Sécurisation physique d’un réseau câblé

Un ingénieur réseau spécialisé dans les commutateurs d’itinéraire dira que son travail est plus difficile car il a besoin de sécuriser l’ensemble du réseau. Un ingénieur réseau spécialisé dans le sans fil dira que son travail est plus difficile puisque les ondes radio se déplacent partout.

Qui a raison ? Ni l’un ni l’autre.

La réponse à la question est que les deux emplois sont simplement différents des côtés de la même pièce.

Les réseaux câblés se composent d’imprimantes, de téléphones de bureau et d’une myriade d’autres appareils terribles que nous ne voulons jamais voir sur un réseau d’entreprise câblé, mais l’organisation veut quand même déployer. Sur ce même réseau, vous avez également des centres de données et des serveurs qui vivent au cœur du réseau et peut-être au cœur de toute l’organisation. Permettre à tous ces appareils d’être accessibles, mais aussi limiter qui et ce qui a accès à ces serveurs critiques et aux informations qu’ils contiennent, est un défi.

Tout cela, et nous n’avons même pas encore introduit les postes de travail et nos utilisateurs quotidiens dans le mix.

Et n’oublions pas, ce n’est pas comme si la sécurisation des réseaux sans fil était également un cakewalk, mais nous y parviendrons en temps opportun.

Pour l’instant, nous allons nous concentrer sur certaines étapes de base et les meilleures pratiques que nous pouvons prendre en charge pour nous assurer que notre réseau câblé est aussi nettoyé que possible. Ainsi, lorsque les étapes avancées de déploiement du contrôle d’accès réseau (Network Access Control, NAC) et d’autres fonctionnalités intéressantes comme celles-ci se présentent, nous avons au moins une bonne idée de ce que nous essayons exactement de sécuriser.

L’emplacement physique n’est pas aussi facile qu’il n’y paraît

Le premier élément de notre liste concerne l’emplacement physique de nos commutateurs, et par extension, l’emplacement des prises murales qui se connectent à nos commutateurs.

Bien que cela semble basique, il n’est pas rare que les grandes organisations ne sachent pas exactement où vivent tous leurs commutateurs. Oui, cela se produit en fait. Si nous ne savons pas où se trouvent tous les périphériques réseau, ou même combien nous en avons, il est très difficile de s’assurer que l’accès physique à ces périphériques est contrôlé. Vous pouvez utiliser des outils tels que RUCKUS Cloud ou un contrôleur SmartZone pour gérer votre réseau, générant automatiquement un inventaire pour vous. L’utilisation d’autres outils comme une feuille de calcul pour conserver un inventaire des périphériques réseau actifs sur le réseau, bien qu’il ne s’agisse pas d’un excellent moyen de le faire, donne au moins à l’organisation un point de départ dans sa bataille sur ce qui est actif sur le réseau. Quel que soit votre choix, une liste précise des actifs par emplacement est un incontournable pour un réseau sécurisé.

Une fois les emplacements connus, assurez-vous que ces appareils sont physiquement sécurisés. Et non, les suspendre dans une salle de bains au-dessus des « installations » dans la salle de bains^[1] n’est pas sûr.

Physiquement, sur un commutateur, il peut y avoir quelques points de faiblesse qui peuvent ne pas sembler être une faiblesse jusqu’à ce qu’un pirate bien informé obtienne un accès physique à vos appareils. Certaines de ces choses peuvent même sembler inutiles jusqu’à ce que vous commenciez à réfléchir aux différentes utilisations que chaque connexion sur un commutateur peut offrir. En plus de tous les ports auxquels nous pensons normalement, pour aujourd’hui, je veux me concentrer sur les ports qui ne sont pas utilisés par le périphérique ou le flux de trafic typique.

La photo ci-dessous est un commutateur typique.

Image 1 Commutateur RUCKUS ICX 7150-24F

D’accord, donc je comprends qu’il s’agit d’un commutateur enfichable à facteur de forme unique (SFP), mais c’est une excellente image qui souligne ce dont je veux parler.

Pour un ingénieur réseau qui a besoin de prendre en charge ces dispositifs, la majorité de ces ports sont considérés comme les parties fonctionnelles du commutateur ; nous allons les couvrir dans une autre publication. Pour l’instant, je souhaite me concentrer sur les ports qui ne sont pas utilisés dans le fonctionnement quotidien de ce commutateur. Mais, au lieu de penser à eux en tant qu’ingénieur réseau qui vient d’entrer dans une armoire pour réparer quelque chose (comme l’ajout du VLAN de gestion aux ports de liaison montante après avoir mal configuré le commutateur depuis votre bureau), pensez à ce commutateur du point de vue d’une personne qui cherche à faire quelque chose de fâcheux une fois qu’elle a accès à cet appareil.

Par exemple, qu’en est-il de ces ports de console ? Il y en a deux ici : un RJ45 qui nécessite un câble de console « spécial » (que tout attaquant valant la peine d’avoir sur lui) et un port de console USB-C. Il s’agit de deux ports d’accès auxquels nous pourrions limiter l’accès des attaquants.

Il y a également un port USB-A standard ici. Dans quelle mesure seriez-vous à l’aise avec la possibilité pour un pirate de brancher sa propre clé USB à cette clé, puis de redémarrer l’interrupteur en tirant simplement sur le câble d’alimentation ? Peut-être un peu, mais pas assez pour dormir profondément pendant que vous êtes de garde ? (Notez que la bonne réponse doit être « très inconfortable ! »)

Il y a ensuite un port de gestion RJ45. Oui, cela doit être logiquement verrouillé, comme les ports de la console, mais êtes-vous sûr qu'il est configuré sur tous vos commutateurs ?

Enfin, il y a le bouton de réinitialisation d’usine. Bien que cela ne soit pas très utile (du moins pas pour moi, mais cela pourrait être utile à la mauvaise personne avec une imagination assez folle), la réinitialisation en usine d’un commutateur peut causer toutes sortes de problèmes pour une organisation. Si le commutateur est hors ligne ou ne peut pas transférer le trafic en raison d’une réinitialisation, les caméras de sécurité, les téléphones VoIP, le Wi-Fi® et les autres dispositifs de sécurité physique s’exécutent également sur cet appareil.

Donc, pour résumer, vous devez limiter l’accès physique aux armoires avec les commutateurs et verrouiller tous les ports de console dans le système d’exploitation du commutateur. Il s’agit d’un exemple de mesures de sécurité physiques et logiques destinées à se soutenir mutuellement. Défense en couches. Nous reviendrons à la partie configurations de cette défense plus tard.

Les vérins peuvent également être sécurisés

Tout port d’accès sur un commutateur, qu’il s’agisse du commutateur lui-même ou d’une prise murale reliée par câble au commutateur, posera toujours le plus grand défi à la sécurité. Bien qu’un commutateur standard puisse être un seul appareil, voire plusieurs commutateurs dans la même pièce, c’est toujours un espace assez centralisé à sécuriser. Cependant, deux commutateurs 48 ports dans une seule pièce peuvent signifier 96 prises murales connectées, et je vais deviner qu’ils ne seront pas tous dans la même pièce.

Cela signifie que 96 points d’entrée possibles dans le réseau et le suivi de nombreux emplacements peuvent être intimidants pour toute organisation.

Une méthode simple qui ne nécessite pas de matériel supplémentaire consiste simplement à débrancher toute prise murale inutilisée du commutateur. Sans cette extension physique du commutateur au câble, il n’y a rien à connecter pour un attaquant. Et, si vous en avez besoin à nouveau, vous n’avez pas tiré sur le câble ; il vous suffit de reconnecter le câble au commutateur et la prise redevient active.

L’inconvénient de cette approche est que cela signifie le temps passé à déconnecter ce cavalier lorsque la prise murale n’est plus nécessaire, puis, lorsqu’elle est de nouveau nécessaire, le temps de revenir en arrière et de s’assurer que la bonne prise murale est connectée au bon port sur le commutateur. En fonction de l’acceptation du risque de votre organisation, cela peut être une option ou non.

Une autre façon de sécuriser ces ports inutilisés consiste simplement à ajouter un capuchon de « verrouillage » à la prise murale ou au port de commutation lui-même.

Image 2 Blocage de port CommScope RJ45

Bien qu’il ne s’agisse pas d’une méthode infaillible ou sécurisée à 100 %, il suffit parfois de quelque chose de simple et de basique, comme un bloqueur de port RJ45 en plastique de CommScope pour déjouer un attaquant et protéger votre réseau.

L’inconvénient de cette approche est que si vous pensiez qu’il était difficile de trouver où se trouvent tous vos commutateurs dans votre réseau, les prises murales sont beaucoup plus difficiles à trouver !

Réflexions finales

Bien qu’il existe de nombreux autres types de contrôles d’accès physiques qui peuvent être mis en place, cela n’est pas censé être une liste complète des choses que vous devez faire. Cela a pour but de vous faire réfléchir à l’importance de la sécurité physique et de développer un plan qui vous convient, à vous et à votre organisation. Si ce que vous en tirez est une meilleure appréciation et un meilleur processus de réflexion sur la sécurisation de l’accès physique à votre réseau et à vos ports câblés, alors nous nous rapprochons du nettoyage des choses qui peuvent avoir un impact sur la sécurité de nos réseaux.

Assurez-vous de vous joindre à moi dans le prochain volet où je vais vous donner quelques conseils sur les configurations logiques que vous pouvez prendre pour assurer la sécurité de vos réseaux câblés.

-----

[1] Classez cela sous les choses que j'écris et que j'aimerais ne pas être une histoire vraie, mais que cela s'est produit, et plus d'une fois.