Proteger fisicamente uma rede com fios

Um engenheiro de rede especializado em comutação de rota dirá que o seu trabalho é mais difícil devido à necessidade de proteger a rede “toda”. Um engenheiro de rede especializado em redes sem fios dirá que o seu trabalho é mais difícil, uma vez que as ondas de rádio viajam para todo o lado.

Quem tem razão? Nem.

A resposta à pergunta é que ambos os trabalhos são simplesmente lados diferentes da mesma moeda.

As redes com fios consistem em impressoras, telefones de secretária e uma miríade de outros dispositivos terríveis que nunca queremos ver numa rede empresarial com fios, mas a organização quer implementar de qualquer forma. Nessa mesma rede, também tem centros de dados e servidores que vivem no centro da rede e, possivelmente, no coração de toda a organização. Permitir que todos estes dispositivos sejam acessíveis, mas também limitar quem e o que tem acesso a estes servidores críticos e às informações que contêm, é um desafio.

Tudo isto, e ainda não apresentámos os computadores de secretária e os nossos utilizadores diários à mistura.

E, para não esquecermos, também não é como proteger redes sem fios é um passeio; mas vamos chegar a esse aspeto tudo em tempo útil.

Por enquanto, vamos focar-nos em alguns passos básicos e melhores práticas que podemos tomar para garantir que a nossa rede com fios é tão limpa quanto possível, por isso, quando os passos avançados de implementação de NAC (Controlo de Acesso à Rede) e outras funcionalidades interessantes como essas surgirem, pelo menos temos uma boa ideia do que estamos exatamente a tentar proteger.

A localização física não é tão fácil como parece

O primeiro item na nossa lista é sobre a localização física dos nossos interruptores e, por extensão, a localização das tomadas de parede que se ligam aos nossos interruptores.

Embora pareça básico, não é incomum que grandes organizações não saibam exatamente onde todos os seus switches vivem. Sim, na verdade acontece. Se não soubermos onde estão todos os dispositivos de rede, ou mesmo quantos temos, torna-se realmente difícil garantir que o acesso físico a esses dispositivos é controlado. Pode utilizar ferramentas como o RUCKUS Cloud™ ou um controlador SmartZone™ para gerir a sua rede, gerando automaticamente um inventário para si. Usar outras ferramentas como uma folha de cálculo para manter um inventário de dispositivos de rede ativos na rede, enquanto uma forma não ótima de o fazer, pelo menos dá à organização um ponto de partida na sua batalha pelo que está ativo na rede. Seja qual for a sua escolha, uma lista precisa de ativos por localização é indispensável para uma rede segura.

Assim que as localizações forem conhecidas, certifique-se de que estes dispositivos estão fisicamente protegidos. E não, pendurá-los numa casa de banho acima das “instalações” na casa de banho^[1] não está seguro.

Fisicamente, num switch, podem existir alguns pontos fracos que podem não parecer uma fraqueza até que um hacker bem versado obtenha acesso físico aos seus dispositivos. Algumas destas coisas podem nem sequer parecer úteis até começar a pensar nas várias utilizações que cada ligação num interruptor pode oferecer. Além de todas as portas que normalmente pensamos, para hoje quero focar nas portas que não são usadas pelo dispositivo típico ou fluxo de tráfego.

Na imagem abaixo está um interruptor típico.

Imagem 1 Interruptor RUCKUS ICX 7150-24F

Ok, então entendo que este é um switch de fator de forma única conectável (SFP), mas é uma ótima imagem que destaca o que quero falar.

Para um engenheiro de rede que precisa suportar esses dispositivos, a maioria dessas portas é vista exatamente como as partes de trabalho do switch; vamos cobri-las em uma publicação diferente. Por enquanto, quero me concentrar nas portas que não são usadas na operação diária deste switch. Mas, em vez de pensar neles como um engenheiro de rede que acabou de entrar num armário para corrigir algo (como adicionar a VLAN de gestão às portas de uplink depois de ter configurado incorretamente o switch da sua secretária), pense neste switch na perspetiva de alguém que está a tentar fazer algo nefasto assim que tiver acesso a este dispositivo.

Por exemplo, e essas portas da consola? Existem dois aqui: um RJ45 que requer um cabo de consola “especial” (que qualquer atacante que valha o seu sal terá neles) e uma porta de consola USB-C. Estas são duas portas de acesso que podemos querer limitar o acesso de atacantes.

Também existe uma porta USB-A padrão aqui. Quão confortável se sentiria com um atacante a conseguir ligar a sua própria unidade flash a esta e depois reiniciar o interruptor puxando simplesmente o cabo de alimentação? Talvez um pouco, mas não o suficiente para dormir bem enquanto está de plantão? (Tenha em atenção que a resposta correta deve ser “muito desconfortável!”)

Depois, existe uma porta de gestão RJ45. Sim, isso deve ser bloqueado logicamente, da mesma forma que as portas do console, mas você tem certeza de que está configurado em todos os switches?

Por fim, existe o botão de reposição de fábrica. Embora não seja muito útil (pelo menos para mim, mas possa ser útil para a pessoa errada com imaginação louca o suficiente), redefinir a fábrica de um switch pode causar todos os tipos de problemas para uma organização. Se o switch estiver off-line ou não puder encaminhar o tráfego devido a um reset, então também estarão câmeras de segurança, telefones VoIP, Wi-Fi® e outros dispositivos de segurança física executando esse dispositivo.

Então, para resumir, você deve limitar o acesso físico aos gabinetes com os switches e travar todas as portas do console dentro do sistema operacional do switch. Este é um exemplo de medidas de segurança físicas e lógicas destinadas a apoiar-se mutuamente. Defesa em camadas. Iremos chegar à parte de configurações desta defesa numa publicação posterior.

Os macacos também podem ser presos

Qualquer porta de acesso em um switch, seja no próprio switch ou em um conector de parede que esteja conectado ao switch, sempre representará o maior desafio à segurança. Embora um switch padrão possa ser apenas um único dispositivo, ou até mesmo vários switches na mesma sala, ainda é um espaço bastante centralizado para proteger. No entanto, dois interruptores de 48 portas numa única sala podem significar 96 tomadas de parede ligadas e vou adivinhar que nem todas vão estar na mesma sala.

Isto significa 96 pontos possíveis de entrada na rede e seguimento, pelo que muitos locais podem ser assustadores para qualquer organização.

Um método simples que não requer hardware adicional é apenas desligar qualquer tomada de parede não utilizada do interruptor. Sem essa extensão física do interruptor para o cabo, não há nada a que um atacante se ligue. E, se precisar novamente, não puxou o cabo; basta ligar o cabo de volta ao interruptor e o conector volta a ligar-se.

A desvantagem desta abordagem significa tempo gasto para desligar esse jumper quando a tomada de parede já não é necessária e, quando é necessária novamente, o tempo para voltar e garantir que a tomada de parede correta está conectada à porta correta no switch. Dependendo da aceitação do risco da sua organização, esta pode ou não ser uma opção.

Outra forma de proteger essas portas não utilizadas é simplesmente adicionar uma tampa de “travamento” à tomada de parede ou à própria porta do switch.

Imagem 2 Bloqueio de portas CommScope RJ45

Embora não seja um método infalível ou 100% seguro, por vezes tudo o que é preciso é algo simples e básico, como um bloqueador de portas RJ45 de plástico da CommScope para atacar um atacante e proteger a sua rede.

A desvantagem dessa abordagem é se você achou difícil encontrar onde todos os seus switches em sua rede estão localizados, as tomadas de parede são muito mais difíceis de encontrar!

Pensamentos finais

Embora existam muitos outros tipos de controlos de acesso físico que podem ser implementados, esta não se destina a ser uma lista abrangente de coisas que tem de fazer. Em vez disso, isto destina-se a fazê-lo pensar sobre a importância da segurança física e desenvolver um plano que seja adequado para si e para a sua organização. Se o que retira disto é um melhor apreço, e processo de pensamento, sobre a segurança do acesso físico à sua rede e portas com fios, estamos um passo mais perto de limpar as coisas que podem afetar a segurança das nossas redes.

Certifique-se de que se junta a mim na próxima prestação, onde abordarei algumas dicas sobre configurações lógicas que pode tomar para ajudar a manter as suas redes com fios seguras.

-----

[1] Arquive isto em coisas que escrevo que gostaria que não fosse uma história verdadeira, mas que tenha acontecido – e mais do que uma vez.