Gerenciamento de área de superfície de dispositivos embarcados por meio de firewalls baseados em rede e host

Os firewalls há muito atuam como uma primeira linha de defesa para proteger dispositivos e componentes de computação conectados à rede contra ataques remotos baseados na rede - bem como uma porta da frente dissuade os invasores de entrarem em sua casa. Esses firewalls e roteadores baseados em rede geralmente eram instalados nos pontos de estrangulamento e agiam como gateways de proteção entre a Internet e os computadores confiáveis ​​conectados atrás deles. No entanto, a proliferação de dispositivos embarcados, redes de borda e aplicativos em nuvem embaraçaram essas linhas de demarcação. Arquiteturas e topologias de rede complexas tornaram mais difícil confiar apenas nesses firewalls de rede tradicionais para proteger seus dispositivos e aplicativos. Neste blog, veremos como entender as portas e protocolos de rede nos quais seus dispositivos confiam e desativar as que não precisam. 

 

Gerenciando a área de superfície da rede

 

O gerenciamento da área de superfície da rede é uma prática recomendada de segurança importante, pois reduz a oportunidade de um invasor de explorar uma vulnerabilidade de software no seu dispositivo. Por exemplo, uma webcam. Este dispositivo é uma mistura de hardware e software e se conecta à sua rede para compartilhar remotamente vídeos. O hardware inclui a eletrônica de captura de lente e imagem, que depende do software para converter as imagens em um fluxo de vídeo. Todos os dispositivos como esses possuem firmware ou um sistema operacional que gerencia esses processos. A webcam também pode incluir recursos adicionais para enviar a imagem a um gravador de vídeo em rede ou permitir que os usuários efetuem login no próprio dispositivo para ver o que vê em tempo real. Além disso, o firmware da webcam pode permitir acesso remoto para instalar novos recursos e implantar atualizações.

 

Noções básicas sobre portas e protocolos de rede

 

Um primeiro passo importante para gerenciar efetivamente a área de serviço de seus dispositivos é entender em quais portas o dispositivo escuta e em quais protocolos de rede ele suporta. Comece pesquisando o próprio dispositivo e procure as configurações de rede suportadas no manual ou no site de suporte técnico. Você pode expandir sua pesquisa determinando qual firmware ou sistema operacional o dispositivo usa. Por exemplo, alguns dispositivos incorporados usam o software BusyBox que fornece ferramentas comuns do UNIX. Expandir sua pesquisa no sistema operacional específico do dispositivo também pode fornecer dicas adicionais sobre como desativar serviços indesejados. Considere usar uma ferramenta de digitalização em rede, como o Network Mapper (NMAP), para investigar remotamente o seu dispositivo para descobrir (ou validar) quais portas a ferramenta acredita estar aberta. Você pode pesquisar na Internet as portas que você não conhece e associá-las ao serviço de host. Por exemplo, uma pesquisa rápida na Internet da porta TCP 22 mostra que essa porta está associada ao protocolo de shell seguro usado para administração remota. Essas técnicas de reconhecimento ajudarão a definir em quais serviços de rede o seu dispositivo depende e quais desses serviços de rede estão ativados e "escutando" as conexões remotas na rede. 

 

A Tabela 1 mostra uma representação simplificada das portas e protocolos de rede descobertos em um dispositivo incorporado.

 

Tabela 1: Exemplo de portas abertas e protocolos usados ​​por uma webcam.

Protocolo

Porta

Descrição

SSH

22 / TCP

Administração remota

Telnet

23 / TCP

Administração remota

HTTP

80 / TCP

Portal da Web para visualizar a câmera

HTTPS 

443 / TCP

Portal da Web criptografado para visualizar a câmera

RTSP

554 / TCP

Transmissão

UPNP

5000 / TCP

Configuração automatizada

 

As portas abertas na Tabela 1 - TCP 22, 23, 80, 443, 554 e 5000 - definem a área de superfície de um dispositivo de exemplo que um invasor pode investigar com êxito. Os aplicativos e serviços em execução no dispositivo escutam nessas portas solicitações de comunicação de entrada. Por exemplo, uma pessoa que usa um navegador da web para fazer login no servidor da web embutido da câmera e acessar seus recursos. Os invasores geralmente procuram a maneira mais fácil de explorar com êxito um dispositivo e começam a varrer milhares de endereços IP, procurando uma resposta de um dispositivo vulnerável que possam explorar. Eles fazem isso enviando um pacote especialmente criado para uma porta aberta em um dispositivo. Se o dispositivo responder de uma certa maneira, o invasor saberá que o dispositivo é vulnerável. Um invasor pode usar um scanner de rede para verificar todas ou as portas e protocolos mais populares de um dispositivo ou um invasor pode focar em apenas uma porta específica, mas atingir milhares de dispositivos na Internet. O objetivo é o mesmo: investigar portas abertas na esperança de encontrar um serviço de escuta que eles já possam ter uma exploração pronta para usar. Alguns malwares são criados para propagar dessa maneira. Depois que o malware infectou um dispositivo, ele verifica na rede outros sistemas vulneráveis ​​antes de atacar o serviço subjacente. O malware WannaCry é um exemplo recente desse tipo de ataque. Um sistema infectado com o WannaCry examina seus vizinhos examinando a porta 445, procurando por um serviço vulnerável de transferência de arquivos SMB (Server Message Block) a ser explorado.

 

Protegendo a área de superfície da rede contra ataques

 

Você pode reduzir o risco de um ataque bem-sucedido usando as seguintes técnicas para reduzir a área de superfície da rede exposta pelo dispositivo.

 

Primeiro, desative todos os serviços desnecessários. Por exemplo, você pode conseguir fazer logon no dispositivo e desativar o serviço Telnet, o que reduz correspondentemente a área da superfície, porque o dispositivo não escuta mais na porta TCP 23 (a porta geralmente associada ao Telnet). Existem outros benefícios para desativar serviços indesejados também. Por exemplo, desabilitar protocolos menos seguros como Telnet e HTTP em favor do shell seguro (SSH) e HTTPS reduz o risco de invasores interceptaram comunicações não criptografadas.

 

Em seguida, considere ativar um firewall baseado em host. Todos os sistemas operacionais modernos e completos incluem algum tipo de firewall interno, baseado em host. A Microsoft, Apple e a maioria das distribuições Linux habilitam esses firewalls por padrão e tornam sua configuração direta. No entanto, se você precisar de mais instruções ou desejar ajustar ou definir configurações avançadas, existem muitos guias da Internet que podem ajudar. Até os dispositivos embarcados agora incluem firewalls internos baseados em host, dependendo do sistema operacional subjacente usado pelo dispositivo. Como exemplo, o Busybox fornece ferramentas populares do UNIX para dispositivos incorporados e inclui opções para instalar e ativar o firewall de tabelas de ip do Linux.

 

Por fim, use seu diagrama de fluxo de dados para identificar locais candidatos a upstream de seus dispositivos para implantar ou ativar firewalls baseados em rede ou em nuvem. Os provedores de nuvem incluem serviços de segurança abstratos que fornecem funcionalidade de firewall. Procure termos como firewall de aplicativo Web ou grupos de segurança de rede para iniciar. Fazer essas alterações de configuração fora do seu dispositivo específico requer acesso administrativo ao equipamento de rede ou uma assinatura na nuvem. Deve-se tomar cuidado para garantir que quaisquer alterações não afetem inadvertidamente outros serviços ou dispositivos. Use esses serviços e recursos para filtrar e eliminar o tráfego indesejado antes mesmo de chegar ao seu dispositivo. 

 

Conclusão

 

Uma boa defesa contra ataques aos dispositivos conectados à rede é uma estratégia detalhada que inclui cada uma destas técnicas:

  • Desativando serviços indesejados
  • Habilitando um firewall baseado em host para cada dispositivo
  • Filtrando tráfego de rede indesejado na nuvem ou no gateway de rede

 

Essas técnicas combinam bem com outras práticas recomendadas de segurança, como garantir que os aplicativos, firmware e sistemas operacionais subjacentes tenham as atualizações de segurança mais recentes aplicadas e que os usuários não tenham acesso privilegiado excessivamente provisionado. Consulte minhas outras entradas do blog de segurança, incluindo Identificar comportamento anormal de dispositivo por meio de log e alerta para saber mais sobre algumas dessas outras técnicas.

 

Artigo escrito originalmente por Jeff Fellinge para Mouser Electronics: Surface Area Management of Embedded Devices through Host and Network Based Firewalls. Traduzido por Equipe Embarcados.

NEWSLETTER

Receba os melhores conteúdos sobre sistemas eletrônicos embarcados, dicas, tutoriais e promoções.

Obrigado! Sua inscrição foi um sucesso.

Ops, algo deu errado. Por favor tente novamente.

Licença Creative Commons Esta obra está licenciada com uma Licença Creative Commons Atribuição-CompartilhaIgual 4.0 Internacional.

Mouser Electronics
Mouser Electronics é um dos líderes mundiais em distribuição de semicondutores e componentes eletrônicos e distribuidor autorizado de mais de 500 fornecedores líderes da indústria. Nosso foco é a excelência em serviço ao cliente, oferendo rápida entrega e embarque imediato com a precisão no processo, desde a colocação dos pedidos até a sua entrega. Mouser oferece uma ampla seleção de produtos em estoque para rápido envio a mais de 170 países.

Deixe um comentário

avatar
 
  Notificações  
Notificar