有線ネットワークを物理的に保護する

ルート・スイッチを専門とするネットワーク・エンジニアは、ネットワーク全体を保護する必要があるため、自分の仕事はより厳しいと言うでしょう。無線を専門とするネットワーク・エンジニアは、電波があらゆる場所を移動するため、仕事はより厳しいと言うでしょう。

正しいのは誰ですか？どちらでもない。

質問の答えは、両方の仕事が同じコインの異なる側面であるということです。

有線ネットワークは、プリンタ、デスクフォン、および有線企業ネットワークで見たくなかった無数の他の恐ろしいデバイスで構成されていますが、組織はとにかく展開したいと考えています。同じネットワーク上には、ネットワークの中心、そしておそらく組織全体の中心に住むデータセンターやサーバーもあります。これらすべてのデバイスにアクセスできるようにするだけでなく、これらの重要なサーバーとその中に含まれる情報にアクセスできるユーザーとユーザーを制限することも困難です。

これらすべて、そしてデスクトップと日常のユーザーをまだ組み合わせて紹介していません。

そして忘れないように、ワイヤレスネットワークを保護するのもケーキウォークのようなものではありませんが、私たちはその側面にすべて良い時間で到達します。

今のところは、有線ネットワークができる限りクリーンアップされるように、いくつかの基本的なステップとベストプラクティスに焦点を当てます。NAC（ネットワークアクセスコントロール）や、このようなクールな機能を導入する高度なステップでは、少なくとも、私たちが何を確保しようとしているのかをよく理解しています。

物理的な場所は音ほど簡単ではない

リストの最初の項目は、スイッチの物理的な位置、さらにはスイッチに接続する壁ジャックの位置です。

基本的には聞こえますが、大規模な組織にとって、すべてのスイッチがどこで稼働しているかを正確に把握できないことは珍しいことではありません。はい、実際に起こります。すべてのネットワークデバイスがどこにあるのか、あるいは何台あるのかが分からない場合、それらのデバイスへの物理的なアクセスが制御されることは本当に困難です。RUCKUS Cloud NuncやSmartZone Nuncコントローラなどのツールを使用してネットワークを管理し、インベントリを自動的に生成できます。スプレッドシートなどの他のツールを使用して、ネットワーク上のアクティブなネットワークデバイスのインベントリを維持するのは良い方法ではありませんが、少なくともネットワーク上でアクティブなものの戦いの出発点となります。どちらを選択しても、場所ごとの正確な資産リストは、安全なネットワークにとって必須のものです。

場所がわかったら、これらのデバイスが物理的に安全であることを確認してください。そして、いいえ、バスルームの「施設」の上のバスルームにそれらを吊るすのは安全ではありません。

物理的には、スイッチには、ハッカーがデバイスへの物理的アクセスを得るまでは弱点のようには見えない弱点がいくつかあります。スイッチ上の各接続が提供できるさまざまな用途について考え始めるまでは、これらの事項の一部は役に立たないように見えるかもしれません。私たちが通常考えているすべてのポートに加えて、今日は一般的なデバイスやトラフィックフローでは使用されないポートに焦点を当てたいと思います。

下の写真は典型的なスイッチです。

画像1 RUCKUS ICX 7150-24Fスイッチ

OK、これはシングルフォームファクタプラガブル（SFP）スイッチだと理解していますが、私が話したいことを強調する素晴らしい写真です。

これらのデバイスをサポートする必要があるネットワーク・エンジニアにとって、これらのポートの大部分はスイッチの作業部と同じです。これらを別のポストで取り上げます。今のところ、このスイッチの日常動作で使用されていないポートに焦点を当てたいと思います。しかし、何かを修復するためにクローゼットに入ったばかりのネットワークエンジニアとして彼らを考えるのではなく（デスクからスイッチを誤って設定した後、アップリンクポートに管理VLANを追加するなど）、このデバイスにアクセスした後に何か悪いことをしようとしている人の視点からこのスイッチについて考えてみてください。

例えば、これらのコンソールポートはどうでしょうか？ここには RJ45 と USB-C コンソール・ポートの 2 つがあります。RJ45 には、特別なコンソール・ケーブル（攻撃者が塩分を費やす価値があるもの）が必要です。これらは、攻撃者によるアクセスを制限する2つのアクセスポートです。

ここにも標準USB-Aポートがあります。攻撃者が自分のフラッシュドライブをこれに差し込んでから、電源ケーブルを引くだけでスイッチを再起動できることに、どの程度抵抗を感じますか？少しだけかもしれませんが、通話中にぐっすり眠るには十分ではありません。（正解は“非常に不快に感じる！”としてください。）

次に、RJ45管理ポートがあります。はい、これはコンソールポートと同様に論理的にロックダウンする必要がありますが、すべてのスイッチで構成されているのは確かですか？

最後に、工場出荷時のリセットボタンがあります。あまり役に立たないが（少なくとも私には役に立たないが、想像力に狂った間違った人にとっては役に立たない）、工場でスイッチをリセットすることは、組織にとってあらゆる種類の問題を引き起こす可能性がある。スイッチがオフラインであるか、リセットのためにトラフィックを転送できない場合、セキュリティカメラ、VoIP電話、Wi-Fi®、および他の物理セキュリティデバイスがそのデバイス上で実行されています。

したがって、要約すると、スイッチを使用してキャビネットへの物理的アクセスを制限し、スイッチオペレーティングシステム内のコンソールポートをロックダウンする必要があります。これは、お互いをバックアップするための物理的および論理的なセキュリティ対策の例です。多層防御。この防御の構成部分については、後述します。

ジャックも安心

スイッチ上のアクセスポートは、スイッチ自体にあるか、スイッチにケーブルで接続されている壁面ジャックにあるかにかかわらず、常にセキュリティにとって最大の課題となります。標準スイッチは単一のデバイスでも、同じ部屋の複数のスイッチでもかまいませんが、それでもセキュリティを確保するためのかなり集中的なスペースです。しかし、1つの部屋に2つの48ポートスイッチがあるとは、96つの接続された壁ジャックを意味し、それらがすべて同じ部屋にいるとは限らないでしょう。

つまり、ネットワークへの入り口と追跡の96つのポイントがあり、多くの場所がどんな組織にとっても困難なものになる可能性があります。

追加のハードウェアを必要としない簡単な方法は、スイッチから未使用の壁面ジャックを取り外すことです。ケーブルへのスイッチの物理的な拡張がなければ、攻撃者が接続できるものはありません。また、ケーブルが引かれていない場合は、ケーブルをスイッチに接続して再度電源を入れます。

このアプローチの欠点は、壁面ジャックが不要になったときにジャンパーを切り離し、再び必要になったときに、戻って正しい壁面ジャックがスイッチの正しいポートに接続されていることを確認する時間です。組織のリスク許容度によっては、これは選択肢となる場合とそうでない場合があります。

これらの未使用のポートを固定するもう1つの方法は、壁ジャックまたはスイッチポート自体にロックキャップを追加するだけです。

イメージ 2 コムスコープ RJ45 ポート・ブロッカー

愚かな方法や 100% の安全な方法ではありませんが、コムスコープのプラスチック製 RJ45 ポートブロッカーのようなシンプルで基本的な方法だけで、攻撃者を撃退し、ネットワークを保護します。

このアプローチの欠点は、ネットワーク内のすべてのスイッチがどこにあるかを見つけるのが難しいと思った場合、ウォールジャックを見つけるのがはるかに難しいことです。

最終思考

他にも多くの種類の物理的アクセス制御を導入できますが、これはあなたがしなければならないことの包括的なリストではありません。代わりに、これは物理的セキュリティの重要性について考えさせ、あなたとあなたの組織に適した計画を策定するためのものです。有線ネットワークとポートへの物理的アクセスの保護について、より深い評価と思考プロセスが得られれば、ネットワークのセキュリティに影響を与える可能性のあるものを一段と磨くことができます。

次の分割では、有線ネットワークを安全に保つために利用できる論理構成のヒントをいくつかご紹介します。

-----

[1] 私が書いたものは、本当の話ではなく、何度か起こったものです。