Security analysis of Message Queuing Telemetry Transport (MQTT)
Tutor/a - Director/a
Estudiante
Taberner Mir, Miquel
Tipo de documento
Projecte Final de Màster Oficial
Fecha
2024
rights
Acceso abierto
Editorial
Universitat Politècnica de Catalunya
Titulaciones
UPCommons
Resumen
The Message Queuing Telemetry Transport (MQTT) protocol has gained popularity in Internet of Things (IoT) applications due to its efficiency and low resource consumption, making it ideal for environments with limited bandwidth and unstable connections. However, its simplicity also presents significant challenges in terms of security. This thesis aims to evaluate the security vulnerabilities and performance of three widely used MQTT brokers: Mosquitto, VerneMQ, and EMQ X. The work focuses on identifying inherent vulnerabilities in each broker, implementing and verifying TLS-based security configurations, and conducting load and stress tests to assess the brokers' ability to handle large volumes of connections and data. Additionally, recommendations are proposed to improve the security of MQTT implementations based on the results obtained. The analysis results indicate that while all the brokers analyzed are capable of handling a considerable number of simultaneous connections, there are differences in their ability to mitigate denial-of-service (DoS) attacks and in the robustness of their authentication and encryption mechanisms. Based on these findings, improvements in security configuration and resource management are suggested to strengthen MQTT implementations in IoT environments.
El protocolo MQTT (Message Queuing Telemetry Transport) ha ganado popularidad en aplicaciones del Internet de las Cosas (IoT) debido a su eficiencia y bajo consumo de recursos, lo que lo hace ideal para entornos con ancho de banda limitado y conexiones inestables. Sin embargo, su simplicidad también presenta desafíos significativos en términos de seguridad. Esta tesis tiene como objetivo evaluar las vulnerabilidades de seguridad y el rendimiento de tres brokers MQTT ampliamente utilizados: Mosquitto, VerneMQ y EMQ X. El trabajo se centra en identificar vulnerabilidades inherentes en cada broker, implementar y verificar configuraciones de seguridad basadas en TLS, y realizar pruebas de carga y estrés para evaluar la capacidad de los brokers para manejar grandes volúmenes de conexiones y datos. Además, se proponen recomendaciones para mejorar la seguridad de las implementaciones de MQTT en base a los resultados obtenidos. Los resultados del análisis indican que, aunque todos los brokers analizados son capaces de manejar un número considerable de conexiones simultáneas, existen diferencias en su capacidad para mitigar ataques de denegación de servicio (DoS) y en la robustez de sus mecanismos de autenticación y cifrado. Basado en estos hallazgos, se sugieren mejoras en la configuración de seguridad y la gestión de recursos para fortalecer las implementaciones de MQTT en entornos IoT.
El protocol MQTT (Message Queuing Telemetry Transport) ha guanyat popularitat en aplicacions de l'Internet de les Coses (IoT) a causa de la seva eficiència i baix consum de recursos, cosa que el fa ideal per a entorns amb ample de banda limitat i connexions inestables. Tanmateix, la seva simplicitat també presenta desafiaments significatius en termes de seguretat. Aquesta tesi té com a objectiu avaluar les vulnerabilitats de seguretat i el rendiment de tres brokers MQTT àmpliament utilitzats: Mosquitto, VerneMQ i EMQ X. El treball se centra en identificar vulnerabilitats inherents en cada broker, implementar i verificar configuracions de seguretat basades en TLS, i realitzar proves de càrrega i estrès per avaluar la capacitat dels brokers per gestionar grans volums de connexions i dades. A més, es proposen recomanacions per millorar la seguretat de les implementacions de MQTT basant-se en els resultats obtinguts. Els resultats de l'anàlisi indiquen que, encara que tots els brokers analitzats són capaços de gestionar un nombre considerable de connexions simultànies, hi ha diferències en la seva capacitat per mitigar atacs de denegació de servei (DoS) i en la robustesa dels seus mecanismes d'autenticació i xifratge. Basat en aquests resultats, es suggereixen millores en la configuració de seguretat i la gestió de recursos per enfortir les implementacions de MQTT en entorns IoT.
