Osiguravanje terenskih uređaja od napada
Naše shvatanje cyber sigurnosti uglavnom se zasniva na internetu na kojem softverski napadi prijete našem poslovanju i svakodnevnim životima. Web-stranice mogu postati nedostupne, a korporativni serveri biti hakirani. Ali ono što još ne radimo u dovoljnoj mjeri jeste povezivanje cyber sigurnosti s fizičkim prijetnjama po autonomne računarske mreže
Izvor: ComNet
E-mail: redakcija@asadria.com
Pojam cyber sigurnosti u današnjem je svijetu vrlo čest i može obuhvatiti bilo koga i bilo šta, od nacionalnih vlada i globalnih korporacija do pojedinaca bilo koje starosne grupe. Naše shvatanje cyber sigurnosti uglavnom se zasniva na internetu na kojem softverski napadi, kao što su oni pomoću zlonamjernog softvera i DoS napada, prijete našem poslovanju i svakodnevnim životima. Međutim, ono što još ne radimo u dovoljnoj mjeri jeste povezivanje cyber sigurnosti s prijetnjama autonomnim računarskim mrežama. U takvim situacijama napadač fizički upada u sistem preko njegovih infrastrukturnih uređaja, što rezultira ili narušavanjem sigurnosti ili potpunim krahom sistema, uz katastrofalne posljedice u bilo kojem od ta dva slučaja. Ovaj članak se fokusira na hardversku cyber sigurnost te proučava moguće pristupe koje napadač može imati i opisuje funkcije unutar aktivne mrežne opreme koje mogu spriječiti takve napade. Iako ćemo se koncentrisati na IP sigurnost i mreže nadzora, ovaj osvrt relevantan je i za lokalne mreže te kao takav pokriva mnogo veći dio tržišta. Sigurnosne i nadzorne mreže zbog svoje prirode ostvaruju veze na sigurnim i nesigurnim lokacijama. Njihovim smještanjem na ranjive lokacije otvaraju se velike mogućnosti hakerskih napada, tako da je potrebno obratiti pažnju na zaštitu opreme. Međutim, i montažeri na isti način moraju paziti, čak i kada instaliraju opremu na naizgled sigurne lokacije, jer napad može poteći iz osiguranog područja. Zato ništa ne treba prepuštati slučaju.
Infrastruktura i napad
Ethernet mreža se sastoji od aktivne i pasivne opreme. Aktivna oprema (1) uključuje Ethernet switcheve i medijske konvertere, a pasivna kombinaciju kablova, konektora i dodataka poput posebnih odjeljaka koji također mogu sadržavati aktivnu opremu, kao što su, naprimjer, klima-uređaji i nadzorni sistemi. Ono na čemu ćemo se bazirati u ovom članku jesu Layer 2 Ethernet switchevi (2). Inače, Ethernet switchevi služe kao koncentratori kablova koji prikupljaju signale s različitih terenskih uređaja i, na osnovu informacija o adresama koje prenose ti signali, prosljeđuju ih do drugih uređaja. Switchevi posjeduju kombinaciju električnih ili optičkih portova (veza) u različitim brojevima. Medijski konverter je jednostavan uređaj koji konvertuje električni signal u optički i obrnuto. Sigurnosna prijetnja mreži na ovom nivou pojavljuje se kada se napadač fizički poveže na switch ili ukloni naš terenski uređaj iz mreže i umjesto njega u mrežu ubaci neki neautorizovani dio svoje opreme. Također, postoji mogućnost i povezivanja na optički port, ali bi napadač u tom slučaju morao imati i odgovarajući optički interfejs, tako da, iz praktičnih razloga, kod ovakvih napada najčešće je riječ o povezivanju preko električnog interfejsa. Električni Ethernet portovi su zasnovani na industrijskim standardima, tako da je povezivanje na njih relativno jednostavno. Budući da svaki laptop danas ima mogućnost povezivanja, najizglednije oružje za napad je već svima dostupno.
Odbrana aktivne opreme
Ethernet switchevi su dostupni u upravljivim i neupravljivim varijantama, pri čemu upravljiva platforma ima mnogo više funkcija i korisniku omogućava konfiguraciju i daljinski nadzor uređaja. Neupravljivi uređaj nema takve mogućnosti i predviđen je samo za osnovne zadatke koje obavlja na osnovu svojih fabričkih postavki. Medijski konverteri uglavnom dolaze u neupravljivoj varijanti. Tamo gdje je sigurnost bitna, upravljivi uređaji imaju opcije namijenjene sprečavanju neovlaštenog upada na mrežu, dok neupravljivi uređaji nemaju takve opcije, tako da biste u svojoj mreži trebali koristiti upravljive Ethernet switcheve.
————————
Sigurnosne karakteristike upravljivih switcheva
- Najjednostavnije opcije obično omogućavaju najveći nivo sigurnosti, a upravljivi Ethernet switchevi potvrđuju to pravilo. Mogućnost isključivanja switch porta koji se ne koristi u trenutnoj mrežnoj konfiguraciji preko upravljačkog interfejsa naizgled je logična sigurnosna opcija, ali je i jedna od onih koju mnogi mrežni operateri ne koriste, i za koju možda i ne znaju da postoji na njihovim uređajima. Pravila njenog korištenja su, kao što možete zamisliti, jednostavna: ako se port ne koristi, ugasite ga, tako da se niko ne može preko njega neovlašteno povezati direktno na vašu mrežu. U slučaju da se port u budućnosti mora koristiti za legitiman mrežni saobraćaj, naprosto ga otvorite preko sistema za upravljanje. A kada već govorimo o jednostavnim opcijama koje donose najveći nivo sigurnosti, fabrički postavljeno korisničko ime i lozinku treba promijeniti u korisničko ime i lozinku koji se uklapaju u vaše sigurnosne prakse. Nema smisla implementirati ovoliki nivo sigurnosti ako ga napadač može narušiti jednostavnim povezivanjem na komunikacijski port (3) switcha i ostvarivanjem pristupa jednostavnim čitanjem uputstva.
- Kada se uspostavi veza dva aktivna uređaja u mreži, generiše se potvrda veze (obično u vidu LED indikatora), koja se automatski prekida ukoliko se prekine i veza. Ovaj jednostavni hardverski okidač može se koristiti za gašenje porta na osnovu teorije da je prekid veze pokazatelj potencijalnog napada. No, funkcija se može i proširiti tako da isključi portove u slučaju gubitka napajanja aktivnog uređaja – ukoliko napadač dođe na ideju da zamijeni veze kada je switch ugašen. Ako se neki uređaj nalazi na nesigurnoj lokaciji, port koji prima komunikaciju s te lokacije trebao bi imati aktivirane navedene funkcije kako bi spriječio potencijalne napade koji uključuju prekid veze.
- Svi terenski IP uređaji poput CCTV kamera ili zvučnika imat će Ethernet MAC adresu, koja se može koristiti pri povezivanju odgovarajućeg Ethernet switch porta na određenu MAC adresu. Ako se neregistrovana MAC adresa pokuša povezati, switch će joj naprosto blokirati pristup. Međutim, nemojte zaboraviti da bi sposobniji napadač mogao iskoristiti drugačiju vrstu napada da pronađe i kopira vašu MAC adresu, tako da vam ovaj način zaštite samo može kupiti vrijeme, ali ne pruža kompletnu zaštitu.
- D) Uz poznate IP adrese umreženih uređaja, switch može podesiti sistem nadzora terenskih uređaja te pokretati unaprijed definisanu proceduru ukoliko od povezanih uređaja ne dobije odgovor na upite. Broj tih procedura koje se zasnivaju na protokolima za zaštitu lokacija razlikuje se u zavisnosti od switcha i proizvođača. Jedna od takvih procedura je instantno gašenje porta uz istovremeno generisanje SNMP poruke. Ona služi kao upozorenje koje sistemu za centralizirano upravljanje govori da se nešto desilo uređaju koji ima SNMP te da u slučaju potrebe upozori operatere. Druga moguća akcija je jednostavno slanje poruke bez gašenja porta ili, recimo, u slučaju da switch napaja terenski uređaj, moguće je pokrenuti proceduru resetovanja njegovog napajanja ukoliko korisnik misli da je zaglavio.
- E) Autentifikacija korisnika preko 802.1x protokola je IEEE standard koji bi trebao biti dostupan na svim potpuno upravljivim switchevima. On propisuje autentifikacijsku proceduru za uređaje prije nego što se priključe na mrežu. Ovaj standard definiše tri strane u okviru procedure: klijenta koji se želi pridružiti mreži, autentifikatora, koji je, zapravo Ethernet switch, i autentifikacijski server. U ovom sistemu Ethernet switch štiti mrežu dok server ne verifikuje akreditive klijenta te mu dopušta ili blokira pristup mreži.
Sigurnost pasivne opreme
Osim aktivne opreme, unutar mreže potrebno je osigurati i pasivnu opremu. Koliko puta smo prošli ulicom i primijetili otvorena vrata ulične stanice kompanije za komunalne usluge ili čak otvoren pristupni panel na uličnoj svjetiljci? Razlog za ovo je činjenica da u većini slučajeva vlasnik, odnosno operater uopće ne zna da su vrata njegove ulične stanice otvorena i da njegov sistem više nije siguran. Ukoliko se u takvoj stanici nalazi bilo koja komponenta mreže, na vratima mora biti neki senzor koji će vas obavještavati o tome jesu li otvorena ili zatvorena. Ako su vrata otvorena, a vi niste svjesni toga, to predstavlja laku metu za sve napadače te izlaže opremu potencijalnim oštećenjima usljed nepovoljnih uslova iz okruženja ili vremenskih prilika. Nemojte zaboraviti da to ne mora biti samo aktivna oprema. Čak i ako stanica ima samo kablove, to je također prilika za neovlašteni upad u mrežu. Postavljanje senzora je apsolutno obavezno na svim nesigurnim lokacijama.
Da zaključimo
Sigurnosne prijetnje za Ethernet mreže mogu stići od poznatih ili nepoznatih napadača na lokalnim i udaljenim lokacijama. Imajući to u vidu, vlasnici i operateri se moraju zaštititi od svih mogućih varijanti napada. U slučaju lokalnih napada, mjesto upada na mrežu su fizičke veze s mrežom. Ukoliko je napadač udaljen, napast će preko mrežnih funkcija. Upravljivi Ethernet switchevi se zbog zaštite od napada trebaju uvijek koristiti kao aktivne komponente mreže budući da, ukoliko su pravilno konfigurisani, nude najveći nivo sigurnosti. Upravljivi uređaji također će omogućiti korisnicima da daljinski kontrolišu i nadziru mrežne uređaje te će generisati automatska upozorenja ukoliko se pojavi neki problem. Svi upravljivi Ethernet switchevi se moraju konfigurisati u zavisnosti od sigurnosnih nivoa i radnih zahtjeva lokacije na kojoj će se nalaziti kako bi se omogućilo njihovo pravilno funkcionisanje. Oni koji budu ignorisali osnove mrežne sigurnosti i koji se odluče za jeftinije neupravljive uređaje izlažu svoje mreže riziku od napada hakera, koji vrlo brzo mogu iskoristiti sofisticiranu sigurnosnu mrežu za svoje ciljeve. A s obzirom na to da je u igri zaštita kritične infrastrukture, podataka i komunikacija, jeste li spremni preuzeti taj rizik? Takvo nešto bi djelovalo neodgovorno.
Pojašnjenje pojmova
(1) Aktivna oprema je ona kojoj je za rad potrebna električna energija, a pasivnoj ne treba.
(2) U ovome članku se baziramo na Layer 2 Ethernet switcheve zasnovane na MAC adresama, a ne na Layer 3 uređaje na IP ili MAC adresama.
- Komunikacijski port na Ethernet switchevima je serijski port koji omogućava lokalni pristup postavkama nakon unošenja ispravnog korisničkog imena i lozinke.