Autor
Jim Palmer
Kategorien
RUCKUS SicherheitEin auf Route Switch spezialisierter Netzwerktechniker wird sagen, dass seine Arbeit schwieriger ist, weil er das „gesamte“ Netzwerk sichern muss. Ein Netzwerktechniker, der sich auf drahtlose Geräte spezialisiert hat, wird sagen, dass seine Arbeit schwieriger ist, da Funkwellen überallhin reisen.
Wer hat recht? Weder noch.
Die Antwort auf die Frage lautet, dass beide Jobs einfach unterschiedliche Seiten derselben Münze sind.
Kabelgebundene Netzwerke bestehen aus Druckern, Tischtelefonen und einer Vielzahl anderer schrecklicher Geräte, die wir nie in einem kabelgebundenen Unternehmensnetzwerk sehen möchten, aber die Organisation möchte sie trotzdem bereitstellen. Auf demselben Netzwerk verfügen Sie auch über Rechenzentren und Server, die im Herzen des Netzwerks und möglicherweise im Herzen der gesamten Organisation leben. Es ist eine Herausforderung, all diese Geräte zugänglich zu machen, aber auch zu begrenzen, wer und was Zugriff auf diese kritischen Server und die darin enthaltenen Informationen hat.
All dies, und wir haben noch nicht einmal Desktops und unsere täglichen Benutzer in den Mix integriert.
Und wenn wir nicht vergessen, ist es auch nicht so, als ob die Sicherung drahtloser Netzwerke ein Kuchenspaß ist, aber wir werden rechtzeitig zu diesem Aspekt kommen.
Im Moment werden wir uns auf einige grundlegende Schritte und Best Practices konzentrieren, um sicherzustellen, dass unser drahtgebundenes Netzwerk so bereinigt ist, wie wir es bekommen können. Wenn die fortgeschrittenen Schritte der Bereitstellung von NAC (Network Access Control) und andere coole Funktionen wie diese kommen, haben wir zumindest eine gute Vorstellung davon, was genau wir zu sichern versuchen.
Physischer Standort ist nicht so einfach, wie er klingt
Der erste Punkt auf unserer Liste betrifft die physische Position unserer Schalter und damit auch die Position der Wandbuchsen, die mit unseren Schaltern verbunden sind.
Es klingt zwar einfach, aber es ist nicht ungewöhnlich, dass größere Unternehmen nicht genau wissen, wo all ihre Switches gerade wohnen. Ja, es passiert tatsächlich. Wenn wir nicht wissen, wo sich alle Netzwerkgeräte befinden oder wie viele wir haben, ist es wirklich schwierig, sicherzustellen, dass der physische Zugriff auf diese Geräte kontrolliert wird. Sie können Tools wie RUCKUS Cloud™ oder einen SmartZone™-Controller verwenden, um Ihr Netzwerk zu verwalten und automatisch ein Inventar für Sie zu generieren. Die Verwendung anderer Tools wie einer Tabellenkalkulation, um eine Bestandsaufnahme der aktiven Netzwerkgeräte im Netzwerk zu führen, obwohl dies eine nicht großartige Möglichkeit ist, gibt der Organisation zumindest einen Ausgangspunkt in ihrem Kampf gegen das, was im Netzwerk aktiv ist. Unabhängig davon, für was Sie sich entscheiden, ist eine genaue Liste von Assets nach Standort ein Muss für ein sicheres Netzwerk.
Sobald die Standorte bekannt sind, stellen Sie sicher, dass diese Geräte physisch gesichert sind. Und nein, das Aufhängen in einem Badezimmer über „den Einrichtungen“ im Badezimmer[1] ist nicht sicher.
Physisch gesehen kann es bei einem Switch einige Schwächepunkte geben, die möglicherweise nicht wie eine Schwäche erscheinen, bis ein versierter Hacker physischen Zugriff auf Ihre Geräte erhält. Einige dieser Dinge scheinen vielleicht nicht einmal nützlich zu sein, bis Sie beginnen, über die verschiedenen Verwendungen nachzudenken, die jede Verbindung auf einem Switch bieten könnte. Zusätzlich zu allen Ports, an die wir normalerweise denken, möchte ich mich für heute auf die Ports konzentrieren, die nicht vom typischen Gerät oder Verkehrsfluss verwendet werden.
Im Folgenden ist ein typischer Schalter dargestellt.
Bild 1 RUCKUS ICX 7150-24F Schalter
Okay, also ich verstehe, dass es sich um einen SFP-Switch (Single Form-factor Pluggable) handelt, aber es ist ein großartiges Bild, das hervorhebt, worüber ich sprechen möchte.
Für einen Netzwerktechniker, der diese Geräte unterstützen muss, werden die meisten dieser Ports genauso wie die Arbeitsteile des Switches betrachtet; wir werden diese in einem anderen Beitrag behandeln. Im Moment möchte ich mich auf die Ports konzentrieren, die im täglichen Betrieb dieses Switches nicht verwendet werden. Anstatt jedoch an sie als Netzwerktechniker zu denken, der gerade in einen Schrank gegangen ist, um etwas zu reparieren (wie das Hinzufügen des Management-VLAN zu den Uplink-Ports, nachdem Sie den Switch von Ihrem Schreibtisch aus falsch konfiguriert haben), denken Sie an diesen Switch aus der Perspektive einer Person, die etwas Schädliches tun möchte, sobald sie Zugriff auf dieses Gerät erhält.
Wie wäre es zum Beispiel mit diesen Konsolenanschlüssen? Hier gibt es zwei: ein RJ45, das ein „spezielles“ Konsolenkabel (das jeder Angreifer, der sein Salz wert ist, auf sich hat) und einen USB-C-Konsolenanschluss erfordert. Dies sind zwei Zugangsports, die wir Angreifer möglicherweise am Zugriff hindern möchten.
Hier befindet sich auch ein Standard-USB-A-Anschluss. Wie wohl wäre es Ihnen, wenn ein Angreifer sein eigenes Flash-Laufwerk daran anschließen und dann den Schalter durch einfaches Ziehen des Netzkabels neu starten könnte? Vielleicht ein bisschen, aber nicht genug, um während der Bereitschaft schlafen zu können? (Beachten Sie, dass die richtige Antwort „sehr unangenehm“ sein sollte!)
Dann gibt es einen RJ45-Verwaltungsanschluss. Ja, dies sollte logisch gesperrt sein, genauso wie die Konsolenports, aber sind Sie sicher, dass auf allen Ihren Switches konfiguriert ist?
Schließlich gibt es noch die Schaltfläche „Fabrikum“ zurückzusetzen. Auch wenn es nicht sehr nützlich ist (zumindest nicht für mich, aber es könnte für die falsche Person mit einer verrückten genugen Vorstellungskraft nützlich sein), kann das Zurücksetzen eines Schalters durch die Fabrik alle möglichen Probleme für eine Organisation verursachen. Wenn der Switch offline ist oder den Datenverkehr aufgrund eines Resets nicht weiterleiten kann, sind dies auch Sicherheitskameras, VoIP-Telefone, Wi-Fi® und andere physische Sicherheitsgeräte, die über dieses Gerät laufen.
Zusammenfassend sollten Sie also den physischen Zugang zu den Schränken mit den Schaltern einschränken und alle Konsolenanschlüsse innerhalb des Schalterbetriebssystems verriegeln. Dies ist ein Beispiel für physische und logische Sicherheitsmaßnahmen, die einander unterstützen sollen. Verteidigung in Schichten. Wir werden in einem späteren Beitrag zu den Konfigurationen kommen, die Teil dieser Verteidigung sind.
Auch Buchsen können gesichert werden
Jeder Zugriffsport an einem Switch, ob am Switch selbst oder an einer Wandbuchse, die wieder an den Switch angeschlossen ist, stellt immer die größte Herausforderung für die Sicherheit dar. Während ein Standard-Switch nur ein einziges Gerät oder sogar mehrere Switches im selben Raum sein kann, ist er immer noch ein ziemlich zentraler Raum zum Sichern. Zwei 48-Port-Schalter in einem einzigen Raum können jedoch 96 angeschlossene Wandbuchsen bedeuten, und ich werde erraten, dass sie sich nicht alle im selben Raum befinden werden.
Das bedeutet, dass 96 mögliche Einstiegspunkte in das Netzwerk und die Nachverfolgung so vieler Standorte für jede Organisation entmutigend sein können.
Eine einfache Methode, die keine zusätzliche Hardware erfordert, besteht darin, nicht verwendete Wandbuchsen einfach vom Schalter zu trennen. Ohne diese physische Erweiterung des Schalters zum Kabel gibt es nichts, mit dem sich ein Angreifer verbinden kann. Und wenn Sie es wieder brauchen, haben Sie das Kabel nicht gezogen; Sie schließen das Kabel einfach wieder an den Schalter an und die Buchse geht wieder in Betrieb.
Der Nachteil dieses Ansatzes ist, dass die Zeit zum Trennen dieses Jumpers aufgewendet wird, wenn die Wandbuchse nicht mehr benötigt wird, und dann, wenn sie wieder benötigt wird, die Zeit, zurückzugehen und sicherzustellen, dass die richtige Wandbuchse an den richtigen Anschluss am Schalter angeschlossen ist. Abhängig von der Risikoakzeptanz Ihres Unternehmens kann dies eine Option sein oder auch nicht.
Eine andere Möglichkeit, diese nicht verwendeten Ports zu sichern, besteht darin, einfach eine „Verriegelungskappe“ an der Wandbuchse oder dem Switchport selbst anzubringen.
Bild 2 CommScope RJ45 Port Blocker
Obwohl es sich nicht um eine narrensichere oder 100 % sichere Methode handelt, ist manchmal nur etwas Einfaches und Einfaches erforderlich, wie ein RJ45-Port-Blocker aus Kunststoff von CommScope, um einen Angreifer zu verschließen und Ihr Netzwerk zu schützen.
Der Nachteil dieses Ansatzes ist, wenn Sie denken, dass es schwierig ist, zu finden, wo sich alle Ihre Switches in Ihrem Netzwerk befinden, sind Wandbuchsen viel schwieriger zu finden!
Letzte Gedanken
Obwohl es viele andere Arten von physischen Zugangskontrollen gibt, die eingerichtet werden können, ist dies nicht als eine umfassende Liste der Dinge gedacht, die Sie tun müssen. Stattdessen soll dies dazu beitragen, dass Sie über die Bedeutung der physischen Sicherheit nachdenken und einen Plan entwickeln, der für Sie und Ihr Unternehmen geeignet ist. Wenn Sie daraus eine bessere Wertschätzung und einen besseren Denkprozess über die Sicherung des physischen Zugriffs auf Ihr drahtgebundenes Netzwerk und Ihre Ports ziehen, dann sind wir dem Bereinigen der Dinge, die sich auf die Sicherheit unserer Netzwerke auswirken können, einen Schritt näher.
Nehmen Sie an der nächsten Ausgabe teil, in der ich Ihnen einige Tipps zu logischen Konfigurationen geben werde, mit denen Sie Ihre drahtgebundenen Netzwerke schützen können.
-----
[1] Legen Sie dies unter Dingen fest, die ich schreibe, von denen ich wünschte, dass sie keine wahre Geschichte wären, aber es ist passiert – und das mehr als einmal.
