Businessman on blurred background using digital padlock to secure his datas 3D rendering

Autor: Alexandru Gaiu, Senior Network Engineer, Allied Telesis

În urmă cu mulți ani, camerele IP începeau să intre în viața cotidiană. Toata lumea era bineințeles foarte entuziasmată.

Un coleg britanic ne-a povestit cum în obiectivele lor sensibile nu se acceptau camere de supraveghere IP la exterior, fiind forțați să instaleze tot versiunile analogice, indiferent de avantajele oferite. Problema se referea la existența unor porturi de rețea într-o zonă necontrolată.

Între timp, după cum probabil ați văzut camerele IP par să fi câștigat teren peste tot și această problemă uitată.

Așa am crezut cel puțin. Pentru că problema esențială rămâne. Porturi de rețea în zone necontrolate ce reprezintă un risc de securitate. Cerintele din partea clienților au dus chiar și mai departe. Acum avem camere de supraveghere și senzori răspândiți pe întreaga suprafață a orașelor. Adică am trimis nu doar porturi în zone nesigure ci bucăți întregi de infrastructură. De securizarea lor nu pare să se fi ocupat nimeni în detaliu însă, iar discutțiile respective exact la asta se refereau.

Unelte pe care le avem la dispooziție cu pro și contra

Creăm o zonă diferită pentru echipamentele aflate în exterior. Separăm cu ajutorul firewall-urilor aceste zone de datacenter. În acest caz firewall-ul va avea de inspectat o cantitate mare de trafic, majoritar video. Va trebui dimensionat corespunzător pentru a putea procesa acest nivel de trafic fără a introduce latență. Echipamentele rezultate sunt de obicei extrem de scumpe, ceea ce face această abordare nepractică în marea majoritate a cazurilor.

De asemenea, acest gen de abordări lasă cale liberă unui eventual atacator către o zonă destul de mare de echipamente. Trebuie să ne concentrăm pe a duce soluțiile de securitate cât mai aproape de edge, de echipamentele aflate în stradă.

Cum ne protejăm de înlocuirea unei camere cu un alt echipament?

Prima linie de aparare este switch-ul ce alimentează camera respectivă. Toate echipamentele cu management pot folosi o funcție denumită port security. Aceasta limitează numărul de MAC-uri de pe un port și memorează care sunt acestea. Dacă se schimbă ceva acel port poate fi oprit. Destul de eficient, inclus în general în prețul switch-ului, dar MAC-urile se pot copia ușor.

Putem însă sa mergem mai departe. Echipamentele de rețelistică suportă de mult timp un protocol denumit IEEE802.1x. Acesta reprezintă o metodă de autentificare a endpoint-urilor către switch. Dacă respectivul echipament nu are parolă sau certificatul potrivit, nu îi este permis accesul în rețea. Simplu și extrem de eficient atâta timp cât camera sau senzorul suportă acest mecanism de autentificare. Ar fi recomandat să vă orientați către echipamente ce suportă acest lucru.

Un atacator determinat poate trece și peste acest lucru, dar nivelul său de cunoștințe va trebui deja să fie mai mare. Pentru a trece peste autentificare ar avea nevoie de un banal hub, o placă de rețea pusa în mod promiscuu și un software care să îi permită construirea exactă de pachete astfel încât să lase camera să se autentifice, după care să injecteze trafic în rețea folosind adresa camerei. Destul de complicat dar posibil.

Putem configura însă același switch să urmărească anumite evenimente. De exemplu, dacă vede că link-ul unui port a fost oprit, atunci portul este oprit complet. La fel poate interoga porturile periodic și să vadă dacă starea lor de alimentare PoE s-a schimbat și dacă valoarea consumată este radical diferită față de ultima interogare. Dacă da, portul poate fi oprit din nou din condiții de securitate. Combinat cu autentificarea 802.1x, aceste soluții ar trebui să oprească și cel mai determinat atacator să caute altă metodă.

O alta metodă ar fi reprezentată de accesul la switch-ul în cauză. El nu e în general departe de cameră. Se află în zonă, încuiat într-o cutie metalică. Problema este că, având cunoștințe suficiente, orice echipament poate fi accesat atâta timp cât avem acces fizic la el.

Prima opțiune, și una extrem de simplă, este de a bloca toate porturile nefolosite de pe el.

A doua opțiune este de a găsi un switch căruia i se poate dezactiva funcția de recuperare a parolei. Asta bineînțeles presupune că cel care a instalat echipamentul nu a uitat să activeze parola și portul serial al echipamentului.

Aveți însă grijă dacă recurgeți la această metodă, dacă îi uitați parola, switch-ul respectiv nu va mai putea fi folosit.

Un alt nivel de protecție este să vă folosiți de contactele I/O pe care le au în general echipamentele industriale folosite în aceste situații. Le puteți folosi pentru a primi o alarmă sau puteți configura switch-ul astfel încât la deschiderea neautorizată a cutiei în care se află să își șteargă scripturile de configurare. Detaliile de securitate ale rețelei respective nu vor mai fi astfel disponibile atacatorului.

Și ajungem astfel la cealaltă bucată de  infrastructură aflată în zona nesigura: uplink-ul către switch-urile de backbone. Aceasta este în general o legatură de fibră optică. Deși nu este trivial să conectați un laptop la o legătură de fibră optică, se poate. Aruncați doar o privire la linia noastră de media convertoare AT-UMC. Bineînțeles că ele pot fi folosite și în scopuri bune.

Pentru protejarea acestui link avem ca de obicei mai multe opțiuni. Prima și cea mai banală ar fi folosirea tragării traficului tagat 802.1q cu un tag aleatoriu. Dacă atacatorul nu are acces la configurație va trebui să piardă timp încercând să găsească configurația potrivită.

Avem de asemenea posibilitatea monitorizării parametrilor optici la nivelus switch-ului de backbone. În momentul în care nivelul de semnal se schimbă la recepție, portul poate fi oprit. Există funcții specializate în acest sens în software-ul switch-urilor.

Această funcție poate fi combinată și cu o autentificare bazată pe MAC. Astfel, portul de pe switch-ul de backbone nu s-ar ridica dacă nu vede mesaje periodice de la switch-ul de edge a cărui adresă o cunoaște. Banalele frame-uri STP sunt suficiente pentru asta atâta timp cât switch-ul industrial este încă acolo.

Există și soluții ceva mai complicate dar și mai eficiente pentru protejarea acestui link și anume criptarea lui. MACSec este o opțiune dar echipamentele sunt scumpe și e puțin probabil să fie folosite în zone de edge de acest fel. Se pot folosi însă routere industriale ce sunt suficient de ieftine și pot cripta o astfel de legătură. Avantajul în acest caz este că indiferent de modul în care atacatorul reușește să preia controlul link-ului se va lovi în partea cealată de un gateway VPN care nu înțelege altceva și nu răspunde la alte cereri.

Există și alte opțiuni mai complexe pe care le putem aplica în funcție de nevoia de securitate a rețelei respective. Una dintre ele ar fi utilixzarea Open Flow în zona de edge. Astfel am crea legături complet separate de la fiecare senzor în parte până în core. Ar fi ca și cum ați avea câte un fir separat tras pentru fiecare conexiune, fără legătura cu celelalte. În plus, echipamentele de pe traseu nu au configurație în acest caz, deci nimic ce ar putea fi studiat de un atacator, iar dispariția lor din rețea ar declanșa un semnal de alarmă imediat.

Acest mod ar putea reduce drastic suprafața de atac disponibilă ca să nu mai vorbim și de simplitatea instalării echipamentelor din teren.

O astfel de rețea ar putea fi combinată la intrarea în core cu o versiune de tehnologie SD-WAN. O astfel de tehnologie ar putea trimite traficul video direct spre serverele VMS în timp ce restul traficului ar fi inspectat de firewall-uri. Firewall-urile vor putea fi astfel dimensionate într-un mod mai realist și cu costuri mult mai umane. În plus, prezența SD-WAN în rețea ar permite firewall-ului ca la detecția unei probleme să trimită o comandă de izolare a nodului cu probleme. Rețeaua astfel configurată poate carantina nodul problematic în câteva secunde oriunde s-ar afla el.

După cum vedeți, soluțiile există, de la simple la complicate și eficiente, în funcție de necesitățile rețelei respective. Totul este să nu uitați că aveti infrastructura expusă.