Autor:
Jim Palmer
No mundo da rede e da segurança, há uma história famosa sobre um casino que foi pirateado e a história por detrás desse hack é digna de um riso desconfortável. Foi descoberto depois de algumas escavações que o ponto de acesso para os autores do crime era um dispositivo IoT. Especificamente, o aquecedor num tanque de peixe que tinha acabado de ser instalado era o ponto fraco na sua segurança de rede que permitiu aos hackers aceder à rede do casino e a eventual exfiltração da informação do casino – informações como rolos altos, clientes e outros dados operacionais, todos copiados através do aquecedor do tanque de peixe.
A moral facetária da história aqui é “quando o seu tanque de peixe está a enviar Gigabytes de dados para outros países, isso é um problema”. A lição real é que deve ser capaz de sinalizar qualquer dispositivo que não esteja a seguir a sua atividade “normal”.
No passado, este problema era normalmente resolvido por alguém da organização que fazia uma política que afirmava que todos os dispositivos que se ligariam à rede seriam obrigados a passar por um rigoroso processo de controlo. Se alguma vez fez parte disso, também sabe que isto funciona até que alguém com as letras certas depois de o nome substituir essa política para “os seus” dispositivos e depois desmoronar rapidamente.
A solução para situações como esta, e não vai desaparecer, é construir e planear estes dispositivos IoT a partir do lado da rede da casa. O Governo Federal dos EUA anunciou recentemente um novo programa para ajudar a proteger dispositivos IoT, mas vai demorar algum tempo a acelerar todos, e a certificação é voluntária, pelo que vai exigir que as empresas concebam redes com base na aquisição de dispositivos seguros certificados. Não permitir esses dispositivos na rede, como a maioria dos engenheiros de rede sabe, também não é uma opção.
Embora a tarefa possa ser assustadora, a RUCKUS Networks tem algumas vias para ajudar arquitetos e administradores de redes a lidar com estes dispositivos que não foram realmente concebidos para serem utilizados numa situação empresarial.
Dispositivos IoT Wi-Fi
Os dispositivos IoT Wi-Fi são os dispositivos IoT mais fáceis e simples de lidar quando se utiliza uma rede RUCKUS. Cada plataforma de controlador RUCKUS tem uma solução incluída chamada Dynamic Pre-Shared Key, ou DPSK – uma inovação RUCKUS há mais de uma década que ainda está forte. A DPSK permite a gestão de dispositivos tal como vê com as soluções Dot1X, mas utilizando WPA2-Personal. Cada dispositivo recebe sua própria frase de acesso para um único SSID e usa essa frase de acesso para se unir à rede. Como parte desta configuração, cada dispositivo pode ser atribuído a uma VLAN específica.
Sejamos honestos, nunca ninguém quer um aquecedor de tanque de peixe numa VLAN que tenha acesso a bases de dados empresariais. Parece-me mal ao digitá-lo. Também, peço desculpas se a frase-passe 8ndnsis%JGMDskmlmwpo%^!@ é seu, pode querer mudá-lo agora. Uma vez que o dispositivo IoT é colocado em uma VLAN específica, seja ela própria ou parte de uma VLAN IoT maior, as configurações de rede agora podem ser usadas para isolar essa VLAN usando diferentes configurações de tunelização, bem como usando firewalls para gerenciar com o que esses dispositivos podem falar, além de monitorar o tráfego de rede desses dispositivos para garantir que eles não estejam falando com países aleatórios com os quais não tenham negócios se comunicando.
Podemos não conseguir modificar a forma como o dispositivo está programado, mas podemos utilizar metodologias existentes para conter e monitorizar o dispositivo.
A outra coisa sobre a DPSK é que, se alguma pessoa nefasta ao redor do tanque de peixe decidir roubar o aquecedor para ter acesso à sua rede, pode simplesmente eliminar a DPSK do controlador de rede e o dispositivo perder todo o acesso à rede e essa frase de acesso é agora inútil.
Se estiver a utilizar o Cloudpath, pode simplesmente revogar o DPSK utilizando a funcionalidade de gestão incorporada.
A DPSK funciona em qualquer dispositivo que possa suportar WPA2-Personal, tornando-a universalmente suportada em Wi-Fi. Por fim, os dispositivos IoT demoraram quase uma década a adicionar rádios de 5 GHz aos seus dispositivos, pelo que o suporte WPA3 ainda não está no seu roteiro.
“Outros” dispositivos IoT
A DPSK é excelente, uma vez que quase todos os dispositivos Wi-Fi a suportam, mas dispositivos sem Wi-Fi como ZigBee, BLE e outros dispositivos 802.15.4 não o fazem; é aqui que vem o medo dos dispositivos IoT. Ao contrário dos dispositivos Wi-Fi que, assim que estão na rede como todos os nossos outros dispositivos, podem ser rastreados e geridos, a maioria dos dispositivos IoT operam fora dos 802,11 padrões para que não possam ser geridos e rastreados da mesma forma. É aqui que entra em jogo o conjunto de aplicações da IoT RUCKUS, mais especificamente o controlador da IoT RUCKUS (RIoT).
RUCKUS Os PAs Wi-Fi 5, 6 e 6E estão todos prontos para lidar com as suas necessidades de rede IoT. Os APs Wi-Fi 5 vão precisar de um rádio USB ligado à porta USB do AP enquanto os APs Wi-Fi 6 e 6E (a exceção é o R350) têm rádios IoT incluídos. Esta capacidade incorporada significa que muitas pessoas já têm suporte de IoT na sua rede, mesmo que não se apercebam disso.
O controlador da Internet das coisas industrial destina-se a dispositivos IoT, o que significam os controladores WLAN para Wi-Fi – um local para gerir e controlar os dispositivos IoT que aparecem na sua rede. Assim que os seus PAs IoT estiverem sincronizados com a RIoT, os administradores de rede agora têm controlo e visibilidade dos seus dispositivos IoT que a maioria nunca viu antes. Os rádios IoT podem ser controlados da mesma forma que os administradores WLAN são utilizados para gerir os seus rádios Wi-Fi. Os dispositivos IoT têm um processo de várias etapas para se juntarem à rede e podem ser colocados na sua própria VLAN IoT, novamente como com dispositivos Wi-Fi.
Quando pronto, cada rádio pode ser colocado em modo de varredura e, conforme os dispositivos forem descobertos, eles podem ser aprovados para entrar na rede ou na lista negra, o que for apropriado para esse dispositivo.
Se este processo manual parecer avassalador, existe a capacidade de carregar um ficheiro CSV contendo os seus dispositivos IoT pretendidos para os colocar numa lista pré-aprovada. Uma vez descobertos, eles são automaticamente adicionados ao controlador. Durante este processo, os tags e o PA da IoT pretendido também podem ser definidos.
O que deve ter em mente é que a segurança e a facilidade de integração nunca se alinham verdadeiramente. Quando a segurança é uma prioridade, a integração e a gestão terão sempre um determinado custo de tempo associado. O nosso objetivo aqui não é remover qualquer trabalho do prato dos administradores de rede, apenas ajudá-los a geri-lo.
Tal como acontece com os dispositivos Wi-Fi IoT e DPSK, se um dispositivo ficar offline, esse dispositivo será apresentado no painel de controlo da Internet das coisas industrial como offline e pode ser investigado e removido/lista negra da rede, se necessário.
RUCKUS Painel do controlador IoT
Qualquer profissional de segurança dir-lhe-á que o primeiro passo para proteger a sua rede é compreender o que está ligado à sua rede e, em seguida, ter controlo sobre esses dispositivos. O controlador IoT RUCKUS oferece o controle e a visibilidade que os profissionais de segurança desejam e os profissionais de rede precisam. Desde controlar o dispositivo, até removê-lo da rede, até gerenciar VLANs e upgrade de código, o RIoT pode ser a plataforma operacional que marca todas as caixas de seleção da equipe de segurança.
Embora as redes RUCKUS não possam controlar o mercado no que diz respeito à segurança incorporada em dispositivos IoT ou nos fabricantes destes dispositivos, podemos pelo menos ajudar os operadores de rede a gerir, controlar e proteger estes dispositivos assim que forem introduzidos no seu ambiente operacional.
Os seguintes recursos podem ajudá-lo a saber mais sobre as soluções de redes RUCKUS:
- APs com rádios IoT integrados
- APs prontos para IoT que podem usar um rádio IoT externo conectado à porta USB
- RUCKUS Plataformas de controlador como SmartZone ou RUCKUS One.
- RUCKUS Controlador IoT
Para saber mais sobre a Solução IoT RUCKUS Networks, pode visitar a página do produto ou contactar-nos para que alguém ajude a sua organização a concretizar todo o potencial do que a IoT pode fazer por si.
