не по коап что это такое: Иные правонарушения / КонсультантПлюс

Открыть полный текст документа

Об административной ответственности в случае неуплаты административного штрафа в срок, предусмотренный КоАП РФ БАРНАУЛ :: Официальный сайт города

Порядок приема и рассмотрения обращений

Все обращения поступают в отдел по работе с обращениями граждан организационно-контрольного комитета администрации города Барнаула и рассматриваются в соответствии с Федеральным Законом от 2 мая 2006 года № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации», законом Алтайского края от 29.12.2006 № 152-ЗС «О рассмотрении обращений граждан Российской Федерации на территории Алтайского края», постановлением администрации города Барнаула от 21.08.2013 № 2875 «Об утверждении Порядка ведения делопроизводства по обращениям граждан, объединений граждан, в том числе юридических лиц, организации их рассмотрения в администрации города, органах администрации города, иных органах местного самоуправления, муниципальных учреждениях, предприятиях».

Прием письменных обращений граждан, объединений граждан, в том числе юридических лиц принимаются по адресу: 656043, г.Барнаул, ул.Гоголя, 48, каб.114.

График приема документов: понедельник –четверг с 08.00 до 17.00, пятница с 08.00 до 16.00, перерыв с 11.30 до 12.18. При приеме документов проводится проверка пунктов, предусмотренных ст.7 Федерального закона от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»:

1. Гражданин в своем письменном обращении в обязательном порядке указывает либо наименование государственного органа или органа местного самоуправления, в которые направляет письменное обращение, либо фамилию, имя, отчество соответствующего должностного лица, либо должность соответствующего лица, а также свои фамилию, имя, отчество (последнее — при наличии), почтовый адрес, по которому должны быть направлены ответ, уведомление о переадресации обращения, излагает суть предложения, заявления или жалобы, ставит личную подпись и дату.

2.  В случае необходимости в подтверждение своих доводов гражданин прилагает к письменному обращению документы и материалы либо их копии.

3.  Обращение, поступившее в государственный орган, орган местного самоуправления или должностному лицу в форме электронного документа, подлежит рассмотрению в порядке, установленном настоящим Федеральным законом.

В обращении гражданин в обязательном порядке указывает свои фамилию, имя, отчество (последнее — при наличии), адрес электронной почты. Гражданин вправе приложить к такому обращению необходимые документы.

В соответствии со статьей 12 Федерального закона от 2 мая 2006 года № 59-ФЗ письменное обращение, поступившее в государственный орган, орган местного самоуправления или должностному лицу рассматривается в течение 30 дней со дня его регистрации.

Ответ на электронное обращение направляется в форме электронного документа по адресу электронной почты, указанному в обращении, или в письменной форме по почтовому адресу, указанному в обращении.

Итоги работы с обращениями граждан в администрации города Барнаула размещены на интернет-странице организационно-контрольного комитета.

Возможность замены административных штрафов предупреждением

Письмо Федеральной налоговой службы от 8 декабря 2016 г. № ОА-4-17/23483@ «О направлении разъяснений»

Федеральная налоговая служба в связи с поступающими от территориальных налоговых органов вопросами, связанными с применением статьи 4.1.1 Кодекса Российской Федерации об административных правонарушениях (далее — КоАП РФ), сообщает следующее.

На основании статьи 4.1.1 КоАП РФ являющимся субъектами малого и среднего предпринимательства лицам, осуществляющим предпринимательскую деятельность без образования юридического лица, и юридическим лицам, а также их работникам за впервые совершенное административное правонарушение, выявленное в ходе осуществления государственного контроля (надзора), муниципального контроля, в случаях, если назначение административного наказания в виде предупреждения не предусмотрено соответствующей статьей раздела II КоАП РФ или закона субъекта Российской Федерации об административных правонарушениях, административное наказание в виде административного штрафа подлежит замене на предупреждение при наличии обстоятельств, предусмотренных частью 2 статьи 3.4 КоАП РФ, за исключением случаев, предусмотренных частью 2 статьи 4.1.1 КоАП РФ.

Частью 2 статьи 3.4 КоАП РФ предусмотрено, что предупреждение устанавливается за впервые совершенные административные правонарушения при отсутствии причинения вреда или возникновения угрозы причинения вреда жизни и здоровью людей, объектам животного и растительного мира, окружающей среде, объектам культурного наследия (памятникам истории и культуры) народов Российской Федерации, безопасности государства, угрозы чрезвычайных ситуаций природного и техногенного характера, а также при отсутствии имущественного ущерба.

Таким образом, предупреждение может быть применено только за правонарушение, характеризуемое совокупностью следующих условий: совершено впервые и не привело к причинению вреда или возникновению угрозы причинения вреда жизни и здоровью людей, объектам животного и растительного мира, окружающей среде, объектам культурного наследия (памятникам истории и культуры) народов Российской Федерации, безопасности государства, угрозы чрезвычайных ситуаций природного и техногенного характера, причинению имущественного ущерба.

При решении вопроса о квалификации действий лица по статье 4.1.1 КоАП РФ необходимо руководствоваться определением повторности, которое приведено в пункте 2 части 1 статьи 4.3 КоАП РФ. Согласно указанной норме повторным совершением административного правонарушения признается совершение однородного административного правонарушения в период, когда лицо считается подвергнутым административному наказанию в соответствии со статьей 4.6 КоАП РФ.

Согласно правовой позиции, изложенной в пункте 19.1 Постановления Пленума ВАС РФ от 02.06.2004 № 10 однородными считаются правонарушения, ответственность за совершение которых предусмотрена одной статьей Особенной части КоАП РФ.

В силу статьи 4.6 КоАП РФ лицо считается подвергнутым административному наказанию со дня вступления в законную силу постановления о назначении административного наказания и до истечения одного года со дня исполнения данного постановления.

В этой связи при решении вопроса о применении в отношении лица статьи 4.1.1 КоАП РФ необходимо выяснить, привлекалось ли ранее это лицо к административной ответственности за однородное правонарушение. Если да, то необходимо выяснить исполнено ли постановление о назначении лицу административного наказания и дату окончания исполнения указанного постановления, не прекращалось ли его исполнение, не истек ли срок, в течение которого лицо считается подвергнутым административному наказанию, не пересматривались ли постановление о назначении лицу административного наказания и последующие постановления, связанные с его исполнением.

Следует учитывать, что если по результатам проведенной проверки выявлено несколько однородных административных правонарушений, но имеются критерии, указанные в статье 4.1.1 КоАП РФ, то лицо, совершившее правонарушения, привлекается к ответственности в виде предупреждения за каждое из правонарушений.

В соответствии с частью 1 статьи 1.7 КоАП РФ лицо, совершившее административное правонарушение, подлежит ответственности на основании закона, действовавшего во время совершения правонарушения. Часть 2 указанной статьи устанавливает, что закон, смягчающий административную ответственность, либо иным образом улучшающий положение лица, привлекаемого к ответственности, имеет обратную силу, то есть распространяется и на лицо, которое совершило административное правонарушение до вступления такого закона в силу и в отношении которого постановление о назначении административного наказания не исполнено.

Как следует из положений части 1 статьи 30.1 КоАП РФ, постановление по делу об административном правонарушении, вынесенное должностным лицом налогового органа, может быть обжаловано в вышестоящий налоговый орган или суд.

По результатам рассмотрения жалобы, согласно пункту 2 части 1 статьи 30.7 КоАП РФ, вышестоящий налоговый орган может вынести решение об изменении постановления, если при этом не усиливается административное наказание или иным образом не ухудшается положение лица, в отношении которого вынесено постановление.

Следовательно, в случае обращения в вышестоящий налоговый орган с жалобой о замене административного наказания в виде штрафа на предупреждение на основании части 1 статьи 4.1.1 КоАП РФ, вышестоящий налоговый орган вправе осуществить замену штрафа на предупреждение при соблюдении условий, предусмотренных частью 2 статьи 3.4 КоАП РФ.

Управлениям Федеральной налоговой службы по субъектам Российской Федерации довести настоящее письмо до нижестоящих налоговых органов.

Как применяется норма о замене штрафа предупреждением

ФНС полагает, что положения недавно введенной ч. 1 ст. 4.1.1 КоАП РФ о замене штрафа предупреждением не применимы к ч. 3-5 ст. 14.25 данного кодекса – о штрафах за нарушения при госрегистрации компании или ИП.

Служба объясняет это следующим образом.

Часть 1 ст. 4.1.1 гласит, что если компания или ИП, относящиеся к категории малого или среднего бизнеса, впервые совершат правонарушение, выявленное в ходе осуществления госконтроля (надзора), ответственность за которое предусмотрена КоАП РФ, то вместо штрафа им должно быть выдано лишь предупреждение.

Частями 3-5 ст. 14.25 предусмотрена ответственность за несвоевременное представление сведений о компании или ИП и представление недостоверных сведений при госрегистрации.

Вместе с тем отношения в связи с госрегистрацией юрлиц при их создании, реорганизации, ликвидации и при внесении изменений в устав, а также в связи с ведением ЕГРЮЛ и ЕГРИП, регулируются Законом от 08.08.2001 № 129-ФЗ.

Данный закон, как и какие-либо иные нормативные правовые акты не предусматривают осуществление Федеральной налоговой службой госконтроля (надзора) в сфере госрегистрации юрлиц и ИП.

ПИСЬМО ФНС РФ от 08.11.2016 № ГД-4-14/21127@

Документ включен в СПС «КонсультантПлюс»

эта оригинальная интерпретация закона, к сожалению, не выдерживает критики.

Правонарушения, к которым не применима ч. 1 ст. 4.1.1 КоАП РФ, перечислены в ч. 2 этой же статьи. Частей 3-5 ст. 14.25 кодекса среди них нет. Поэтому на данные части правило о замене штрафа предупреждением распространяется.

Что касается отсутствия у ФНС контрольных полномочий в сфере госрегистрации, то:

•  во-первых, не имеет значения, у какого госоргана (ФНС или другого) есть такие полномочия, поскольку, если существует ст. 14.25 КоАП РФ, значит, какой-то госорган уполномочен контролировать соблюдение тех требований законодательства, за нарушение которых эта статья предусматривает наказание;
•  во-вторых, такие полномочия все-таки есть именно у ФНС, поскольку, например, в ч. 1 ст. 23.6 КоАП черным по белому написано: «Федеральный орган исполнительной власти, осуществляющий государственную регистрацию юридических лиц и индивидуальных предпринимателей, рассматривает дела об административных правонарушениях, предусмотренных частями 3 и 4 статьи 14.25 настоящего Кодекса.».

Более того, сама ФНС в своем письме от 25.06.2014 № СА-4-14/12088 привела подробную инструкцию по возбуждению дел по этой статье.

При выявлении налоговым органом по месту учета юрлица достаточных данных, указывающих на наличие события административного правонарушения в виде представления документов, содержащих заведомо ложные сведения об адресе (месте нахождения) юрлица, документы в течение 5 рабочих дней направляются в регистрирующий орган для составления протокола по ч. 4 ст. 14.25 КоАП РФ, а при отсутствии доказательств заведомой ложности представляемых сведений – по ч. 3 ст. 14.25 КоАП РФ.

В случае, когда функции регистрирующего органа и налогового органа осуществляются одним налоговым органом, мероприятия, указанные в настоящем письме, осуществляются данным налоговым органом.

Возникает вопрос: на основании каких норм законодательства написано это письмо, если, как утверждает ФНС, ни Закон 129-ФЗ, ни иные нормативные правовые акты не предусматривают осуществление Федеральной налоговой службой госконтроля (надзора) в сфере госрегистрации юрлиц и ИП?

Юрист перечислил случаи, когда можно получить штраф за видеорегистратор

https://ria.ru/20210627/videoregistrator-1738691869.html

Юрист перечислил случаи, когда можно получить штраф за видеорегистратор

Юрист перечислил случаи, когда можно получить штраф за видеорегистратор — РИА Новости, 27.06.2021

Юрист перечислил случаи, когда можно получить штраф за видеорегистратор

С одной стороны, можно часто слышать, что без «регистраторов» скоро запретят эксплуатировать транспортное средство. С другой стороны, есть утверждения, что за… РИА Новости, 27.06.2021

2021-06-27T01:15

2021-06-27T01:15

2021-06-27T09:20

анатолий миронов (адвокат)

россия

штрафы

авто

общество

/html/head/meta[@name=’og:title’]/@content

/html/head/meta[@name=’og:description’]/@content

https://cdn22.img.ria.ru/images/148975/12/1489751228_0:160:3076:1890_1920x0_80_0_0_de8deb470385eba33e5897adeed52cc1.jpg

МОСКВА, 27 июн — РИА Новости. С одной стороны, можно часто слышать, что без «регистраторов» скоро запретят эксплуатировать транспортное средство. С другой стороны, есть утверждения, что за размещение видеорегистратора можно получить штраф. Но на практике такие меры отсутствуют, рассказал агентству «Прайм» заведующий филиалом московской коллегии адвокатов «Защита» Анатолий Миронов.»Существует мнение, что размещение слишком большого видеорегистратора, по центру лобового стекла может повлечь за собой штраф по ст.12.5 КоАП, так как он ограничивает водителю обзорность. Штраф за эксплуатацию транспортного средства в условиях созданных ограничений обзора действительно существует, и на практике это чаще всего связано с наклейками на ветровое или боковые стекла», — подчеркнул юрист.Миронов посоветовал принимать решение об установке или не установке видеорегистратора, исходя из собственных потребностей, согласно существующим регламентам.

https://ria.ru/20210619/dorogi-1737652727.html

россия

РИА Новости

[email protected]

7 495 645-6601

ФГУП МИА «Россия сегодня»

https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/

2021

РИА Новости

[email protected]

7 495 645-6601

ФГУП МИА «Россия сегодня»

https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/

Новости

ru-RU

https://ria.ru/docs/about/copyright.html

https://xn--c1acbl2abdlkab1og.xn--p1ai/

РИА Новости

[email protected]

7 495 645-6601

ФГУП МИА «Россия сегодня»

https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/

РИА Новости

[email protected]

7 495 645-6601

ФГУП МИА «Россия сегодня»

https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/

РИА Новости

[email protected]

7 495 645-6601

ФГУП МИА «Россия сегодня»

https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/

анатолий миронов (адвокат), россия, штрафы, авто, общество

Юрист перечислил случаи, когда можно получить штраф за видеорегистратор

Минюст кардинально меняет процедуру выдачи исполнительных документов

Минюст Росиии подготовил правовую базу для перехода на «реестровую модель» учета и выдачи исполнительных документов в рамках суперсервиса «Цифровое исполнительное производство». Масштабные поправки предлагается внести во все процессуальные кодексы РФ, Налоговый, Трудовой и Семейный кодексы, КоАП, а также в законы об исполнительном производстве и об уполномоченном по правам потребителей финансовых услуг. Новая модель полноценно заработает не раньше 2023 года.

Новая реестровая модель

Согласно предложенным изменениям, реестр исполнительных документов — это государственный информационный ресурс, ведение которого осуществляется в электронной форме, предназначенный для учета сведений об исполнительном документе, его сторонах, ходе его принудительного исполнения. Оператором реестра предлагается определить ФССП. Его формирование и ведение будет осуществляться в Государственной информационной системе о государственных и муниципальных платежах.

Повышенная конфиденциальность

В отличие от банка данных, в исполнительном производстве реестр будет доступен ограниченному кругу лиц. В частности, доступ к информации об исполнительном документе и о ходе его исполнения будет предоставлен сторонам исполнительного производства, их представителям, органу, вынесшему исполнительный документ, судебному приставу-исполнителю, ведущему исполнительное производство, а также иным должностным лицам ФССП. Доступ к данным также получат иные лица и организации (в том числе банки), выплачивающие должнику заработную плату, пенсию, стипендию и иные периодические платежи, лица, осуществляющие учет прав на эмиссионные ценные бумаги должника при осуществлении ими списания (ареста) денежных средств должника, эмиссионных ценных бумаг.

Как будет работать реестр

Выдача на руки исполнительных документов и направление в ФССП для исполнения больше не предполагается. Вместо этого в новом реестре будут регистрироваться сведения об исполнительном документе. Основанием удержания средств и возбуждения исполнительного производства будет являться не исполнительный документ, а запись в реестре, сделанная уполномоченным органом.

При этом сохраняется процедура изготовления исполнительных документов, а также порядок исполнения исполнительных документов, предусматривающих обращение взыскания на средства бюджетов бюджетной системы РФ, бюджетных и автономных учреждений органами, осуществляющими открытие и ведение лицевых счетов должника.

Что касается судей, то они будут должны регистрировать судебные приказы и исполнительные листы в автоматизированных информационных системах (АИС) судов, откуда эта информация будет поступать в реестр исполнительных документов в автоматическом режиме. Предполагается обеспечить доступ к АИС для всех судов Российской Федерации, включая мировых судей.

Например, поправками в УПК РФ предлагается следующая процедура. Предусматривается, что для исполнения приговора, определения, постановления суда в части имущественных взысканий суд в течение трех рабочих дней со дня вступления в силу приговора (постановления или определения), в том числе в части назначения штрафа, изготавливает исполнительный лист. Информация об этом размещается в АИС суда, после чего в течение суток автоматически направляется в реестр исполнительных документов.

Год на подготовку

Предусматривается, что полноценная реестровая модель будет внедрена не ранее 1 января 2023 года. До этого времени исполнительные документы могут быть предъявлены к исполнению на бумажном носителе или в форме электронного документа либо направляться на исполнение через реестр исполнительных документов.

В чем плюсы реестровой модели

Как поясняют в Минюсте РФ, создание электронного реестра исполнительных документов повысит прозрачность работы судебных приставов и упростит процесс исполнительного производства. В частности, сократит личные контакты и операционные затраты на взаимодействие с приставами, снизит временные издержки, связанные с процессом предъявления и возбуждения исполнительного производства. Кроме того, реестр позволит решить ряд существующих проблем в сфере принудительного исполнения, связанных с подделкой исполнительных документов и их реквизитов и подделкой отметки об остатке задолженности по исполнительному документу, двойного исполнения оригинала и дубликата исполнительного документа, а также снизить коррупционные факторы, связанные с процессом предъявления и возбуждения исполнительного производства.

Штрафы, не размещённые на портале госуслуг, можно будет не оплачивать – законопроект

В Госдуму во вторник поступил законопроект с предложением внести изменения в статью 2.6.1 Кодекса Российской Федерации об административных правонарушениях (КоАП РФ), согласно которым информация о привлечении к административной ответственности должна быть размещена на Едином портале государственных и муниципальных услуг в личном кабинете лица, привлекаемого к административной ответственности, с указанием даты размещения данной информации.

В случае, если такая информация не размещена в течение 10 дней со дня фиксации административного правонарушения работающими в автоматическом режиме специальными техническими средствами («камерами ГИБДД»), водитель (владелец) транспортного средства освобождается от административной ответственности.

«Среди водителей транспортных средств появилась устойчивая тенденция получения уведомлений о наложении административных штрафов за административные правонарушения, совершенные ими достаточно давно: полгода, год или даже три года назад, зафиксированные работающими в автоматическом режиме специальными техническими средствами», – поясняют авторы документа.

Последнее время сведения о самом распространённом административном наказании – за нарушение правил дорожного движения – на Едином портале госуслуг действительно публикуются со значительным опозданием, которое не позволяет воспользоваться водителям законными льготами (оплата 50% суммы штрафа в течение первых двух недель, беспошлинная оплата с банковских карт «Мир»), при этом постановление о наложении штрафа приходит по электронной почте в день нарушения.

Обилие сервисов, принимающих оплату штрафов ГИБДД, не столько решает проблему, сколько порождает другие проблемы – в частности, связанные с информационной безопасностью.

Претензии к задержке публикации сведений об административных правонарушениях на Едином портале госуслуг служба поддержки портала не принимает. Гражданина переадресовывают в ГИБДД и при этом уверяют, что «на портале штраф отобразится в течение трёх дней, уведомление о штрафе на почту приходит чуть раньше».

CoAP — протокол приложений с ограничениями

Модель REST для небольших устройств

Как и HTTP, CoAP основан на чрезвычайно успешной модели REST: Серверы делают ресурсы доступными по URL-адресу, а клиенты получают доступ к этим ресурсам с помощью таких методов, как GET, PUT, POST и DELETE.

Передача существующих навыков

С точки зрения разработчика, CoAP очень похож на HTTP.Получение значения от датчика мало чем отличается от получения значения из веб-API.

Готово к интеграции

Поскольку HTTP и CoAP используют модель REST, их можно легко подключить с помощью кросс-протокольных прокси-серверов, не зависящих от приложений. Веб-клиент может даже не заметить, что он только что обратился к ресурсу датчика!

Выберите свою модель данных

Как и HTTP, CoAP может нести различные типы полезной нагрузки и может определять, какой тип полезной нагрузки используется.CoAP интегрируется с XML, JSON, CBOR, или любой формат данных по вашему выбору.

Сделано для миллиардов узлов

Интернету вещей потребуются миллиарды узлов, многие из которых должны быть недорогими. CoAP был разработан для работы с микроконтроллерами с объемом оперативной памяти всего 10 КБ и пространством кода 100 КБ (RFC 7228).

Держите отходы под контролем

CoAP предназначен для использования минимальных ресурсов как на устройстве, так и в сети.Вместо сложного транспортного стека он использует UDP на IP. Фиксированный 4-байтовый заголовок и компактное кодирование опций позволяют небольшие сообщения, которые не вызывают или вызывают небольшую фрагментацию ссылки слой. Многие серверы могут работать полностью без сохранения состояния.

Интегрированное открытие

Каталог ресурсов CoAP предоставляет способ обнаружить свойства узлов в вашей сети.

Хорошо разработанный протокол

CoAP был разработан как документ стандартов Интернета, RFC 7252. Протокол рассчитан на десятилетия. Не решены такие сложные вопросы, как контроль перегрузки под ковриком, но были решены с использованием современного уровня техники.

Безопасный

Интернет вещей не может распространяться до тех пор, пока хакеры могут использовать его по своей воле.CoAP не только на словах говорит о безопасности, но и обеспечивает надежную защиту. Выбор параметров DTLS по умолчанию для CoAP эквивалентен 3072-битные ключи RSA, но все же отлично работают на самых маленьких узлах.

Протокол CoAP — следующий важный шаг для DDoS-атак

RFC 7252, также известный как протокол ограниченного приложения (CoAP), скоро станет одним из наиболее часто используемых протоколов с точки зрения DDoS-атак, сообщили ZDNet исследователи в области безопасности.

Если читатели не узнают название этого протокола, это потому, что он новый — официально одобрен только недавно, в 2014 году, и практически не использовался до этого года.

Что такое CoAP?

CoAP был разработан как облегченный межмашинный протокол (M2M), который может работать на интеллектуальных устройствах, где память и вычислительные ресурсы ограничены.

В очень упрощенном объяснении CoAP очень похож на HTTP, но вместо того, чтобы работать поверх пакетов TCP, он работает поверх UDP, более легкого формата передачи данных, созданного в качестве альтернативы TCP.

Подобно тому, как HTTP используется для передачи данных и команд (GET, POST, CONNECT и т. Д.) Между клиентом и сервером, CoAP также позволяет использовать те же функции многоадресной рассылки и передачи команд, но не требует такого же количества ресурсов, что делает он идеально подходит для сегодняшней растущей волны устройств Интернета вещей (IoT).

Но, как и любой другой протокол на основе UDP, CoAP по своей природе подвержен спуфингу IP-адреса и усилению пакетов — двум основным факторам, которые позволяют усилить DDoS-атаку.

Злоумышленник может отправить небольшой UDP-пакет клиенту CoAP (устройству IoT), и клиент ответит пакетом гораздо большего размера. В мире DDoS-атак размер ответа на этот пакет известен как коэффициент усиления, а для CoAP он может варьироваться от 10 до 50, в зависимости от начального пакета и результирующего ответа (и анализа протокола, который вы читаете. ).

Кроме того, поскольку CoAP уязвим для IP-спуфинга, злоумышленники могут заменить «IP-адрес отправителя» IP-адресом жертвы, против которой они хотят запустить DDoS-атаку, и эта жертва получит прямую силу усиленного трафика CoAP.

Люди, которые разработали CoAP, добавили функции безопасности для предотвращения подобных проблем, но, как Cloudflare указал в прошлогоднем сообщении в блоге, если производители устройств реализуют эти функции безопасности CoAP, протокол CoAP перестанет быть таким легким, что сводит на нет все преимущества легкого протокола.

Вот почему большинство сегодняшних реализаций CoAP отказываются от использования усиленных режимов безопасности для режима безопасности «NoSec», который поддерживает протокол, но также уязвим для злоупотреблений DDoS.

Рост CoAP

Но поскольку CoAP был новым протоколом, несколько сотен уязвимых устройств здесь и там никогда не были бы проблемой, даже если бы все они работали в режимах NoSec.

К сожалению, все стало меняться. Согласно докладу, который Деннис Рэнд, основатель eCrimeLabs, сделал летом на конференции по безопасности RVAsec (отметка 19:40), количество устройств CoAP резко возросло с ноября 2017 года.

Рэнд говорит, что количество устройств CoAP резко выросло. от скромных 6500 в ноябре 2017 года до более 26000 в следующем месяце. Ситуация стала еще хуже в 2018 году, потому что к маю это число составляло 278000 устройств, а сегодня цифра колеблется на уровне 580 000-600 000, согласно Shodan, поисковой системе для устройств, подключенных к Интернету.

Rand предполагает, что причиной этого взрыва является использование CoAP как части QLC Chain (ранее известного как QLink), проекта, нацеленного на создание децентрализованной мобильной сети на основе блокчейна с использованием узлов Wi-Fi, доступных по всему Китаю.

Но этот внезапный рост числа легкодоступных и плохо защищенных клиентов CoAP не остался незамеченным. За последние несколько недель первые DDoS-атаки, осуществленные через CoAP, начали оставлять свой след.

Исследователь безопасности, который занимается DDoS-атаками, но не может назвать свое имя из-за трудовых договоров, сказал ZDNet, что атаки CoAP случались время от времени в течение последних месяцев, с возрастающей частотой, достигающей в среднем 55 Гбит / с, а также самый большой с тактовой частотой 320 Гбит / с.

Среднее значение 55 Гбит / с на порядок превышает средний размер обычной DDoS-атаки, который составляет 4,6 Гбит / с, по данным компании Link11, занимающейся предотвращением DDoS-атак.

Из 580 000 устройств CoAP, доступных сегодня на Shodan, тот же исследователь сообщил ZDNet, что примерно 330 000 можно (ab) использовать для ретрансляции и усиления DDoS-атак с коэффициентом усиления до 46 раз.

Из зафиксированных исследователем атак большинство нацелено на различные онлайн-сервисы в Китае, а также на некоторые платформы MMORPG за пределами материкового Китая.

Неясно, был ли добавлен CoAP в качестве варианта атаки на платформы DDoS-for-найма, но как только это произойдет, такие атаки станут еще более интенсивными.

Кроме того, использование CoAP в реальном мире в этом году резко возросло, но в основном было ограничено Китаем. Можно с уверенностью предположить, что как только CoAP уже станет популярным в Китае, сегодняшнем главном производственном центре, уязвимые устройства также распространятся в другие страны, поскольку устройства, произведенные в коммунистическом государстве, будут продаваться за границу.

Нас предупредили

Как и в случае с большинством протоколов, разработанных с учетом IoT, проблема, похоже, заключается не в конструкции протокола, который включает некоторые базовые функции безопасности, а в том, как производители устройств настраивают и доставка CoAP в действующие устройства.

К сожалению, в этом нет ничего нового. Многие протоколы часто неправильно конфигурируются, случайно или намеренно, производителями устройств, которые часто предпочитают функциональную совместимость и простоту использования безопасности.

Но кое-что, что будет раздражать некоторых исследователей безопасности, заключается в том, что некоторые предсказывали, что это произойдет еще до того, как CoAP был утвержден в качестве официального стандарта Интернета, еще в 2013 году.

Этого бедствия можно было бы полностью избежать, если бы только страны по всему миру имели больше строгие правила в отношении устройств Интернета вещей и их функций безопасности.

Кстати, по совпадению, поскольку DDoS-атаки CoAP теперь начинают становиться заметными, Федерико Магги, исследователь безопасности из Trend Micro, также взглянул на возможности усиления DDoS-атак CoAP, исследование, которое он собирается представить. на конференции по безопасности Black Hat на этой неделе в Лондоне.

В том же исследовании также рассматривался другой протокол M2M, MQTT, также известный как беспорядок, в котором исследователь обнаружил несколько уязвимостей.

Другие новости безопасности:

CoAP и Web of Things Watching Things

С расширением Интернета вещей (IoT) и разнообразием продуктов и технологий все согласны с тем, что пора начать соглашаться: Интернет вещей нуждается в стандартах.Многие согласны с тем, что для этого нужны открытые стандарты, подобные тем, которые лежат в основе Интернета.

Очевидно, что сеть вещей будет сильно отличаться от сети документов и приложений: она будет намного более детализированной и более «шумной», с множеством датчиков и исполнительных механизмов, работающих вместе со многими концентраторами и службами. Более вероятно, что Интернет-протокол следующего поколения: IPv6 станет лучше.

Чтобы соответствовать мелкозернистой и динамичной природе Интернета вещей, был создан протокол ограниченного приложения, или CoAP.CoAP — это открытый стандарт Интернета для сети вещей. Он основан на основном канале Интернета: HTTP, но имеет много отличий, позволяющих использовать его на устройствах с очень ограниченными ресурсами и в локальных радиосетях.

CoAP можно использовать по-разному, но есть опасность, что отсутствие ясности в том, как именно он используется, означает, что он не реализует весь свой потенциал для соединения встроенных устройств мира.

В этой статье предлагается простой и понятный способ использования CoAP для построения единой, глобальной, децентрализованной сети взаимодействующих и доступных для обнаружения вещей.

Модель взаимодействия CoAP

Проще говоря, CoAP говорит, что вы должны отправить Интернет-пакет (UDP) для запроса данных устройства — GET на URL-адрес устройства — а затем ожидать обратно пакет с этими данными, возможно, значением датчика. Вы также можете отправить пакет данных на устройство — POST на его URL-адрес.

Расширение CoAP для наблюдения позволяет вам продолжать получать обратно пакеты данных после GET при изменении состояния устройства по его URL-адресу.

Способы взаимодействия и программирования

Этот простой протокол действительно уникален в мире Интернета вещей.Большинство подходов к IoT работают через события и сообщения — датчики и исполнительные механизмы могут быть подключены к потоку событий или шине сообщений. Модель, используемая для программирования вещей, отражает это: события и сообщения, как правило, приводят к действиям и командам, а затем к централизованному управлению либо на центральном сервере в доме, либо в службе в облаке. Централизованное управление имеет тенденцию к разрозненности, собственным форматам и протоколам приложений.

CoAP с собственными URL-адресами совершенно иная.Сеть, к которой принадлежит CoAP, работает через децентрализацию, давая каждому возможность публиковать и связываться с кем-либо еще. Эти ссылки побуждают всех использовать одни и те же форматы для своих данных, что приводит к повторному использованию и «собираемости». Отсутствие централизации и большей функциональной совместимости приводит к большей свободе быстрого внедрения инноваций и построения на основе данных друг друга.

Но поскольку модель событие / действие или сообщение / команда так хорошо знакома в мире IoT, многие люди неизбежно попытаются использовать CoAP таким образом и упустят все преимущества, которые были доказаны беспрецедентным масштабом Интернета. .

И даже если они примут модель CoAP и Web, все равно будет достаточно гибкости, чтобы позволить различным группам людей идти своим путем и терять многие из преимуществ. Например, у людей по-прежнему нет для использования связей между своими мирами и нет для использования тех же форматов. Им не обязательно использовать POST точно так же, чтобы добиться динамического взаимодействия с устройствами. Путь, которым пошли веб-API — создание тысяч изолированных разрозненных хранилищ — убедительное доказательство этого риска.

Одноранговое программирование вещей

Так как же всем следует использовать CoAP? Как я уже сказал, люди должны хотя бы подключиться к сети и использовать одни и те же форматы для освещения, диммеров, замков и температуры. И используйте определение этих форматов для построения моделей взаимодействия на стороне POST.

Однако, в отличие от Сети крупномасштабных документов и приложений, браузеров и веб-серверов и асимметрии клиент-сервер, Интернет вещей — это Интернет датчиков, исполнительных механизмов и концентраторов; взаимодействующие устройства, которые работают как симметричных узла в сетке, потенциально IPv6.

Эта симметрия и одноранговое взаимодействие включены в модель CoAP и могут привести к интересному, простому и эффективному подходу к Интернету вещей и к эволюции самой Сети. Здесь есть возможность пойти на шаг дальше, чем Интернет, с помощью простой и мощной модели программирования, основанной на наблюдении коллег .

Свет зависит от датчика уровня освещенности

Например, рассмотрим, возможно, простейшее вообразимое взаимодействие с Интернетом вещей: свет, который реагирует на датчик, измеряющий уровень окружающего освещения и цветовую температуру, соответствующим образом регулируя его яркость и цвет, либо для соответствия, либо для компенсации.

Есть два одноранговых узла — и нам не нужен центральный контроллер . Свет зависит от датчика. У них обоих есть URL-адреса, поэтому свет может связать с датчиком. Мы используем CoAP, поэтому свет может наблюдать за самим датчиком :

Свет зависит от датчика уровня освещенности. Это простая, мощная модель взаимодействия и программирования, которую CoAP позволяет нам использовать — если мы позволим Вещам самим быть наблюдающим клиентом. Состояние Вещи зависит от состояний других Вещей, с которыми она связана.У вас также могут быть другие абстрактные, нереальные Вещи, взаимодействующие в одноранговой сетке, которые мы все еще можем называть Объектами.

Я не буду вдаваться в подробности здесь о том, как именно CoAP будет использоваться для достижения этого: URL-адреса и форматы полезной нагрузки, а также использование GET, наблюдения и POST, которые позволяют Things быть наблюдателями клиента. Я задокументирую это в другом месте, но это будет основано на моем архитектурном стиле FOREST и объектной сети.

Вещи наблюдают за вещами

Интернет вещей может быть объединяемой паутиной вещей.Если мы собираемся использовать CoAP для создания этой мелкозернистой, «оживленной», децентрализованной сети, то мы должны использовать ее как Интернет: мы должны согласовать форматы данных устройства и связать все наши вещи и другие вещи. -Thing данные объекта через их URL-адреса. Общие форматы также должны определять, как следует использовать POST. Это основное требование.

Затем мы можем сделать смелый шаг вперед, используя механизм наблюдения CoAP, чтобы построить симметричную одноранговую сетку вещей и объектов, которые связываются, наблюдают и зависят друг от друга: просто позволяя самим вещам и объектам быть наблюдающими клиентами.Это все, что я предлагаю — чтобы Вещи просто наблюдали друг за другом, а не наблюдали невидимые процессы.

Это одноранговая модель, в которой каждый игрок в IoT автономен: наделен полномочиями контролировать себя и независимо и одновременно развивать собственное опубликованное состояние. Это может создать глобальную, видимую, слабосвязанную одноранговую сеть из взаимно наблюдающих, взаимодействующих и взаимодействующих вещей и объектов.

Программы для анимации этих одноранговых вещей и объектов могут быть чрезвычайно простыми: вам нужно только описать, как их новое состояние должно быть установлено в зависимости от состояний вокруг.Это похоже на программирование электронной таблицы. Это также изначально параллельная и распространяемая модель программирования. Мой язык программирования Cyrus предназначен для выражения такого рода программ.

Дункан — главный консультант лондонского офиса Thoughtworks. Узнайте больше о его мыслях об Интернете вещей в его блоге или подпишитесь на него на @ duncancragg.

Сканирование доступных устройств CoAP — VARIoT

Поиск доступных устройств CoAP

В рамках проекта VARIoT партнер консорциума Shadowserver Foundation внедрил новый тип сканирования CoAP IPv4 и отчет Accessible CoAP.Этот блог направлен на обновление нашей исходной записи в блоге, в которой объявляется о сканировании в июне 2020 года, путем предоставления последних результатов сканирования и разбивки отвечающих хостов в ЕС.

Что такое CoAP?

Сканирование направлено на обнаружение устройств, на которых открытая служба CoAP работает на порту 5683 / UDP. CoAP — это специализированный протокол веб-передачи (похожий на HTTP) для использования с ограниченными узлами и ограниченными сетями. Как описано в RFC 7252, CoAP разработан для использования в межмашинных приложениях (M2M), таких как интеллектуальная энергетика и автоматизация зданий.

Как мы сканируем

Мы сканируем, отправляя 21-байтовый запрос обнаружения ресурсов CoAP CoRE: мы отправляем запрос CoAP GET для /.well-known/core на порт по умолчанию (5693 / UDP) на все ~ 4 миллиарда маршрутизируемых адресов IPv4 каждый день. Относительный URI /.well-known/core действует как точка входа по умолчанию для запроса списка ссылок о ресурсах и возвращает набор ссылок на доступные службы с сервера CoAP (если есть) с использованием формата ссылок CoRE (RFC 6690). . Мы сообщаем только об ответах, для которых для кода ответа CoAP установлено значение «Успешно».

Каковы основные угрозы, связанные с открытыми услугами CoAP?

Одной из основных угроз, связанных с открытыми службами CoAP, является их возможное использование в качестве отражателей для атак с усилением DDoS (RDDoS). Средний коэффициент усиления служб CoAP был определен в прошлом на уровне 34. Наш средний измеренный размер ответа на 21-байтовый запрос CoRE Resource Discovery составил 569 байтов (без накладных расходов UDP), что примерно в 27 раз больше входящего запрос.

Мы также обнаружили, что многие из этих служб CoAP могут вызывать утечку информации (включая учетные данные для авторизации в службы, такие как сети Wi-Fi). Для определенных устройств в некоторых случаях может быть даже возможно отдавать удаленные инструкции незащищенным устройствам с помощью CoAP.

В прошлом также были программные уязвимости в реализациях / библиотеках CoAP, которые также потенциально могли быть использованы для удаленного выполнения кода на некоторых из этих открытых устройств.

Подробное исследование вопросов безопасности CoAP (и MQTT) можно найти в документе, опубликованном Trend Micro.

Последние результаты
Наше производственное сканирование при первом включении во второй половине июня выявило более 464 000 отвечающих хостов IPv4. С тех пор это число неуклонно снижается. Сканирование от 12 августа 2020 года показывает, что ответили 387 642 хостов.

результатов сканирования CoAP в день по континентам

основных стран с доступными услугами CoAP (20 июня 2020 г.)

Филиппины, Китай и Россия имели наибольшее количество доступных хостов на 20 июня 2020 года.Это по-прежнему так, но цифры по Китаю и России заметно снизились. Как было обнаружено ранее, преобладающие ответы CoAP, полученные на Филиппинах и в Китае, показывают ресурсы Qlink (теперь переименованные в QLC Chain) как «общедоступную цепочку следующего поколения для Network-as-a-Service (NaaS)». В России (и на Украине) большинство ответов CoAP поступает от устройств, очевидно, содержащих встроенное программное обеспечение NDM Systems (описанное на ее веб-сайте как «компания, занимающаяся разработкой программного обеспечения для интеллектуальных маршрутизаторов»).

Лучшие страны с доступными услугами CoAP (12 августа 2020 г.)

В ЕС (+ Великобритания) цифры были более стабильными:

Результаты сканирования CoAP с течением времени (ЕС + Великобритания)

доступных хостов CoAP IPv4 на страну (12 августа 2020 г.).

Цифры значительно ниже, чем в Азии или России. В Италии и Германии наиболее открытые услуги CoAP в ЕС. Некоторые хосты в Германии, похоже, имеют программное обеспечение NDM Systems, но их количество намного меньше, чем в России, Украине или Беларуси:

Лучшие страны с доступными услугами CoAP (ЕС + Великобритания) 12 августа 2020 г.

Доступный отчет CoAP

Новый доступный отчет CoAP был предоставлен сообществу защитников Интернета со второй половины июня 2020 года (в настоящее время 112 национальных CSIRT и более 5800 владельцев сетей по всему миру) в рамках ежедневных бесплатных каналов новостей Shadowserver.Формат следующий:

Образец того, что рассылается ежедневно, выглядит следующим образом:

 "отметка времени", "ip", "протокол", "порт", "имя хоста", "тег", "asn", "гео", "регион", "город", "naics", "sic", " отклик"
«2020-06-20 01:21:27», «192.0.2.5», «udp», 5683, «dsl.192.0.2.0.pldt.net», «coap», 9299, «PH», «NUEVA ECIJA» "," DEL PILAR ", 517311 ,,"; title = "" Общая информация ""; ct = 0,; title = qlink / searchfh,; title = qlink / searchgw,; title = qlink / request,; title = qlink / success,; title = устройство / inform / bootstrap,; title = device / inform / boot,; title = device / inform / syncreq,; title = device / inform / offline,; title = device / inform / heartbeat,; title = устройство / информация / данные,; ct = 0 "
«2020-06-20 01:21:27», «192.0.2.10 "," udp ", 5683," 192.0.2.10.static.pldt.net "," coap ", 9299," PH "," MANILA "," MANILA ", 517311 ,,"; title = "" Общая информация ""; ct = 0,; title = qlink / searchfh,; title = qlink / searchgw,; title = qlink / request,; title = qlink / success,; title = device / inform / bootstrap,; title = device / inform / boot,; title = device / inform / syncreq,; title = device / inform / offline,; title = device / inform / heartbeat,; title = device / inform / data,; ct = 0 "
"2020-06-20 01:21:27", "198.51.100.77", "udp", 5683 ,, "coap", 38917, "RU", "ИВАНОВСКАЯ ОБЛАСТЬ", "ИВАНОВО", 0 ,, ", ,,,,,, "
«2020-06-20 01:21:27», «203.0.113.111 "," udp ", 5683," dsl.203.0.113.0.pldt.net "," coap ", 9299," PH "," LANAO DEL NORTE "," BUNAWAN ", 517311 ,,"; title = "" Общая информация ""; ct = 0,; title = qlink / searchfh,; title = qlink / searchgw,; title = qlink / request,; title = qlink / success,; title = device / inform / bootstrap,; title = устройство / информация / загрузка,; title = устройство / inform / syncreq,; title = устройство / inform / offline,; title = device / inform / heartbeat,; title = device / inform / data,; ct = 0 "
"2020-06-20 01:21:27", "203.0.113.55", "udp", 5683 ,, "coap", 9808, "CN", "JIANGXI SHENG", "NANCHANG", 517312 ,, ", ; title = "" Qlink-ACK Resource "",; title = "" Qlink-Request Resource "",; title = "" SearchGW Resource "",; title = "" Qlink-Success Resource "",; title = " "Qlink-WLAN Resource" ",,,; title =" "Подключиться к диагностике" ",; title =" "Сообщить о ресурсе данных" ",; title =" "config-properties Resource" ",,; title =" " Qlink-Regist Resource "",; title = "" Qlink-SHOW Resource "" ,,,; title = "" Ресурс управления устройством "",; title = "" Ресурс управляющих данных "" ,,; title = "" Загрузка -Request Resource "",; title = "" bootstrap-Request Resource "",; obs; title = "" Информационный ресурс "",; title = "" HeartBeat Resource "",; title = "" Автономный ресурс ChildDevice " ","
«2020-06-20 01:21:27», «203.0.113.240 "," udp ", 5683 ,," coap ", 56046," CN "," JIANGSU SHENG "," YANGZHOU ", 517312 ,," ,; title = "" Ресурс Qlink-ACK "",; title = "" Qlink-Request Resource "",; title = "" SearchGW Resource "",; title = "" Qlink-Success Resource "",; title = "" Qlink-WLAN Resource "" ,,,; title = " "Подключиться к диагностике" ",; title =" "Информировать ресурс данных" ",,; title =" "Ресурс базового пульса" ",; title =" "Ресурс Qlink-Regist" ",; title =" "Qlink- SHOW Resource "" ,,,; title = "" Ресурс управления устройством "",; title = "" Ресурс управляющих данных "" ,,; title = "" Ресурс загрузочного запроса "" ",; title =" "bootstrap-Request Ресурс "",; obs; title = "" Информационный ресурс данных "",; title = "" Ресурс HeartBeat "",; title = "" Автономный ресурс ChildDevice "", "

Что можно сделать для повышения безопасности уязвимых экземпляров?

Мы надеемся, что данные, представленные в нашем новом отчете по доступным устройствам CoAP, приведут к сокращению количества незащищенных устройств с поддержкой CoAP в Интернете, а также повысят осведомленность об опасностях раскрытия таких устройств неаутентифицированным сканерам / злоумышленникам. .Как описано в RFC 7252:

«Сам CoAP не предоставляет примитивов протокола для аутентификации или авторизации; там, где это требуется, это может быть обеспечено безопасностью связи (например, IPsec или DTLS) или безопасностью объекта (внутри полезной нагрузки) ».

Несмотря на то, что RFC содержит ряд положений для защиты CoAP (уточняющих вышеизложенное), неясно, сколько из них фактически было принято на практике. По крайней мере, экземпляры CoAP должны быть защищены брандмауэром для связи только с необходимыми устройствами и / или DTLS (безопасность транспортного уровня дейтаграмм) с использованием сертификатов, где это возможно.

Как я могу получить новый бесплатный ежедневный отчет CoAP?

Подробную информацию о формате нового отчета можно найти на новой странице отчета Accessible CoAP. Все существующие подписчики отчетов Shadowserver теперь автоматически получают отчет о доступности CoAP, если какие-либо открытые услуги CoAP обнаружены в их сетях и странах (для национальных CSIRT). Если вы не получаете фиды Shadowserver CoAP, пожалуйста, подпишитесь на нашу бесплатную ежедневную услугу по исправлению ошибок в общественной сети.

Вы также можете проверить обновленную статистику этого сканирования на нашей специальной странице сканирования CoAP.

Полевое руководство по CoAP — Часть 1. Все, что связано с ограничениями… | Джонатан Бери

С этого момента мы будем рассматривать все, что есть в RFC 7252, «базовое», несколько общих функций из других спецификаций «базовый ++» и все остальное «расширенное». Не волнуйтесь — скоро мы займемся продвижением.

Вот самые полезные вещи, которые, я думаю, вам нужно знать как пользователь CoAP:

Модель обмена сообщениями

CoAP следует модели обмена сообщениями клиент / сервер, как и более широкий Интернет и HTTP.Это позволяет очень легко понять, как отправлять сообщения, например, датчик и базу данных. Но хотя мы думаем о браузерах как о клиентах и ​​облачных серверах как о серверах, в мире CoAP все, что угодно, может быть клиентом, сервером или обоими. Это может быть очень удобно при проектировании системы Интернета вещей. Например, один узел датчика может быть клиентом, публикующим показания на облачном сервере, в то время как облако — это клиент, наблюдающий за состоянием устройства, которое перешло в спящий режим, действуя как сервер, когда оно просыпается.Он может даже распространяться на локальную сеть — два устройства могут взаимодействовать напрямую, действуя как пары клиент / сервер.

Примечание о других протоколах : Некоторые протоколы, такие как MQTT, поддерживают публикацию / подписку («pubsub») вместо запроса / ответа. Разница между двумя моделями в основном заключается в предпочтении, хотя есть нюансы технических различий, которые следует учитывать при выборе одной модели по сравнению с другой. Не @ меня!

CoAP также является асинхронным, как и другие модели клиент / сервер, и склоняется к нему из-за природы сетей IoT.Устройства могут отключаться по запланированным и незапланированным причинам, и CoAP учитывает это с помощью таких функций, как токены для сопоставления запросов и идентификатор сообщения для кэширования и дедупликации.

Последнее, что нужно понять о модели обмена сообщениями CoAP, — это то, что каждое проектное решение связано с эффективностью . Эффективность включает размер сообщения, частоту отправки сообщения, но даже такие глубоко технические соображения, как, например, сколько батареи может использовать сообщение или стоимость вычислений для определенного типа криптографии.Несколько примеров того, как CoAP пытается быть эффективным, включают:

• По умолчанию используется UDP для уменьшения накладных расходов на полосу пропускания сеанса
• Кодирование полей в виде коротких кодов для уменьшения размера
• Подтверждение «совмещения» сообщений для сокращения количества подтверждений

Есть еще много способов, которыми CoAP пытается быть эффективным, о некоторых мы поговорим в следующих разделах, но большинство из них изложено в спецификации. К счастью, вам не нужно беспокоиться об этих деталях, если вы не собираетесь внедрять протокол с нуля.

Семантика запроса / ответа

CoAP имеет многие из тех же семантик, что и HTTP, как мы уже неоднократно говорили, и у них много аналогичных функций:

• URI: к конечным точкам CoAP можно обращаться через URI, такие как HTTP / HTTPS но с протоколом COAP / COAPS и портами. Это coap: // [URI]: 5684 (безопасный) и coap: // [URI]: 5683 (небезопасный)
• Методы и коды ответа: варианты CoAP делают то, что вы думаете. GET, POST, PUT, DELETE — основные глаголы, а 2xx-5xx — коды ответов
• Параметры: аналогичны заголовкам HTTP, но с меньшими накладными расходами
• Согласование содержимого: поддерживает различные типы содержимого IANA, такие как JSON и XML

Есть также аспекты семантики CoAP, которые не совсем похожи на HTTP, и которые важно понимать.Надежность необязательна, в отличие от стратегии HTTP, основанной на TCP. Такой подход позволяет сэкономить на размере сообщения и общем энергопотреблении. CoAP просто называет ненадежные сообщения «НЕПодтверждаемыми». Другие типы сообщений включают CONfirmable, ACKnowledge и ReSeT. Каждый из них используется как часть эффективного потока совмещения, сокращения пингов, кэширования и т. Д. Многоадресная IP-рассылка, которая обычно не используется HTTP, является основным примитивом CoAP, поскольку она очень полезна для определенных приложений IoT. Подумайте о том, чтобы включить весь свет в комнате («сцены») или синхронизировать часы.Наконец, многие компоненты, которые могут вам понадобиться в облаке, такие как маршрутизация, контроль перегрузки и защита от DDoS-атак, в некоторой степени оставлены на усмотрение читателя (и дополнительных спецификаций).

Безопасность

Было бы упущением, если бы мы не обсуждали безопасность — в конце концов, буква «S» в IoT означает безопасность (шутка!). Ранее мы говорили, что защищенные URI CoAP имеют протокол по умолчанию coap: // и порт 5684. Так как же реализована безопасность? Напомним, что CoAP по умолчанию использует UDP, поэтому он выбрал DTLS (TLS для дейтаграмм) для защиты транспортного уровня.Используя DTLS в качестве основы, CoAP определяет четыре режима безопасности:

1. Pre-shared keys (PSK) Это самый простой режим для реализации, поскольку ключи определены заранее, но также и наименее масштабируемое решение. Кроме того, создание, распространение и защита PSK могут быть подвержены ошибкам. Тем не менее, для простых развертываний это наиболее распространенный подход, который я видел.
2. Необработанный открытый ключ (RPK) В этом режиме используются пары асимметричных ключей без сложности сертификата. RPK обычно представляют собой лучшую сквозную архитектуру безопасности (напр.получение ключей из открытых ключей) и хорошо работают с современной инфраструктурой открытых ключей.
3. Сертификаты Сертификаты — это то, что можно было бы назвать «безопасностью корпоративного уровня». Как и в RPK, в этом режиме используются асимметричные пары ключей, но с сертификатами X.509 и развитая экосистема управления жизненным циклом сертификатов (корни доверия, ротация сертификатов и т. Д.). Реализация безопасности на основе сертификатов с CoAP обычно сопровождается специализированными решениями (+ спецификации) и заслуживает отдельного поста, чтобы воздать должное.
4. Нет безопасности Технически не режим безопасности и, к сожалению, самый распространенный режим в дикой природе. Часто это происходит из-за того, что вы полагаетесь на более высокий уровень безопасности, например на VPN, но, как правило, это связано с сокращением затрат, ленью или невежеством разработчиков.

В RFC 7252 обсуждается несколько соображений безопасности. Одним из последних достижений CoAP стала атака с использованием сотовых устройств для DDoS-атак в сети. Эта категория атак известна как атака с усилением, и ей подвержены все протоколы на основе UDP.Печально то, что эта атака в значительной степени смягчается даже с помощью самой базовой формы безопасности и приличной облачной реализации.

Безопасность — большая тема, и, к счастью, в этой области ведется много отличной работы. Позже мы поговорим о безопасности подробнее.

Самый простой способ начать работу с CoAP — прямо с вашего терминала. Среди реализаций, которые я рекомендую:

В наши дни я склоняюсь к Go, поэтому вот быстрый пример клиента / сервера от go-coap:

Отличное место для получения помощи — это Stack Overflow, Reddit, список рассылки CoRE или использование Issue. список из конкретной библиотеки.

Давайте еще раз взглянем на эту карту разума, но на этот раз спрячем все, что мы не назвали «базовым»:

Код ответа на слишком много запросов для протокола ограниченного приложения

Код ответа на слишком много запросов для протокола ограниченного приложения
draft-ietf-core-too-many-reqs-latest

Сервер с ограниченным протоколом приложений (CoAP) может испытывать временную перегрузку, поскольку один или несколько клиентов отправляют запросы на сервер с более высокой скоростью, чем сервер может или хочет обрабатывать.Этот документ определяет новый код ответа CoAP для сервера, чтобы указать, что клиент должен снизить скорость запросов.

Этот Интернет-проект представлен в полном соответствии с положениями BCP 78 и BCP 79.

Internet-Drafts являются рабочими документами Инженерной группы Интернета (IETF). Обратите внимание, что другие группы также могут распространять рабочие документы как Интернет-проекты. Список текущих Интернет-проектов находится на https://datatracker.ietf.org/drafts/current/.

Интернет-проекты — это черновики документов, срок действия которых не превышает шести месяцев, и они могут быть обновлены, заменены или отменены другими документами в любое время. Неуместно использовать Интернет-проекты в качестве справочного материала или цитировать их иначе, как «незавершенные работы».

Срок действия этого Интернет-проекта истекает 25 апреля 2019 г.

Copyright (c) 2018 IETF Trust и лица, указанные в качестве авторов документа. Все права защищены.

Этот документ регулируется BCP 78 и Правовыми положениями IETF Trust, касающимися документов IETF (https: // trustee.ietf.org/license-info), действующий на дату публикации этого документа. Пожалуйста, внимательно ознакомьтесь с этими документами, поскольку они описывают ваши права и ограничения в отношении этого документа. Компоненты кода, извлеченные из этого документа, должны включать упрощенный текст лицензии BSD, как описано в разделе 4.e Правовых положений Trust, и предоставляются без гарантии, как описано в упрощенной лицензии BSD.

Коды ответа ограниченного прикладного протокола (CoAP) [RFC7252] используются сервером CoAP, чтобы указать результат попытки понять и удовлетворить запрос, отправленный клиентом.

CoAP аналогичны кодам состояния HTTP [RFC7230], и многие коды используются с одинаковой семантикой как CoAP, так и HTTP. HTTP имеет код «429», зарегистрированный для «Слишком много запросов» [RFC6585]. В этом документе для аналогичной цели регистрируется код ответа CoAP «4.29», а также определяется использование параметра Max-Age (см. Раздел 5.10.5 [RFC7252]), чтобы указать период отсрочки, после которого клиент может повторить запрос. .

Хотя сервер может не отвечать на запросы одного типа, он может отвечать на запросы другого типа даже от одного и того же клиента.Следовательно, период отсрочки применяется только к аналогичным запросам. Для целей этого кода ответа запрос аналогичен, если он имеет тот же метод и Request-URI. Также, если клиент отправляет последовательность запросов, которые являются частью одной и той же серии (например, набор измерений, которые должны обрабатываться сервером), они могут считаться аналогичными, даже если URI запроса могут отличаться. Поскольку подобие запросов зависит от контекста, логика приложения должна решить, как следует оценивать подобие запросов.

Код 4.29 аналогичен коду 5.03 «Служба недоступна» [RFC7252] в том смысле, что код 5.03 также может использоваться сервером для сигнализации о ситуации перегрузки. Однако код 4.29 указывает на то, что слишком частые запросы от запрашивающего клиента являются причиной перегрузки.

Ключевые слова «ДОЛЖЕН», «НЕ ДОЛЖЕН», «ОБЯЗАТЕЛЬНО», «ДОЛЖЕН», «НЕ ДОЛЖЕН», «ДОЛЖЕН», «НЕ ДОЛЖЕН», «РЕКОМЕНДУЕТСЯ», «НЕ РЕКОМЕНДУЕТСЯ», «МОЖЕТ» и « ДОПОЛНИТЕЛЬНО »в этом документе следует интерпретировать, как описано в BCP 14 [RFC2119] [RFC8174], когда и только когда они появляются заглавными буквами, как показано здесь.

Читатели также должны быть знакомы с терминами и концепциями, обсуждаемыми в [RFC7252].

Если сервер CoAP не может обслуживать клиента, который отправляет сообщения запроса CoAP чаще, чем сервер может или желает обработать, сервер ДОЛЖЕН ответить на запрос (ы) кодом ответа 4.29, «Слишком много запросов» . Параметр Max-Age используется для указания количества секунд, после которых сервер предполагает, что клиент может повторить запрос.

Полезная нагрузка результата действия (см. Раздел 5.5.1 из [RFC7252]) может быть отправлен сервером, чтобы дать клиенту дополнительные указания, например, о деталях ситуации перегрузки.

Если клиент повторяет запрос, на который был дан ответ 4,29 до истечения максимального времени, возможно, клиент не распознал код ошибки, и сервер МОЖЕТ ответить более общим кодом ошибки (например, 5,03). Сервер МОЖЕТ также ограничивать частоту ответов клиенту, например, один раз за каждый расчетный RTT (если такая оценка доступна). Однако оба этих метода добавляют серверу состояние для каждого клиента, что может быть контрпродуктивным для снижения нагрузки.

Если клиент получает код ответа 4.29 от сервера CoAP на запрос, ему НЕ СЛЕДУЕТ отправлять аналогичный запрос на сервер до истечения времени, указанного в параметре Max-Age.

Обратите внимание, что клиент может получить код ответа 4.29 уже на первый запрос к серверу. Это может произойти, например, если на пути есть прокси и сервер отвечает на основе нагрузки от нескольких клиентов, агрегированных прокси, или если клиент недавно перезапустился и не помнит свои недавние запросы.

Клиент НЕ ДОЛЖЕН полагаться на то, что сервер сможет отправить код ответа 4.29 в ситуации перегрузки, потому что перегруженный сервер может вообще не отвечать на некоторые запросы.

Ответ на запросы CoAP с кодом ответа потребляет ресурсы с сервера. Для атакуемого сервера может быть более подходящим просто отбросить запросы без ответа. Однако отбрасывание запросов может привести к тому, что также хорошо работающие клиенты просто попытаются повторить запросы.

Как и в случае с любым другим ответом CoAP, клиент должен доверять этому коду ответа только в той степени, в которой он доверяет лежащим в основе механизмам безопасности (e.g., DTLS [RFC6347]) для аутентификации и свежести. Если ответ CoAP с кодом ответа «слишком много запросов» не аутентифицирован и целостность не защищена, злоумышленник может попытаться подделать ответ и заставить клиента ждать в течение длительного периода времени перед повторной попыткой.

Если код ответа отправляется без шифрования, он может привести к утечке информации о ситуации перегрузки сервера и шаблонах клиентского трафика.

IANA просят зарегистрировать следующий код ответа в «Реестре параметров CoRE», «Коды ответов CoAP»:

• Код ответа: 4.29
• Описание: слишком много запросов
• Ссылка: [[Этот документ]]

Это определение кода ответа изначально было частью документа «Publish-Subscribe Broker for CoAP» [I-D.ietf-core-coap-pubsub]. Автор хотел бы поблагодарить Абхиджана Бхаттачарью, Карстена Бормана, Даниэля Миго, Дьерджи Рети, Яну Айенгар, Джима Шаада, Клауса Хартке, Мохита Сетхи и Сандора Катона за их вклад и обзоры.

(PDF) Структура аутентификации и контроля доступа для Интернета вещей на основе CoAP

, поэтому предлагаемая структура предлагает использовать новую опцию CoAP

. Эта структура предлагает использовать тип билета

, а также определяет форматы пакетов, чтобы добавить возможность

использовать стандартный протокол для аутентификации, такой как Kerberos

и RADIUS.С помощью этих определений расширение CoAP

этой инфраструктуры обеспечивает точный контроль доступа к серверам и службам

на основе CoAP.

В проведенных экспериментах модифицированная версия

CoAP C-библиотеки libcoap [19] работала как сервер, а

— настроенная версия плагина Firefox Copper [20] как

как клиент, демонстрируя, что Предлагаемое расширение CoAP

работает, и этот мелкозернистый контроль доступа может узнать, какой IP-адрес

, пользователя, службы и метод, которые участвуют в запросе

, и отправить правильный ответ в зависимости от разрешений клиента

.

Механизмы управления доступом фреймворка были определены и успешно протестированы. На следующем этапе эта концепция

будет преобразована в более распределенный механизм, такой как Kerberos,

, и будет проверять влияние на производительность с точки зрения использования памяти, энергопотребления

и служебных данных пакетов. Планируется также добавить полную поддержку

с использованием децентрализованных серверов AAA.

БЛАГОДАРНОСТЬ

Авторы выражают благодарность

нашим партнерам по проекту Arrowhead, европейской комиссии

и Artemis за финансирование.

СПРАВОЧНАЯ ИНФОРМАЦИЯ

[1] С. Карноускос и А. Коломбо, «Создание архитектуры следующего поколения систем scada / dcs

на основе сервисов», в МЭКОН 2011 г. — 37-я ежегодная конференция

Общества промышленной электроники IEEE, Ноябрь 2011 г.,

стр. 359–364.

[2] Дж. Кандидо, Ф. Джаммес, Дж. Де Оливейра и А. Коломбо, «Soa на уровне устройств

в промышленной сфере: оценка спецификаций opc ua и

dpws», в Industrial Informatics ( INDIN), 8-я Международная конференция IEEE

, июль 2010 г., стр.598–603.

[3] С. Франкель и С. Кришнани, «Дорожная карта документа по безопасности IP (IPsec) и Internet Key

(IKE)», Internet Engineering Task Force

(IETF), редактор RFC, RFC 6071, февраль 2011 г. . [Онлайн]. Доступно:

http://tools.ietf.org/rfc/rfc6071.txt

[4] П. Касинатан, К. Пастроне, М. Спирито и М. Винковиц, «Отказ в обслуживании

. в Интернете вещей на основе 6lowpan », в Wireless and

Mobile Computing, Networking and Communications (WiMob), 2013

IEEE 9th International Conference on, Oct 2013, pp.600–607.

[5] Э. Рескорла и Н. Модадугу, «Безопасность на уровне передачи дейтаграмм»,

, редактор RFC, RFC 4347, апрель 2006 г. [онлайн].

Доступно: https://tools.ietf.org/rfc/rfc4347.txt

[6] З. Шелби, К. Хартке и К. Борман, «Приложение

с ограничениями, протокол (coap) draft-ietf- core-coap-18 », Техн. Rep., Июнь 2013 г.

[Online]. Доступно: http://tools.ietf.org/search/draft-ietf-core-coap- 18

[7] L.Чжу, К. Джаганатан и С. Хартман, «Kerberos Version

5 Generic Security Service Application Program Interface (GSS-API)

Mechanism: Version 2», сетевая рабочая группа, редактор RFC, RFC

4121, июль 2005. [Интернет]. Доступно: http://tools.ietf.org/rfc/rfc4121.txt

[8] Й. Рехтер и Т. Ли, «Служба удаленной аутентификации по дозвону для пользователей

(RADIUS)», Интернет-запросы для комментариев, RFC Редактор, RFC 1654,

июль 1995 г. [Online]. Доступно: http: // www.rfc-editor.org/rfc/rfc1654.txt

[9] «Мониторинг и контроль: сегодняшний рынок и его развитие до 2020 года»,

2008. [Online]. Доступно: ftp://ftp.cordis.europa.eu/pub/fp7/ict/docs/

necs / 20081009-smart- 2 en.pdf

[10] L. Gide, T. Koljonen, J. Lohstroh , А. тен Берг и А. Фостер, «Программа стратегических исследований Artemis

», Artemisis, июнь 2011 г.

[11] Д. Кушнер, «Реальная история stuxnet», февраль 2013 г. [онлайн]. В наличии-

в состоянии: http: // спектр.ieee.org/telecom/security/the-real-story-of- stuxnet /

[12] М. Ноттингем и Э. Хаммер-Лахав, «« определяющие хорошо известные

универсальных идентификаторов ресурсов (uris) »,» Internet Engineering Task Force

(IETF), редактор RFC, RFC 5785, апрель 2010 г. [онлайн]. Доступно:

https://tools.ietf.org/rfc/rfc5785.txt

[13] Д. Купер, С. Сантессон, С. Фаррелл, С. Бойен, Р. Хаусли,

и В. Полк , «Сертификат инфраструктуры открытых ключей Internet X.509

и профиль отзыва сертификатов (CRL)», Network Working

Group, редактор RFC, RFC 5280, май 2008 г.[Онлайн]. Доступно:

http://tools.ietf.org/rfc/rfc5280.txt

[14] Р. Ривест, «Алгоритм дайджеста сообщений MD5», Network Working

Group, редактор RFC, RFC 1321, апрель. 1992. [Интернет]. Доступно:

http://www.ietf.org/rfc/rfc1321.txt

[15] Д. Истлейк и Т. Хансен, «Алгоритм дайджеста сообщений MD5»,

Network Working Group, RFC Editor, RFC 4634, июль 2006 г. [Online].

Доступно: https://tools.ietf.org/rfc/rfc4634.txt

[16] S.Йозефссон, «PKCS 5: Тестовые векторы функции 2

(PBKDF2) для получения ключа на основе пароля», Инженерная группа Интернета (IETF),

RFC Editor, RFC 6070, январь 2011 г. [онлайн]. Доступно: https:

//tools.ietf.org/rfc/rfc6070.txt

[17] Э. В. Фахардо, Дж. Аркко, Дж. Лоуни и Э. Г. Зорн, «Базовый протокол Diameter

», Интернет-инженерное задание Force (IETF), RFC Editor,

RFC 6733, октябрь 2012 г. [Online]. Доступно: http: //tools.ietf.org / rfc /

rfc6733.txt

[18] С. Раза, С. Дукенной, Дж. Хо

оглунд, У. Родиг и Т. Фойгт, «Безопасная связь

для Интернета вещей» — Сравнение Link-

Layer Security и IPsec для 6LoWPAN, Безопасность и связь

Networks, Wiley, январь 2012 г.

[19] О. Бергманн. (2014, февраль) libcoap 4.1.1: C-реализация

coap. [Онлайн]. Доступно: http://sourceforge.net/projects/libcoap/

[20] М.Ковач. (2013, ноябрь) Copper (cu) v0.18.2, надстройка ¡refox.

[Онлайн]. Доступно: https://github.com/mkovatsc/Copper

БИОГРАФИЯ

Пабло Пу ~

Нал Перейра — доктор философии. Студент по мобильному Интернету

Вещи в Lule

Технологический университет в Швеции.

Он получил 5-летнюю степень по физике в 2008 году в

Университета Сантьяго-де-Компостела, Испания. Кроме того, он

имеет ученую степень 5 лет и M.Sc. в области электронной инженерии

получил в 2011 году в Университете Валенсии, Испания. Его основные области исследований

включают безопасность, аутентификацию и услуги

для беспроводных сетей с низким энергопотреблением.

Доктор Йенс Элиассон — исследователь в области промышленного производства

Интернет вещей и получил степень магистра наук. в области компьютерной техники

, 2003 г., и кандидат технических наук. в области промышленной электроники 2008

и доцент. степень в 2014 году в Лулеш

Технологический университет

в Швеции.В настоящее время он работает с ориентированной архитектурой (SOA) Service

для мониторинга и управления сетями Интернета вещей

для промышленных приложений.

Проф. Дельсинг получил степень магистра наук.