Controles basados en red para asegurar la internet de las cosas

Estos protocolos de red le ayudarán a controlar los dispositivos que no se conectan a sistemas de acceso, de inventario o de parches.

Las redes empresariales están siendo inundadas con cosas "inteligentes" y sensores industriales. Pero sin antimalware disponible, y con poca gestión centralizada de la configuración, la seguridad de punto final es difícil, si no imposible. Muchos dispositivos, como medidores inteligentes o grabadoras de video digital utilizadas en los sistemas de vigilancia, no se conectan a los controles de acceso de la empresa o de inventario ni a los mecanismos de parches. Como resultado, es importante encontrar métodos para asegurar la internet de las cosas (IoT) y el traer sus propios dispositivos, utilizando controles basados en red que pueden escalar y ser gestionados de forma centralizada con las herramientas existentes.

Las políticas y tecnologías para hacer cumplir los controles de inventario son críticos para la seguridad de los datos y la gestión de riesgos. La mayoría de los dispositivos conectados a internet solo pueden ser manejados de manera eficiente a través del Protocolo de Configuración de Host Dinámico (DHCP), un protocolo de red que se utiliza para la automatización de parámetros IP. DHCP puede hacer mucho más que solo repartir direcciones IP y configuraciones de DNS. Sin embargo, su soporte para funciones adicionales es irregular. En algunos casos, las actualizaciones de firmware y las configuraciones se pueden enviar a los dispositivos; DHCP es fundamental para anunciar la ubicación de estos archivos.

Los registros DHCP y los archivos lease pueden proporcionar también inventarios razonablemente buenos. Restringir DHCP a los dispositivos conocidos, o usarlo para segregar nuevos dispositivos en subredes, es una técnica comúnmente utilizada para hacer cumplir las políticas de control de inventario.Las configuraciones de servidor DHCP siempre deben atar de nuevo a un sistema de gestión de direcciones IP y control de inventario. La figura 1 muestra una pequeña muestra de los registros DHCP que incluyen el nombre del dispositivo que pide una dirección.

Registros DHCP

DHCPREQUEST for 192.0.2.1 from 00:24:e4:dd:ee:ff (WSD-5CA8) via re1

DHCPREQUEST for 192.0.2.2 from 24:a4:3c:aa:bb:cc (unifac) via re1_vlan2

DHCPREQUEST for 192.0.2.3 from 70:3e:ac:11:22:33 (iPhone) via re1

Figura 1: Los dispositivos se identifican a sí mismos como parte de una solicitud DHCP.

Además del registro de DHCP, los dispositivos necesitan DNS para la gestión de direcciones IP como cualquier otro sistema informático utilizando IP. Mientras DNS fue desarrollado, en parte, para salvar a los humanos de tener que recordar direcciones IP; para los dispositivos, DNS permite a los fabricantes conservar los nombres de host estáticos para APIs que se resuelven en direcciones IP variantes o múltiples. Las peticiones DNS se pueden utilizar para ayudar en el inventario de dispositivos –las consultas pueden Indicar el tipo de dispositivo y cómo es utilizado, como se muestra en la Figura 2.

Solicitudes DNS

query: netcom.netatmo.net IN A + (10.5.0.86)

query: api.parse.com IN A + (fd14:5d44:4428:1::35)

query: scalews.withings.net IN A + (10.5.0.86)

Figura 2: Consultas DNS enviadas por una estación meteorológica, un iPhone y una escala.

Desafíos para el firewall

Por suerte, la mayoría de dispositivos no tienen que aceptar conexiones no solicitadas de fuera del perímetro. Sin embargo, muchos sistemas todavía necesitan establecer conexiones salientes.

Restringir estas conexiones es difícil, sobre todo si un dispositivo quiere conectarse a servicios en la nube o a redes de entrega de contenido. Es difícil, si no imposible, establecer reglas de firewall razonables en estos casos. Con conexiones HTTP,puede ser posible poner un proxy a las conexiones e inspeccionar los datos que se envían y reciben, en un intento de eliminar fugas de datos y detectar código malicioso recuperado por el dispositivo.

A menudo pasado por alto como un sensor, el Protocolo de tiempo de red (NTP) todavía es utilizado por muchos dispositivos para sincronizar las horas del reloj de la computadora en redes basadas en paquetes. En algunos casos, los dispositivos utilizan un servidor NTP preestablecido, lo que puede indicar qué dispositivo está enviando la solicitud NTP. Algunos sistemas pueden intentar conectarse a un servidor NTP asignado a través de DHCP.

La mayoría de los equipos de seguridad tienen acceso a este tipo de controles basados ​​en la red. Para desarrollar mejores procesos de seguridad para el internet de las cosas, todo lo que necesita es el uso de estas herramientas existentes para empezar a buscar eventos potenciales asociados con los dispositivos, y aplicar políticas de control de inventario.

Sobre el autor: Johannes B. Ullrich, Ph.D., GIAC, GCIA y GWEB es director de tecnología en el Instituto de Tecnología SANS e investigador principal en el Internet Storm Center. Sígalo en: @johullrich.

Investigue más sobre Gestión de la seguridad