Sécurisation de vos appareils IdO sur votre réseau

Dans le monde du réseau et de la sécurité, il y a une histoire célèbre sur un casino qui a été piraté, et l’histoire derrière ce piratage est digne d’un rire inconfortable. Après quelques recherches, il a été découvert que le point d’accès des auteurs du crime était un appareil IdO. Plus précisément, le dispositif de chauffage d’un réservoir à poisson qui venait d’être installé était le point faible de la sécurité de son réseau qui permettait aux pirates d’accéder au réseau du casino et, finalement, d’exfiltrer les informations du casino, des informations telles que les rouleaux hauts, les clients et d’autres données opérationnelles, le tout copié via le dispositif de chauffage du réservoir à poisson.

La morale faceteuse de l’histoire ici, c’est que « lorsque votre aquarium envoie des gigaoctets de données à d’autres pays, c’est un problème ». La leçon réelle est que vous devriez être en mesure de signaler tout appareil qui ne suit pas son activité « normale ».

Par le passé, ce problème était généralement résolu par une personne de l’organisation qui élaborait une politique stipulant que tous les appareils qui se connecteront au réseau devront passer un processus de contrôle rigoureux. Si vous en avez déjà fait partie, vous savez également que cela fonctionne jusqu’à ce qu’une personne avec les bonnes lettres après son nom remplace cette politique pour « ses » appareils, puis elle tombe rapidement en panne.

La solution pour des instances comme celle-ci, et elle ne disparaît pas, est de construire et de planifier ces appareils IoT du côté réseau de la maison. Le gouvernement fédéral des États-Unis a récemment annoncé un nouveau programme visant à sécuriser les appareils IoT, mais il va falloir du temps pour que tout le monde soit au courant, et la certification est volontaire, de sorte que les entreprises devront concevoir des réseaux basés sur l’acquisition d’appareils sécurisés certifiés. Ne pas autoriser ces appareils sur le réseau, comme le savent la plupart des ingénieurs réseau, n’est pas non plus une option.

Bien que la tâche puisse être décourageante, RUCKUS Networks dispose de quelques moyens pour aider les architectes et les administrateurs réseau à gérer ces appareils qui n’étaient pas vraiment conçus pour être utilisés dans une situation d’entreprise.

Appareils IoT Wi-Fi

Les appareils IdO Wi-Fi sont les appareils IdO les plus faciles et les plus simples à gérer lors de l’utilisation d’un réseau RUCKUS. Chaque plate-forme de contrôleur RUCKUS dispose d’une solution appelée Dynamic Pre-Shared Key, ou DPSK, une innovation RUCKUS il y a plus d’une décennie qui continue de se développer. DPSK permet la gestion des appareils comme vous le voyez avec les solutions Dot1X, mais en utilisant WPA2-Personal. Chaque périphérique se voit attribuer sa propre phrase secrète pour un SSID unique, et il utilise cette phrase secrète pour rejoindre le réseau. Dans le cadre de cette configuration, chaque périphérique peut être affecté à un VLAN spécifique.

Soyons honnêtes, personne ne veut jamais d’élément de chauffage de réservoir de poisson sur un VLAN qui a accès aux bases de données de l’entreprise. Cela me semble mal juste de le taperJe vous présente également mes excuses si la phrase secrète 8ndnsis %JGMDskmlmwpo %^ !@ vous appartient, vous pouvez la modifier maintenant. Une fois que le dispositif IoT est placé sur un VLAN spécifique, soit seul, soit dans une partie d’un VLAN IoT plus grand, les configurations réseau peuvent désormais être utilisées pour isoler ce VLAN à l’aide de différentes configurations de tunnelisation, ainsi que d’un pare-feu pour gérer ce à quoi ces dispositifs sont autorisés à parler, en plus de surveiller le trafic réseau de ces dispositifs pour s’assurer qu’ils ne parlent pas à des pays aléatoires avec lesquels ils n’ont pas d’activité en communication.

Il se peut que nous ne soyons pas en mesure de modifier la façon dont le dispositif est programmé, mais nous pouvons utiliser les méthodologies existantes pour contenir et surveiller le dispositif.

L’autre chose à propos de DPSK est que si une personne malfaisante qui traîne autour de la cuve à poisson décide de voler l’élément chauffant pour accéder à votre réseau, vous pouvez simplement supprimer le DPSK du contrôleur de réseau et l’appareil perd tout accès au réseau et que la phrase secrète est désormais inutile.

Si vous utilisez Cloudpath, vous pouvez simplement révoquer le DPSK à l’aide de la fonctionnalité de gestion intégrée.

DPSK fonctionne sur tout appareil pouvant prendre en charge WPA2-Personal, ce qui le rend universellement pris en charge dans le Wi-Fi. Enfin, il a fallu près d’une décennie pour ajouter des radios 5 GHz à leurs appareils, de sorte que la prise en charge de WPA3 n’est même pas encore sur leur feuille de route.

« Autres » appareils IoT

DPSK est formidable, car presque tous les appareils Wi-Fi le prennent en charge, mais les appareils non Wi-Fi comme ZigBee, BLE et d’autres appareils 802.15.4 ne le font pas ; c’est d’où vient la peur des appareils IoT. Contrairement aux appareils Wi-Fi qui, une fois qu’ils sont sur le réseau comme tous nos autres appareils, peuvent être suivis et gérés, la plupart des appareils IoT fonctionnent en dehors de la norme 802,11, de sorte qu’ils ne peuvent pas être gérés et suivis de la même manière. C’est là que la suite IoT RUCKUS, plus particulièrement le contrôleur IoT RUCKUS (RIoT) entre en jeu.

RUCKUS Les points d’accès Wi-Fi 5, 6 et 6E sont tous prêts à répondre aux besoins de votre réseau IoT. Les points d’accès Wi-Fi 5 auront besoin d’une radio USB branchée sur le port USB du point d’accès, tandis que les points d’accès Wi-Fi 6 et 6E (à l’exception du R350) sont tous équipés de radios IoT. Cette capacité intégrée signifie que de nombreuses personnes ont déjà une prise en charge de l’IdO dans leur réseau, même si elles ne le réalisent pas.

Le contrôleur RIoT est pour les appareils IoT ce que les contrôleurs WLAN sont pour le Wi-Fi, un endroit où gérer et contrôler les appareils IoT qui apparaissent sur votre réseau. Une fois que vos points d’accès IoT sont synchronisés avec le RIoT, les administrateurs réseau ont désormais le contrôle et la visibilité de leurs appareils IoT que la plupart n’ont jamais vus auparavant. Les radios IoT peuvent être contrôlées de la même manière que les administrateurs WLAN sont habitués à gérer leurs radios Wi-Fi. Les appareils IdO disposent d’un processus en plusieurs étapes pour rejoindre le réseau et peuvent être placés dans leur propre VLAN IdO, encore une fois comme avec les appareils Wi-Fi.

Une fois prête, chaque radio peut être mise en mode de balayage et, au fur et à mesure que les périphériques sont découverts, ils peuvent être approuvés pour rejoindre le réseau ou être mis sur liste noire, selon ce qui est approprié pour ce périphérique.

Si ce processus manuel semble accablant, il est possible de télécharger un fichier CSV contenant vos appareils IoT prévus pour les placer dans une liste pré-approuvée. Une fois découverts, ils sont automatiquement ajoutés à l’automate. Au cours de ce processus, les balises et le point d’accès IoT prévu peuvent également être définis.

Ce qu’il faut garder à l’esprit, c’est que la sécurité et la facilité d’intégration ne s’alignent jamais vraiment. Lorsque la sécurité est une priorité, l’intégration et la gestion auront toujours un certain coût de temps associé. Notre objectif ici n’est pas de supprimer le travail de la plaque des administrateurs réseau, mais simplement de les aider à le gérer.

Comme pour les appareils Wi-Fi IoT et DPSK, si un appareil est hors ligne, cet appareil apparaîtra dans le tableau de bord RIoT comme hors ligne et pourra ensuite être examiné et supprimé/mis sur liste noire du réseau si nécessaire.

RUCKUS Tableau de bord du contrôleur IoT

Tout professionnel de la sécurité vous dira que la première étape pour sécuriser votre réseau consiste à comprendre ce qui est connecté à votre réseau, puis à avoir le contrôle sur ces appareils. Le contrôleur IoT RUCKUS offre le contrôle et la visibilité dont les professionnels de la sécurité ont besoin et dont ils ont besoin. Du contrôle de l’appareil à sa suppression du réseau, en passant par la gestion des VLAN et la mise à niveau du code, le RIoT peut être la plateforme opérationnelle qui coche toutes les cases de l’équipe de sécurité.

Bien que RUCKUS Networks ne puisse pas contrôler le marché en matière de sécurité intégrée aux appareils IoT ou aux fabricants de ces appareils, nous pouvons au moins aider les opérateurs réseau à gérer, contrôler et sécuriser ces appareils une fois qu’ils sont introduits dans leur environnement d’exploitation.

Les ressources suivantes peuvent vous aider à en savoir plus sur les solutions RUCKUS Networks :

• AP avec radios IoT intégrées
• AP compatibles IoT pouvant utiliser une radio IoT externe branchée sur le port USB
• RUCKUS Plateformes de contrôleur comme SmartZone ou RUCKUS One.
• RUCKUS Contrôleur IoT

Pour en savoir plus sur la solution IoT de RUCKUS Networks, vous pouvez visiter la page du produit ou nous contacter pour que quelqu’un aide votre organisation à réaliser tout le potentiel de ce que l’IoT peut faire pour vous.