Julia Santogatta
W części 1 tego artykułu wprowadziłam „złotą
regułę” przemysłowego bezpieczeństwa sieci bezprzewodowej - bezpieczne
wdrażanie, regularne monitorowanie. Przestrzeganie tej zasady
zapewnia, że niepożądany dostęp do bezprzewodowej sieci LAN i reszty sieci
nie nastąpi.
Ale w jaki sposób wdrożyć bezpiecznie? W dzisiejszych czasach
większość artykułów poświęconych bezpieczeństwu w cyberprzestrzeni mówi o
użyciu opcji Defense-in-Depth lub warstwowym podejściu do zabezpieczania
sieci przemysłowych. Oznacza to użycie różnych zabezpieczeń w
różnych punktach systemu, aby chronić sieć lub zażegnać zagrożenia. Idea
warstwowania i wynikające z tego korzyści nie różnią się w zastosowaniach
bezprzewodowych.
Wdrażając działania mające na celu odniesienie
się do tych siedmiu kluczowych pytań, będziesz budował warstwy ochrony, które
przyczyniają się do najlepszych metod Defense-in-Depth. Rzućmy okiem
szczegółowo na te pytania.
Pytanie 1: Czy zabezpieczyłem urządzenia
sieciowe?
Co to są urządzenia sieciowe? Obejmują
one wyposażenie, takie jak przełączniki, routery, punkty dostępu i sterowniki. Sieć
bezprzewodowa nie powinna wpływać na działanie tych urządzeń ani na
funkcjonowanie sieci przewodowej.
Aby to zapewnić, należy przede wszystkim
wyłączyć starsze, niezabezpieczone metody konfiguracji, takie jak
telnet, http i serial. Następnie, pozostając u podstaw, dopilnuj, aby
zmienić domyślne hasła konfiguracyjne.
Po uwzględnieniu tych podstaw najlepszym
sposobem ochrony urządzeń sieciowych jest wykorzystywanie różnych poziomów
dostępu do nich. Różne osoby, maszyny i inne urządzenia nie powinny mieć
tego samego poziomu dostępu.
Można tego dokonać, rozważając użycie list
kontroli dostępu poprzez:
·
Indywidualne lokalne bazy danych na urządzeniu
·
Centralny zintegrowany lub zewnętrzny serwer RADIUS1
·
Używanie TACACS +2 do uwierzytelniania i autoryzacji
Pytanie 2: Czy zabezpieczyłem moją sieć
przed źle skonfigurowanymi urządzeniami i „złym zachowaniem”?
Zastanawiasz się, co to źle skonfigurowane
urządzenie lub złe zachowanie? Niewłaściwie skonfigurowanym
urządzeniem może być dowolna sieć - sterownik PLC, napęd, punkt dostępowy,
komputer itp. Po każdej rekonfiguracji może pojawić się błąd:
1) Używana jest stara
wersja pliku konfiguracyjnego z niepoprawnym adresem IP lub starszym
uwierzytelnieniem WEP/WPA
2) Wprowadzono
niezamierzone zmiany w routingu ruchu lub ustawieniach bezpieczeństwa
Zamiast próbować komunikować się tak jak
wcześniej, źle skonfigurowane urządzenie wprowadza lukę w zabezpieczeniach lub przejawia
„złe zachowanie”, próbując uzyskać dostęp do części sieci przewodowej lub
bezprzewodowej, do której nie należy. Podobnie, urządzenie mogło zostać
zarażone wirusem (należy wziąć pod uwagę luki w systemie Windows XP) i zamiast
komunikować się z następnym w kolejności urządzeniem, próbuje ono dotrzeć do
sieci World Wide Web.
W każdym z tych scenariuszy istnieje
potrzeba uniknięcia wpływu nieprzewidywalnych urządzeń lub użytkowników na
sieć. Włącz WPA2, najwyższy poziom uwierzytelniania użytkownika, aby umożliwić
dostęp tylko legalnym urządzeniom bezprzewodowym.
Dla tych, którzy używają
protokołów EtherNet/IP, Modbus, PROFINET, UDP lub innych protokołów
przemysłowych, najlepiej jest zaimplementować zapory sieciowe warstwy 2 lub
warstwy 3, które są wbudowane w większość punktów dostępu bezprzewodowego. Rozważ
ich wykorzystanie, aby ograniczyć ruch sieciowy do oczekiwanych i akceptowanych
jego rodzajów. Możesz również dodać dodatkową miarę uwierzytelnienia,
korzystając z certyfikatów dla urządzeń.
Pytanie 3: Czy uwierzytelnieni, uprawnieni
użytkownicy lub urządzenia sieci bezprzewodowej są chronione przed innymi
użytkownikami lub sprzętem?
W tym przypadku chcemy chronić się przed
użytkownikiem lub maszyną, która nie ma prawa zajmować naszej sieci lub jej
części. Powróćmy do podstaw. Najpierw włącz szyfrowanie, aby uchronić
się przed wścibskimi obserwatorami. Następnie upewnij się, że włączono Management
Frame Protection (aka 802.11w) zarówno w Punktach Dostępowych (AP), jak i
Klientach, aby dodatkowo chronić swoje urządzenia.
Stamtąd spójrz na możliwość ataku
"man-in-the-middle". Jest to scenariusz, w
którym urządzenie przechwytuje komunikację między dwiema prawowitymi
stronami, a następnie maskuje się w celu wyłapania ramek danych i skanowania
poświadczeń i danych.
Atak typu "man-in-the-middle"
jest często wykonywany poprzez wysyłanie fałszywych lub "imitujących"
ramek Adress Resolution Protocol (ARP) w celu skojarzenia adresu MAC
atakującego z adresem IP innego urządzenia sieciowego. Pakiet ARP jest
Twoim pakietem wykrywania, który określa, kto należy do którego adresu IP.
Aktywacja ochrony przed „imitowaniem” IP (innymi
słowy sprawdzanie adresów) w zaporze sieciowej AP, zaporze sieciowej sterownika
lub zewnętrznej zaporze sieciowej pomoże Ci zidentyfikować złośliwe zmiany w
sieci.
Dobre przemysłowe produkty bezprzewodowe
umożliwiają korzystanie zarówno z Management Frame Protection, jak i ochrony
przed „imitowaniem” IP.
Pytanie 4: W przypadku korzystania ze
sterownika bezprzewodowej sieci LAN, zadaj sobie pytanie: "Czy
zabezpieczyłem sieć między punktem dostępowym a sterownikiem?"
Dobrą praktyką jest segmentowanie ruchu
bezprzewodowego z pozostałej części sieci, jeśli korzystasz ze sterownika WLAN.
Najprostszym sposobem na to jest włączenie
funkcjonalności tunelu CAPWAP3. Jest to bardzo
prosta metoda tunelowania i jest dostępna w większości punktów
dostępu bezprzewodowego i sterowników.
Możesz również rozważyć użycie sieci VPN
(Virtual Private Network) do enkapsulacji i szyfrowania danych między punktem
dostępowym a centralnym koncentratorem sieci VPN.
Pytanie 5: Czy mogę rozpoznać zakłócenia,
„odmowę usługi” lub inne „złe zachowania”?
Zadaj sobie pytanie, czy Twój system jest
skonfigurowany tak, aby rozpoznawał ataki typu "odmowa usługi" (Denial
of Service), interferencje sieciowe lub inne "złe rzeczy". Czy ktoś
lub coś celowo próbuje zablokować Twoją sieć, czy coś po prostu spowodowało
zakłócenia - chcesz o tym wiedzieć. We wspólnym medium mogą się zdarzyć różne
rzeczy.
Konfigurując swój most lub infrastrukturę WLAN,
przygotuj się na sukces, korzystając z bezprzewodowego systemu wykrywania
włamań (WIDS). W systemie WIDS ustaw pułapki SNMP4, aby
powiadamiały Cię, gdy punkty dostępu znikną i zostaną wykryte kłopotliwe
punkty dostępu.
Po wykryciu czegoś - na przykład
połączenie bezprzewodowe z kamerą bezpieczeństwa jest zablokowane -
administrator zostanie ostrzeżony. System WIDS automatycznie wykryje
również punkty ataków DoS i powiadomi zainteresowanych pracowników poprzez
alerty SNMP, wiadomości i e-maile.
Pytanie 6: Czy poradziłem sobie ze
starszymi urządzeniami?
Rzeczywistość jest taka, że
najprawdopodobniej masz jakiś rodzaj starego urządzenia w swoim zakładzie. Nie
można aktualizować wszystkiego przez cały czas. Ten bezprzewodowy skaner
kodów kreskowych sprzed siedmiu lat? Tak, właśnie to. Posiadanie tych
urządzeń jest często rzeczywistością i to jest w porządku, upewnij się tylko,
żeby mieć na nie oko.
Możesz rozważyć rozwiązanie luki
bezpieczeństwa przez:
·
Używanie zapory sieciowej warstwy 2 lub warstwy 3 do izolowania starszych
urządzeń
·
Używanie prywatnego PSK5 na każde urządzenie w oddzielnym
WLAN SSID6
Pytanie 7: Czy fizycznie zabezpieczyłem
urządzenia bezprzewodowe i obszary zasięgu?
Na koniec, choć są one nie mniej ważne, pomyśl
o aspektach fizycznych. Czy Twoja bezprzewodowa sieć LAN będzie podróżować
do miejsc, w których możesz jej nie chcieć? Należy wziąć to pod uwagę i
ewentualnie obniżyć moc nadawania na częstotliwościach radiowych (RF) na
urządzeniach w celu ograniczenia zasięgu tylko do wymaganego obszaru.
W skrajnych przypadkach można również
ograniczyć RF tylko do wymaganych obszarów za pomocą specjalnego odcienia
ochronnego RF na oknach lub farby RF na ścianach.
Poza tym pamiętaj o zapewnieniu
autentyczności wszystkich użytkowników, punktów dostępowych lub urządzeń
końcowych, zgodnie z wcześniejszym opisem. To zapewnia Twojemu
bezpieczeństwu dodatkową warstwę pewność, przyczyniając się do Defense-in-Depth.
Na koniec, po raz kolejny sprawdź, czy
szafki i stojaki są zamknięte i zabezpieczone, aby uniemożliwić fizyczny
dostęp.
Przemysłowa bezprzewodowa "Złota reguła"
- bezpiecznie wdrażaj, regularnie monitoruj.
Zadanie sobie pytań wymienionych powyżej
pomaga zapewnić przemyślane wdrożenie bezpiecznego zastosowania przemysłowego. Choć
może się wydawać, że wdrożenie zabezpieczeń bezprzewodowych jest dużym i
złożonym zadaniem, nowoczesny przemysłowy sprzęt bezprzewodowy sprawia, że
jest to łatwe.
Oto podsumowanie najważniejszych funkcji,
których należy szukać:
·
Łatwe blokowanie metod konfiguracji telnet, http i serial
·
Obsługa protokołu uwierzytelniania WPA2
·
Funkcjonalność Zintegrowanej Listy Kontroli Dostępu (Integrated Access
Control List)
·
Wbudowane zapory sieciowe warstwy 2 i 3
·
Możliwość korzystania z certyfikatów na urządzeniach
·
Opcja włączenia ochrony przed „imitowaniem” IP
·
Obsługa standardowej funkcji 802.11w, funkcjonalność Management Frame
Protection
·
Obsługa tuneli CAPWAP i VPN
·
Włączenie funkcjonalności wykrywania włamań bezprzewodowych
Najważniejszą częścią jest wykorzystanie tych funkcji w
ramach strategii warstwowej. Nie zapomnij ich włączyć lub wdrożyć,
ponieważ są to dobre rzeczy, które pozwalają Ci spać spokojnie, wiedząc, że Twoje
zastosowanie bezprzewodowe jest bezpieczne.
I pamiętaj - bezprzewodowe nie musi być
przytłaczające. Pomyśl o Złotej regule: "Bezpiecznie konfiguruj,
regularnie monitoruj" i zacznij radzić sobie z podstawami, biorąc
pod uwagę siedem kluczowych pytań.
Jakie pytania zadajesz sobie podczas pracy
nad bezpieczeństwem sieci bezprzewodowej? Czy uważasz, że te siedem pytań
jest przydatnym punktem wyjścia? Czekam na Wasze komentarze!
5PSK – Pre-shared key
6SSID – service set indentifier. Jest to
unikalny identyfikator bezprzewodowej sieci LAN.
Komentarz edytora: Artykuł ten został
napisany przez Julię Santogatta, dyrektora Belden odpowiedzialnego za
inicjatywy bezprzewodowe, i dzięki wiedzy eksperckiej Daniela Wade'a, Głównego
Architekta ds. Produktów Bezprzewodowych i Jeffreya Caldwella, Głównego
Architekta ds. Bezpieczeństwa.
Jeśli masz jakiekolwiek pytania,
wątpliwości czy uwagi, zapraszamy do kontaktu! Jesteśmy do dyspozycji od
poniedziałku do piątku w godz. 8:00 – 16:00.
Tel: +48 32 256 25 33
E-mail: info@pf-electronic.pl
Komentarze
Prześlij komentarz