Повышение безопасности IoT c DNS CQF.
Повышение безопасности IoT c DNS CQF.
Устройства IoT появляются каждую секунду, и многие из них находятся в сети организации, но не всегда под контролем I&O (Infrastructure & Operations) команд. Эти устройства должны быть идентифицированы, инвентаризированы, проверены, управляемы и защищены, чтобы не создавать никаких проблем для остальной части ИТ-экосистемы, пользователей или самой организации. Для этого требуются инструменты и процессы, в которых DDI (DNS-DHCP-IPAM), безусловно, играет важную роль, в частности функция фильтрации запросов DNS-клиентов EfficientIP (CQF).
Мы все используем подключенные устройства (обычно называемые IoT) дома или на работе. Для некоторых наши часы или наш автомобиль — это устройство IoT, и нет никакого способа противостоять этой тенденции. Но, как это часто бывает, эта глобальная инновация имеет свои недостатки, включая безопасность, сбор данных и раскрытие личной информации. Всякий раз, когда IP-устройство подключено к сети, дома или в офисе, в магазине или на заводе, происходит обмен данными. Мы должны знать о том, какие данные раскрываются, как ими могут манипулировать и как они хранятся. Для ИТ-специалистов, таких как мы, все это потенциально является причиной для беспокойства.
Устройства интернета вещей могут использоваться в качестве векторов атаки.
Безопасность является важной темой при работе с IoT. Большую часть времени устройство выбирается с уникальными критериями выбора: его функциональный ответ на проблему или запрос. Цена может не быть реальной проблемой, так как стоимость за единицу может показаться низкой в отношении предлагаемой услуги. В настоящее время индустрия предлагает простые платформы для разработки IoT и берет на себя все аспекты “компьютера и связи” – остальные электронные и механические части осваиваются различными производителями. Но экономическая эффективность этих платформ связана не только со стоимостью микроконтроллеров, но и в основном связана с низким качеством встроенного программного обеспечения, отсутствием постоянного совершенствования, тестирования и обслуживания. Это основная причина, по которой устройство IoT может представлять реальную угрозу для сети, поскольку оно упрощает его использование в качестве вектора атаки или использует в своих интересах хорошо известные недостатки в интегрированном программном обеспечении.
В качестве консервативной меры любое устройство IoT, использующее IP в качестве канала связи, должно быть изолировано от остальной сети организации (что немного сложнее сделать дома). Применение подхода Zero Trust Security очевидно для IoT, но не всегда легко реализовать. Эти устройства, как правило, не регистрируются в сети, не проходят проверку подлинности и не получают авторизацию от компонента организации. Их стандартный сетевой процесс заключается в получении доступа к сети через Ethernet или Wi-Fi – это также может быть через систему шлюза, такую как концентратор LoRa, – затем они получают IP-адрес через стандартный DHCP, разрешают несколько доменных имен, чтобы получить доступ к их службе управления, и они работают. Как пользователь, вы видите, что они автоматически подключаются к сервисной платформе и предоставляют данные с датчиков или предлагают действия для выполнения.
Безопасность через NAC может быть сложной и дорогостоящей.
На сетевом уровне мы можем обеспечить безопасность с помощью системы NAC (Контроль доступа к сети), если она хорошо применяется с минимальным исключением, это, вероятно, лучший подход, и он может начинаться со стандартного решения 802.1 X с полностью открытым исходным кодом, встроенной платформой. Но этот подход сложен и доступен только крупным корпорациям или компаниям, знающим о безопасности. Поскольку большинство устройств IoT не могут аутентифицировать себя, что может вызвать проблемы с развертыванием и требует специальной обработки.
Однако для большинства сетей организаций безопасность не обеспечивается с помощью NAC на сетевом уровне, даже доступ к Wi-Fi по-прежнему зависит от стандартной проверки подлинности с предварительным общим ключом. Подключить компонент IoT к корпоративной сети очень просто, не нужно запрашивать операцию ввода-вывода или поддержку, с большой вероятностью он будет работать автоматически. Следующий уровень, который нужно пройти — это получение IP-адреса, по умолчанию IoT попробует DHCP, поскольку он стандартный, вездесущий, удобный и работает очень хорошо. Как только IP-адрес и связанная с ним конфигурация будут доступны, следующим шагом будет запуск IP-связи с центральной службой, которая может находиться внутри организации или на облачной платформе в Интернете. Для этого шага DNS является наиболее простым решением, и часто DNS-серверы, предоставляемые в конфигурации DHCP, доступны и способны выполнять рекурсию до Интернета.
Автоматизированный DDI помогает улучшить безопасность.
Как мы можем заметить, решения DDI, особенно службы, с которыми сталкиваются устройства (DHCP и DNS) играют важную роль для любых IoT устройств, подключаемых к интернету. IPAM тесно связанный с обеими службами, обеспечивает глобальную видимость для всех устройств подключенных к сети. DHCP управляет арендуемыми IP-адресами (DHCP Lease) в соответствующей сети, а DNS с помощью аналитики помогает лучше изучить запрашиваемые ресурсы. Следовательно, решение IPAM также может принимать некоторые решения и автоматизировать сеть для повышения безопасности, это то, что мы называем автоматизацией DDI.
Добавление фильтрации и белого списка через DNS CQF как ограничение IoT.
Благодаря DNS Client Query Filtering (CQF) SOLIDserver открывает новый подход к сетевой безопасности. Благодаря своей способности применять политики безопасности к различным группам устройств в сети, он может помочь в управлении IoT.
В идеале, IoT должен быть отделен от других типов устройств в сети, DNS с CQF может изолировать эти IoT устройства с помощью более строгих политик разрешения имен. В этой связи мы EfficientIP предлагает строгую фильтрацию на основе белого списка: любой запрос на разрешение DNS должен быть выполнен для явно известного домена. Это позволит гораздо проще управлять IoT устройством, чем при помощи черных списков, которые зачастую не являются точными или актуальными. Этот способ аналогичен десятилетиями использующемуся методу по фильтрации IP-Адресов в системах межсетевого экранирования.

Объединив все компоненты DDI в единый процесс автоматизации, мы сможем обеспечить первый уровень безопасности IoT. Служба DHCP проверяет устройства при выделении аренды (lease) IP-адреса и информирует IPAM посредством стандартной синхронизации. DDI может помочь выполнить определенную автоматизацию для добавления IP-адреса устройства IoT в определенную зону DNS, используемую в качестве списка клиентов процесса безопасности CQF. Автоматически IoT будет авторизован только для разрешения имен.
Этот полностью автоматизированный процесс, предлагаемый решением SOLIDserver, ограничивает атаки, эксплойты программного обеспечения IoT, встроенного в несколько компонентов. Благодаря своей способности быстро реагировать и масштабироваться до миллионов управляемых записей, он способен обрабатывать большинство ситуаций IoT, даже в сетях высокой плотности, таких как умные города, коммунальные службы и заводы. И, без сомнения, это также будет полезно в гораздо меньших средах, где IoT, например для подключенных экранов, датчиков погоды или реле питания.