Autor
Palmer Jim
Categorías
Integración segura de redes IoTEn el mundo de la red y la seguridad, hay una historia famosa sobre un casino que fue hackeado, y la historia detrás de ese hack es digna de una incómoda risa. Se descubrió después de algunas excavaciones que el punto de acceso para los perpetradores del delito era un dispositivo IoT. Específicamente, el calentador en un tanque de pescado que acababa de instalarse fue el punto débil en la seguridad de su red que permitió a los hackers acceder a la red del casino y eventualmente filtrar la información del casino, información como rodillos altos, clientes y otros datos operativos, todo copiado a través del calentador del tanque de pescado.
La moral facetaria de la historia aquí, es “cuando su tanque de peces envía gigabytes de datos a otros países, eso es un problema”. La lección real es que debería poder marcar cualquier dispositivo que no siga su actividad “normal”.
En el pasado, este problema solía resolverlo alguien de la organización que hacía una política que indicaba que todos los dispositivos que se conectarían a la red debían pasar un riguroso proceso de inspección. Si alguna vez ha formado parte de eso, también sabe que esto funciona hasta que alguien con las letras correctas después de su nombre anula esa política para “sus” dispositivos y luego se desmorona rápidamente.
La solución para instancias como esta, y no desaparece, es crear y planificar estos dispositivos IoT desde el lado de la red de la casa. El gobierno federal de EE. UU. anunció recientemente un nuevo programa para ayudar a proteger los dispositivos IoT, pero llevará tiempo poner a todos al día, y la certificación es voluntaria, por lo que requerirá que las empresas diseñen redes basadas en la adquisición de dispositivos seguros certificados. No permitir estos dispositivos en la red, como la mayoría de los ingenieros de redes saben, tampoco es una opción.
Si bien la tarea puede ser abrumadora, RUCKUS Networks tiene algunas vías para ayudar a los arquitectos y administradores de redes a manejar estos dispositivos que no fueron diseñados realmente para ser utilizados en una situación empresarial.
Dispositivos IoT Wi-Fi
Los dispositivos IoT Wi-Fi son los dispositivos IoT más fáciles y sencillos de tratar cuando se utiliza una red RUCKUS. Cada plataforma de controlador RUCKUS tiene una solución incluida llamada Dynamic Pre-Shared Key, o DPSK, una innovación de RUCKUS hace más de una década que sigue siendo sólida. DPSK permite la gestión de dispositivos como se ve con las soluciones Dot1X, pero con WPA2-Personal. A cada dispositivo se le asigna su propia frase de contraseña para un único SSID, y utiliza esa frase de contraseña para unirse a la red. Como parte de esta configuración, cada dispositivo puede asignarse a una VLAN específica.
Seamos honestos, nadie quiere nunca un calentador de tanque de pescado en una VLAN que tenga acceso a bases de datos corporativas. Eso suena mal simplemente escribiéndoloI Además, lo siento, si la frase de contraseña 8ndnsis%JGMDskmlmwpo%^!@ es suya, quizás quiera cambiarla ahora. Una vez que el dispositivo IoT se coloca en una VLAN específica, ya sea por sí mismo o como parte de una VLAN IoT más grande, las configuraciones de red ahora se pueden utilizar para aislar esa VLAN utilizando diferentes configuraciones de túnel, así como usar firewalls para gestionar con qué se permite hablar a esos dispositivos, además de supervisar el tráfico de red de esos dispositivos para asegurarse de que no están hablando con países aleatorios con los que no tienen negocios que se comuniquen.
Es posible que no podamos modificar la programación del dispositivo, pero podemos utilizar metodologías existentes para contener y supervisar el dispositivo.
La otra cosa sobre DPSK es que, si alguna persona maliciosa que pasa el rato alrededor del tanque de pescado decide robar el calentador para obtener acceso a su red, puede simplemente eliminar DPSK del controlador de red y el dispositivo pierde todo el acceso a la red y esa frase de contraseña es ahora inútil.
Si está utilizando Cloudpath, puede simplemente revocar la DPSK utilizando la funcionalidad de gestión integrada.
DPSK funciona en cualquier dispositivo compatible con WPA2-Personal, por lo que es universalmente compatible con Wi-Fi. Por último, los dispositivos IoT tardaron casi una década en añadir radios de 5 GHz a sus dispositivos, por lo que la compatibilidad con WPA3 aún no está en su hoja de ruta.
“Otros” dispositivos IoT
DPSK es excelente, ya que casi todos los dispositivos Wi-Fi lo admiten, pero los dispositivos no Wi-Fi como ZigBee, BLE y otros dispositivos 802.15.4 no lo hacen; aquí es donde proviene el miedo a los dispositivos IoT. A diferencia de los dispositivos Wi-Fi que, una vez que están en la red como todos nuestros otros dispositivos, se pueden rastrear y administrar, la mayoría de los dispositivos IoT operan fuera del estándar de 802,11, por lo que no se pueden administrar y rastrear de la misma manera. Aquí es donde entra en juego el conjunto de IoT RUCKUS, más específicamente el controlador IoT RUCKUS (RIoT).
RUCKUS Los AP Wi-Fi 5, 6 y 6E están listos para manejar sus necesidades de red IoT. Los AP Wi-Fi 5 necesitarán una radio USB conectada al puerto USB del AP mientras que los AP Wi-Fi 6 y 6E (la excepción es la R350) tienen radios IoT incluidas. Esta capacidad integrada significa que muchas personas ya tienen soporte de IoT en su red, incluso si no se dan cuenta.
El controlador RIoT es para los dispositivos IoT lo que los controladores WLAN son para Wi-Fi, un lugar para administrar y controlar los dispositivos IoT que aparecen en su red. Una vez que sus AP de IoT se sincronizan con RIoT, los administradores de red ahora tienen control y visibilidad de sus dispositivos de IoT que la mayoría nunca antes había visto. Las radios IoT se pueden controlar de la misma manera que los administradores de WLAN están acostumbrados a gestionar sus radios Wi-Fi. Los dispositivos IoT tienen un proceso de varios pasos para unirse a la red y se pueden colocar en su propia VLAN IoT, de nuevo como con los dispositivos Wi-Fi.
Cuando esté listo, cada radio se puede poner en modo de escaneo y, a medida que se descubren los dispositivos, se puede aprobar que se unan a la red o que estén en la lista negra, lo que sea apropiado para ese dispositivo.
Si este proceso manual parece abrumador, existe la posibilidad de cargar un archivo CSV que contenga sus dispositivos IoT previstos para ponerlos en una lista preaprobada. Una vez descubiertos, se agregan automáticamente al controlador. Durante este proceso, también se pueden definir las etiquetas y el AP de IoT previsto.
Lo que hay que tener en cuenta es que la seguridad y la facilidad de incorporación nunca se alinean realmente. Cuando la seguridad es una prioridad, la incorporación y la gestión siempre tendrán un determinado coste de tiempo asociado. Nuestro objetivo aquí no es eliminar ningún trabajo de la placa de los administradores de red, solo para ayudarles a gestionarlo.
Al igual que con los dispositivos IoT Wi-Fi y DPSK, si un dispositivo se desconecta, ese dispositivo aparecerá en el panel de RIoT como desconectado y luego se puede investigar y eliminar/lista negra de la red si es necesario.
RUCKUS Panel de control del controlador de IoT
Cualquier profesional de seguridad le dirá que el primer paso para proteger su red es comprender lo que está conectado a su red y luego tener control sobre esos dispositivos. El controlador IoT RUCKUS ofrece el control y la visibilidad que los profesionales de seguridad desean y los profesionales de redes necesitan. Desde controlar el dispositivo hasta eliminarlo de la red, pasando por gestionar VLAN y actualizar el código, el RIoT puede ser la plataforma operativa que marca todas las casillas del equipo de seguridad.
Aunque las redes RUCKUS no pueden controlar el mercado cuando se trata de seguridad integrada en dispositivos IoT o en los fabricantes de estos dispositivos, al menos podemos ayudar a los operadores de red a gestionar, controlar y proteger estos dispositivos una vez que se introducen en su entorno operativo.
Los siguientes recursos pueden ayudarle a obtener más información sobre las soluciones de redes RUCKUS:
- AP con radios IoT integradas
- AP listos para IoT que pueden usar una radio IoT externa conectada al puerto USB
- RUCKUS Plataformas de controladores como SmartZone o RUCKUS One.
- RUCKUS Controlador de IoT
Para obtener más información sobre la solución IoT de RUCKUS Networks, puede visitar la página del producto o ponerse en contacto con nosotros para que alguien ayude a su organización a aprovechar todo el potencial de lo que IoT puede hacer por usted.
