Защитите свою сеть от физических уязвимостей

Николай Ефимов
Технический менеджер компании Siemon на территории России и стран СНГ
Защитите свою сеть от физических уязвимостей

Когда специалисты обсуждают защиту сетей, чаще всего речь заходит о межсетевых экранах, антивирусных системах, шифровании и других мерах кибербезопасности. В современном мире меры по предотвращению цифровых атак, безусловно, важны, однако в центрах обработки данных и других сетях не менее важно обеспечивать физическую безопасность сети.

Если к сети есть физический доступ, кто‐нибудь может случайно или намеренно отключить критически важные соединения сетевых устройств или оборудования. Используя доступ к незащищенным пространствам и подключениям, злоумышленники смогут запустить вирус в систему, установить программы‐вымогатели и другое вредоносное ПО, провести кибератаку. Между тем, существует несколько основных способов физически защитить сеть.

Защита помещений и пространств с установленным сетевым оборудованием

Сетевые коммутаторы, серверы и другое сетевое оборудование в центрах обработки данных и в телекоммуникационных помещениях обычных систем должны быть защищены от несанкционированного доступа; двери в такие зоны должны оборудоваться запирающими устройствами. В принципе, можно использовать обычные замки, но если у каждого будет ключ, эффективность такой защиты невысока. Гораздо эффективнее работают системы контроля и управления доступом (СКУД) в сочетании с видеонаблюдением – это действенная физическая защита сетевых помещений и пространств. Наилучшую защиту обеспечивают системы видеонаблюдения, использующие алгоритмы распознавания лиц и голоса, встроенные датчики движения, обеспечивающие обзор на 360° и видимость на больших расстояниях. Существуют даже системы с анализом поведения движущихся объектов. Системы IP‐видеонаблюдения можно интегрировать с системами контроля и управления доступом, ограничивая перемещения посторонних лиц, а для авторизованного персонала используя Proximity‐карты, доступ по PIN‐коду или биометрическую идентификацию.

Система безопасности V‐Lock для шкафов

В больших центрах обработки данных доступ к определенному оборудованию или подключениям должны иметь только конкретные группы специалистов. В этом случае целесообразно обеспечивать физическую безопасность на уровне отдельных шкафов. Такой подход особенно эффективен в ЦОД, оказывающих услуги колокации, где клиенты должны иметь доступ только к принадлежащему им оборудованию и определенным шкафам. Управление доступом на уровне шкафов в ЦОД с услугами колокации заодно позволяет избавиться от установки защитных решеток вокруг шкафов. 

Продвинутые системы физической безопасности обеспечивают доступ к отдельному шкафу или их группе. Например, Система безопасности V‐Lock для шкафов, предлагаемая компанией Siemon, может обслуживать как отдельно стоящий шкаф, так и группу шкафов (в одном или в соседствующих рядах) по топологии «шина». В дверцы устанавливаются различные типы ручек, управляющих доступом по картам, биометрическим данным, PIN‐коду или по сочетанию этих методов идентификации.

Защита критически важных сетевых портов

Физическая защита помещений с сетевым оборудованием может обеспечить определенный уровень безопасности и предотвратить доступ неавторизованных лиц, однако иногда требуется защитить также отдельные сетевые порты – предотвратить случайное или намеренное отключение конкретного оборудования или несанкционированное подключение устройств.

Самые продвинутые решения в этой области – системы автоматизированного управления инфраструктурой (AIM, Automated Infrastructure Management) и системы управления инфраструктурой ЦОД (DCIM, Data Center Infrastructure Management). Их основная задача – эффективно управлять сетью, обеспечивать ее работоспособность и высокую производительность, но при этом они отслеживают и физические подключения. Так, система MapIT G2 AIM компании Siemon использует смарт‐панели и патч‐шнуры с дополнительным контактом, в реальном времени отслеживая медные и волоконно‐оптические подключения на физическом уровне и информируя специалистов о любом несанкционированном отключении или подключении к тем или иным портам.

Шнуры Siemon LockIT™ с замкамиДля безопасности отдельных сетевых портов существуют и экономичные решения: заглушки для защиты свободных портов, а также шнуры Siemon LockIT™ с замками, которые не препятствуют подключению, но требуют ключа LockIT Cord Key для отключения. Конструкции изделий просты и надежны, а их применение удобно и интуитивно понятно. Заглушки выпускаются как для портов RJ45, так и для проходных адаптеров LC. Их ярко‐желтый цвет позволяет легко идентифицировать защищенные порты. Заглушки для медных систем подходят к любому стандартному гнезду RJ45, а заглушки для волоконно‐оптических портов совместимы со всеми стандартными дуплексными проходными адаптерами LC. Для извлечения заглушек из портов применяется специальный ключ.

Защита оконечных подключений

Защита оконечных подключенийОбдумывая физическую защиту сети, важно не упускать из виду розетки и устройства на концах сегментов, ведь многие оконечные порты расположены в зонах с общественным доступом и потому потенциально уязвимы. Защита может потребоваться для камер видеонаблюдения, беспроводных точек доступа, цифровых вывесок, панелей, терминалов и киосков, банкоматов, торговых автоматов и даже светильников, запитанных по PoE.

Значение имеет не только подключение к сети и поддержание работы этих устройств – важно также понимать, что при их отключении соответствующие порты могут быть использованы злоумышленниками для доступа к системе и организации атаки на сетевые ресурсы.

Видеодисплеи, камеры видеонаблюдения, PoE‐светильники и беспроводные точки доступа, которые не планируется перемещать после установки, не обязательно подключать с использованием патч‐шнура и розетки. В некоторых случаях более удобна конфигурация MPTL (Modular Plug Terminated Link), предусматривающая оконцевание фиксированного сегмента не модулем с гнездом, а модульной вилкой. Розетка в этом случае вообще не устанавливается, а сегмент, оконцованный вилкой, подключается к оборудованию напрямую. Такая конфигурация признана стандартами для фиксированно расположенного оборудования здания. Ее применение позволяет избежать установки розетки и использования патч‐шнура, доступных взгляду, и тем самым снижает риск несанкционированного отключения. Опыт показывает, что в открытых зонах, особенно в школах и на других объектах с общественным доступом, сам факт открытой установки розеток и шнуров привлекает к ним нежелательное внимание и этим повышает риск отключения. Вилки Siemon Z‐PLUG™ для полевой заделки прекрасно подходят для оконцевания сегментов MPTL и подключения оконечного оборудования напрямую. В вилки Z‐PLUG легко заделывается в полевых условиях любой кабель витая пара калибром от 22 до 26 AWG. Компактную вилку со скругленными гранями можно использовать как с хвостовиком и защитой защелки, так и без них, что может потребоваться для узких пространств и подключения компактного оконечного оборудования.

При подключении оконечных устройств традиционным способом, с использованием розетки и патч‐шнура, можно применять решения Siemon LockIT. Заглушки LockIT RJ45 и LockIT LC предотвратят несанкционированное подключение к свободным медным и оптическим портам в общественных зонах, а шнуры LockIT не позволят отключить такие оконечные устройства, как камеры видеонаблюдения, терминалы и киоски самообслуживания, цифровые вывески и панели, а также устройства медицинского назначения, расположенные в зонах с публичным доступом – в учебных заведениях, торговых центрах, учреждениях здравоохранения, на транспортно‐пересадочных узлах и других объектах.


Николай Ефимов
Технический менеджер компании Siemon на территории России и стран СНГ