Protección física de una red cableada

Un ingeniero de redes que se especializa en el cambio de ruta dirá que su trabajo es más duro debido a la necesidad de proteger la red “total”. Un ingeniero de redes especializado en redes inalámbricas dirá que su trabajo es más duro, ya que las ondas de radio viajan por todas partes.

¿Quién tiene razón? Tampoco.

La respuesta a la pregunta es que ambos trabajos son simplemente lados diferentes de la misma moneda.

Las redes cableadas consisten en impresoras, teléfonos de escritorio y una gran cantidad de otros dispositivos terribles que nunca queremos ver en una red corporativa cableada, pero la organización quiere implementar de todos modos. En esa misma red, también tiene centros de datos y servidores que viven en el corazón de la red y posiblemente en el corazón de toda la organización. Permitir que todos estos dispositivos sean accesibles, pero también limitar quién y qué tiene acceso a estos servidores críticos y la información que contienen, es un desafío.

Todo esto, y ni siquiera hemos introducido escritorios y nuestros usuarios cotidianos en la mezcla aún.

Y no olvidemos que no es como proteger las redes inalámbricas también es un paso de torta, pero llegaremos a ese aspecto con tiempo.

Por ahora, vamos a centrarnos en algunos pasos básicos y mejores prácticas que podemos tener en cuenta para asegurarnos de que nuestra red cableada esté lo más limpia posible, así que cuando los pasos avanzados de implementar NAC (Network Access Control) y otras características geniales como esa se presentan tenemos al menos una buena idea de lo que estamos tratando de asegurar exactamente.

La ubicación física no es tan fácil como parece

El primer elemento de nuestra lista trata sobre la ubicación física de nuestros interruptores y, por extensión, la ubicación de los conectores de pared que se conectan a nuestros interruptores.

Aunque suena básico, no es raro que las organizaciones más grandes no sepan exactamente dónde viven todos sus conmutadores. Sí, en realidad sucede. Si no sabemos dónde están todos los dispositivos de red, o incluso cuántos tenemos, es realmente difícil garantizar que el acceso físico a esos dispositivos esté controlado. Puede utilizar herramientas como RUCKUS Cloud ℮ o un controlador SmartZone ℮ para administrar su red, generando automáticamente un inventario por usted. El uso de otras herramientas como una hoja de cálculo para mantener un inventario de dispositivos de red activos en la red, mientras que una forma no excelente de hacerlo, al menos da a la organización un punto de partida en su batalla de lo que está activo en la red. Independientemente de lo que elija, una lista precisa de activos por ubicación es imprescindible para una red segura.

Una vez conocidas las ubicaciones, asegúrese de que estos dispositivos estén físicamente seguros. Y no, colgarlos en un baño por encima de “las instalaciones” en el baño^[1] no es seguro.

Físicamente, en un switch, puede haber un par de puntos de debilidad que podrían no parecer una debilidad hasta que un hacker bien versado obtenga acceso físico a sus dispositivos. Es posible que algunas de estas cosas no parezcan útiles hasta que empiece a pensar en los diversos usos que cada conexión de un switch puede ofrecer. Además de todos los puertos en los que normalmente pensamos, hoy quiero centrarme en los puertos que no utilizan el dispositivo o flujo de tráfico típico.

A continuación se muestra un interruptor típico.

Imagen 1 Interruptor RUCKUS ICX 7150-24F

Bien, entiendo que se trata de un interruptor enchufable de factor de forma único (SFP), pero es una imagen excelente que destaca de lo que quiero hablar.

Para un ingeniero de redes que necesita admitir estos dispositivos, la mayoría de estos puertos se ven como las partes de trabajo del switch; vamos a cubrirlos en un puesto diferente. Por ahora, quiero centrarme en los puertos que no se utilizan en el funcionamiento diario de este switch. Pero, en lugar de pensar en ellos como un ingeniero de redes que acaba de entrar en un armario para arreglar algo (como añadir la VLAN de gestión a los puertos de enlace ascendente después de haber configurado mal el switch desde su escritorio), piense en este switch desde la perspectiva de alguien que está buscando hacer algo malicioso una vez que obtiene acceso a este dispositivo.

Como, por ejemplo, ¿qué pasa con esos puertos de consola? Hay dos aquí: un RJ45 que requiere un cable de consola “especial” (que cualquier atacante que valga la pena tener su sal) y un puerto de consola USB-C. Estos son dos puertos de acceso a los que podríamos querer limitar el acceso de los atacantes.

Aquí también hay un puerto USB-A estándar. ¿En qué medida se sentiría cómodo con un atacante que pudiera conectar su propia unidad flash a esto y luego reiniciar el switch simplemente tirando del cable de alimentación? ¿Quizás un poco, pero no lo suficiente para dormir profundamente mientras está de guardia? (Tenga en cuenta que la respuesta correcta debe ser “¡muy incómoda!”)

A continuación, hay un puerto de gestión RJ45. Sí, esto debe bloquearse lógicamente, igual que los puertos de la consola, pero ¿está seguro de que está configurado en todos sus switches?

Por último, está el botón de restablecimiento de fábrica. Aunque no es muy útil (al menos no para mí, pero podría ser útil para la persona equivocada con una imaginación loca), restablecer un interruptor de fábrica puede causar todo tipo de problemas para una organización. Si el switch está fuera de línea o no puede reenviar el tráfico debido a un restablecimiento, entonces también lo están las cámaras de seguridad, los teléfonos VoIP, Wi-Fi® y otros dispositivos de seguridad físicos que se ejecutan sobre ese dispositivo.

Por lo tanto, para resumir, debe limitar el acceso físico a los gabinetes con los interruptores y bloquear los puertos de la consola dentro del sistema operativo del interruptor. Este es un ejemplo de medidas de seguridad físicas y lógicas destinadas a respaldarse mutuamente. Defensa en capas. Llegaremos a la parte de configuraciones de esta defensa en una publicación posterior.

Los conectores también se pueden asegurar

Cualquier puerto de acceso en un switch, ya sea en el propio switch o en una toma de pared que esté conectada al switch, siempre representará el mayor desafío para la seguridad. Aunque un switch estándar puede ser un solo dispositivo o incluso varios switches en la misma habitación, sigue siendo un espacio bastante centralizado para asegurar. Sin embargo, dos interruptores de 48 puertos en una sola habitación pueden significar 96 tomas de pared conectadas, y voy a suponer que no todos van a estar en la misma habitación.

Esto significa 96 posibles puntos de entrada en la red y el seguimiento de tantas ubicaciones pueden ser abrumadores para cualquier organización.

Un método simple que no requiere hardware adicional es simplemente desenchufar cualquier toma de pared no utilizada del interruptor. Sin esa extensión física del switch al cable, no hay nada a lo que un atacante pueda conectarse. Y, si lo necesita de nuevo, no ha tirado del cable; solo tiene que conectar el cable de nuevo al interruptor y el conector volverá a estar activo.

La desventaja de este enfoque es que significa tiempo dedicado a desconectar ese puente cuando ya no se necesita el conector de pared y, cuando se necesita de nuevo, el tiempo para volver atrás y asegurarse de que el conector de pared correcto está conectado al puerto correcto del switch. Dependiendo de la aceptación del riesgo de su organización, esta puede ser o no una opción.

Otra forma de asegurar estos puertos no utilizados es simplemente agregar un tapón de “bloqueo” al conector de pared o al puerto de conmutación en sí.

Imagen 2 Bloqueador de puertos RJ45 de CommScope

Aunque no es un método infalible o un 100 % seguro, a veces todo lo que se necesita es algo simple y básico, como un bloqueador de puertos RJ45 de plástico de CommScope para plastificar a un atacante y proteger su red.

La desventaja de este enfoque es que si pensaba que era difícil encontrar dónde se encuentran todos los switches de su red, ¡los conectores de pared son mucho más difíciles de encontrar!

Pensamientos finales

Si bien hay muchos otros tipos de controles de acceso físico que se pueden implementar, esto no pretende ser una lista completa de las cosas que tiene que hacer. En su lugar, esto está pensado para que piense en la importancia de la seguridad física y desarrolle un plan adecuado para usted y su organización. Si lo que toma de esto es una mejor apreciación, y proceso de pensamiento, sobre la seguridad del acceso físico a su red cableada y puertos, estamos un paso más cerca de limpiar las cosas que pueden afectar la seguridad de nuestras redes.

Asegúrese de acompañarme en la próxima entrega, donde trataré algunos consejos sobre configuraciones lógicas que puede tomar para ayudar a mantener sus redes cableadas seguras.

-----

[1] Archiva esto en las cosas que escribo que me gustaría que no fuera una historia real, pero que ha sucedido, y más de una vez.