Articulo técnico escrito por Iain Deuchars Business Development Manager en ComNet y en que desarrolla la idea de la ciberseguridad por hardware en nuestras redes internas.
El término Ciberseguridad es muy habitual e importante en nuestro mundo hoy en día, y puede afectar a sistemas de comunicaciones y personas, desde gobiernos nacionales y entidades corporativas globales y hogares. Ante esta realidad nuestra comprensión y entendimiento actual de la ciberseguridad se basa en el internet global donde los ataques son a nivel de software, como el malware, pirateo, captación o robo de información, etc. y amenazan nuestros lugares de trabajo, hogares y nuestra vida cotidiana: los servidores corporativos son pirateados, con costosas consecuencias tanto a propietarios como operadores.
Pero lo que no relacionamos con la seguridad cibernética es la amenaza e intrusión en un nivel físico o hardware a las redes de sistemas autónomos. En estos casos, se accede físicamente a una red de comunicación a través de uno de los puertos en los dispositivos ya presentes en la red, lo que da como resultado que el sistema se vea comprometido o falle por completo con resultados desastrosos en ambos casos.
Este artículo se centra en la ciberseguridad por hardware, examina las posibles acciones que puede adoptar un atacante y describe las características del equipo de red activo (switches) que puede evitar que los intentos de intrusión tengan éxito. Si bien nos concentraremos en las redes de seguridad y vigilancia IP, puede aplicarse a cualquier red basada en Ethernet y, como tal, abarca un ámbito mucho más amplio en diferentes tipos de redes de comunicación.
Debido a su naturaleza, en las redes de seguridad y vigilancia se instalan los dispositivos de red en ubicaciones seguras y no seguras. Ambas posiciones brindan amplias oportunidades para el intruso, por lo que se debe prestar la debida atención y cuidado a la protección de los equipos. Sin embargo, los instaladores e integradores también deben tratar los sitios seguros exactamente de la misma manera. La intención de ataque podría originarse en un punto o por alguien con derecho de acceso a un área segura. Se deben considerar todas las opciones.
Infraestructuras con protecciones de ciberseguridad por hardware
Una red Ethernet comprende equipos activos y pasivos (1). El equipo activo incluye switches Ethernet (2) y conversores de medios, y el pasivo, una combinación de cables, conectores y ubicaciones tales como armarios, que también pueden incluir equipos activos adicionales, por ejemplo, sistemas de acondicionamiento y control ambiental. Para el ejemplo de este artículo, abordaremos los switches Ethernet de capa 2.
Los switches Ethernet actúan como concentradores de cable, agrupando comunicaciones de diferentes dispositivos periféricos y transmitiendo a otros dispositivos según configuración. Pueden tener combinaciones de puertos eléctricos y ópticos (conexiones) en diferentes densidades de puerto. Un conversor de medios es un dispositivo simple que codifica las señales eléctricas a ópticas y viceversa. La amenaza de seguridad para la red a este nivel es el resultado de alguien que se conecta físicamente al switch o al eliminar/desconectar un dispositivo periférico de la red y colocar un equipo no autorizado en su lugar. La conexión podría ser a un puerto óptico, pero eso requeriría que el intruso tenga la interfaz óptica correcta, por lo que, por razones de simplicidad, tiende a ser una conexión a través de una interfaz eléctrica/Ethernet/IP. Los puertos/comunicaciones Ethernet se basan en un estándar de la industria, por lo que conectarse con estos es relativamente simple y como cada PC portátil de hoy en día dispone de conexión, por lo que el medio de ataque está disponible.
Equipos activos de defensa
Los switches Ethernet están disponibles con características de gestión o no gestionables, donde la plataforma de gestión tiene muchas más funciones y permite al usuario configurar y controlar de forma remota el dispositivo para ampliar la ciberseguridad por hardware. La unidad no gestionable no tiene esta opción, simplemente comunica la configuración enviada. Los conversores de medios son dispositivos sin gestión. En lo que respecta a la seguridad, los equipos gestionables ofrecen una serie de parámetros a nivel de software y configuración para evitar la entrada no autorizada a la red, mientras que los no gestionables no lo hacen, por lo que los switches gestionables de Ethernet deben usarse siempre en su red.
Anotaciones:
- El equipo activo se define como aquel que necesita energía eléctrica para operar y el equipo pasivo es aquel que no la requiere.
- Este artículo se centra en los Switches Ethernet de nivel 2 basados en direcciones MAC y no en los dispositivos de nivel 3 que pueden activar la dirección IP o MAC.
Siga leyendo este artículo en Funciones generales de seguridad en los switches gestionables
