Resumen
A medida que aumentan las implementaciones de IoT, los routers celulares (3G/4G) se han convertido en la columna vertebral de la conectividad industrial, conectando PLC, cámaras, controladores y máquinas a la nube. Sin embargo, estos dispositivos suelen ser el eslabón más débil en materia de seguridad. Las tarjetas SIM con IP pública, los puertos mal gestionados y los enlaces sin cifrar crean oportunidades para ciberataques, robo de datos e incluso costes de conectividad descontrolados.
Este informe técnico proporciona una hoja de ruta clara y práctica para proteger los routers celulares en entornos de IoT. Explora las mejores prácticas en materia de tarjetas SIM, las medidas de seguridad físicas, las arquitecturas VPN y las funciones de seguridad integradas propias de Robustel. Con información real, muestra cómo las organizaciones pueden proteger sus activos, reducir el riesgo e implementar el IoT a gran escala con confianza.
¿Qué incluye este artículo?
Por qué las tarjetas SIM con IP pública son una amenaza importante y cómo mitigarlas con direccionamiento IP privado y APN seguros.
Cómo trabajar con proveedores de SIM en pruebas de penetración, bloqueos TAC y garantías de red.
Medidas prácticas para reforzar físicamente los routers, desde desactivar los puertos Ethernet que no se utilizan hasta proteger las interfaces de configuración USB.
Cómo mejorar la seguridad inalámbrica, desde ocultar el SSID hasta WPA-Enterprise y listas de control de acceso MAC.
El papel de las VPN (de extremo a extremo, de router a nube, gestionadas por proveedores de SIM) en la protección del tráfico de datos del IoT.
Cómo Robustel integra la seguridad desde el diseño en su plataforma RCMS y sus routers, desde archivos de diagnóstico cifrados hasta la gestión multifuncional y los protocolos cifrados TLS.
Introducción
«Seguridad del IoT» es un término muy amplio. Tan amplio que podría decirse que carece de significado por sí mismo. Para empezar, debemos definir el alcance y el propósito de este artículo para situarlo claramente en la jerarquía del IoT.
Este artículo presenta algunos de los conceptos de seguridad relacionados con la implementación de routers y gateways celulares (3G/4G), como los que comercializan Robustel y otros fabricantes de todo el mundo.
La arquitectura de estas implementaciones suele incluir un router, una tarjeta SIM y un dispositivo conectado, como un PLC, una cámara IP, un controlador BMS, un reproductor multimedia u otro dispositivo similar en el borde, que utiliza redes móviles públicas para transferir datos desde el borde a la nube.
Los datos y la propia infraestructura pueden ser vulnerables a comportamientos maliciosos, y este artículo ofrece una visión práctica de las soluciones generales y específicas de Robustel para estos retos de seguridad del IoT.
Seguridad SIM
Irónicamente, el aspecto más crítico en materia de seguridad en la implementación de un router es la tarjeta SIM.
La tarjeta SIM es directamente responsable del esquema de direccionamiento IP asociado con la interfaz WAN del router.
Uno de los ejemplos más claros de este concepto es cuando los instaladores utilizan tarjetas SIM con direcciones IP públicas (todavía disponibles en algunos operadores de redes móviles (MNO) y operadores de redes móviles virtuales (MVNO) de todo el mundo). Con una dirección IP pública en la tarjeta SIM, cualquier persona con acceso a Internet puede ver la «puerta principal» de su router. Con el reenvío de puertos habilitado en el router, no solo se puede acceder directamente al propio router, sino que los dispositivos conectados al lado LAN del router también quedan a la vista de todos.
Los arquitectos de redes más expertos pueden argumentar que, con el acceso remoto desactivado (HTTP/HTTPS/SSH bloqueados en el router y los dispositivos conectados) y un número de puerto menos conocido utilizado para el reenvío de puertos, el riesgo de seguridad se mitiga y, en cierta medida, esto es cierto.
Sin embargo, los intentos de fuerza bruta hacia la IP pública del router tienen que atravesar la red 3G/4G para que sean rechazados por el cortafuegos de la interfaz WAN del router. Esto significa que los datos han atravesado la red del operador en una dirección. Esto significa que todos esos datos (no solicitados) son facturables por la persona que firmó el contrato SIM. Los ataques concertados podrían costarle GB de datos al mes. Multiplique esto por una gran cantidad de routers y vuelva a multiplicarlo por una tarifa SIM cara y tendrá un desastre comercial, incluso si ha mitigado un desastre de seguridad.
Consejo n.º 1: Evite las tarjetas SIM con IP pública.
La primera parte de su proceso de seguridad es sencilla: asegúrese de que su SIM tenga una dirección IP privada, no pública.
Algunos proveedores especializados en tarjetas SIM ofrecen direcciones IP privadas estáticas o dinámicas. Siempre que el proveedor tenga todo en orden y cuente con la seguridad adecuada en su propia infraestructura, la elección entre una IP privada fija o dinámica es irrelevante, ya que ambas ofrecen un nivel de seguridad aceptable.
La figura 1.1 muestra una vista simplificada de cómo un «objeto» se comunica con la nube o, más concretamente, con un servidor de aplicaciones en Internet. Lo importante aquí es el «APN».
Un APN es un concepto bastante abstracto, que los operadores de red no suelen discutir abiertamente, pero es una ruta que tus datos de IoT seguirán cada día. Por ello, resulta irónico lo poco que se sabe sobre este «gigantesco router en el cielo» y lo fundamental que es para el éxito de su aplicación. En términos sencillos, el APN es el guardián de Internet y de otras redes accesibles a través de Internet. En última instancia, es el responsable de la asignación de su dirección IP, ya sea fija o estática.
Por lo tanto, cuando utilizas una red 3G/4G, el rendimiento y la seguridad de tus datos dependen en gran medida del operador elegido, por lo que la calidad de su seguridad se convierte en la calidad de tu seguridad.
Consejo n.º 2: Pregunte a su proveedor de SIM sobre las «pruebas de penetración» en su red y solicite garantías similares de que sus datos están bien protegidos. Pida un diagrama de su red si desea comprenderla mejor.
El cifrado inalámbrico de las redes 3G y 4G es un tema fundamental en el análisis detallado de la seguridad de las comunicaciones celulares. Sin embargo, este artículo parte de la premisa de que los estándares de cifrado actuales son adecuados para la mayoría de las aplicaciones del IoT. Si el lector tiene dudas sobre el cifrado OTA, tiene dos opciones:
Analice detenidamente las especificaciones de las distintas redes de acceso radioeléctrico (RAN) o consulte a un especialista en seguridad sobre el tema para saber qué estándares criptográficos se han descifrado y cómo podría afectarle.
Implemente el cifrado de extremo a extremo en su aplicación, lo que significa que una clave de cifrado descifrada solo revelará otra capa de tráfico cifrado. Una forma habitual de hacerlo en un router 3G/4G es utilizar uno de los servicios VPN disponibles directamente en el propio router. Las VPN se tratan más adelante, en la sección 4.
La seguridad física de la propia tarjeta SIM también puede ser un factor importante a tener en cuenta. El robo de una tarjeta SIM podría dar lugar a una violación de la red IP (poco probable), pero lo más probable es que suponga una amenaza de cargos por tráfico de datos o voz mientras la tarjeta SIM esté perdida pero no bloqueada.
Consejo n.º 3: Pregunte a su proveedor de tarjetas SIM si pueden bloquear la tarjeta SIM mediante un código «TAC» o similar, lo que significa que la tarjeta SIM no tendrá acceso a la red fuera del hardware previsto.
Seguridad física
Con la elección correcta de SIM, los ataques desde el lado WAN del router son mucho menos probables, por lo que centramos nuestra atención en la seguridad física: en términos generales, qué podría hacer alguien con acceso físico al dispositivo y cómo podemos mitigar esas amenazas.
Desactivar los puertos Ethernet y DHCP en los puertos Ethernet
El puerto Ethernet es un medio importante para sufrir ataques. Cuando no es necesario utilizarlo, se puede desactivar a través de la configuración del sistema para evitar accesos maliciosos mediante la conexión de un PC o un portátil. Si es necesario utilizar al menos un puerto Ethernet, es recomendable desactivar el DHCP en el lado LAN del router para que los dispositivos conectados no obtengan automáticamente una dirección IP en el rango adecuado para acceder a Internet. Una extensión lógica de esto podría ser elegir una subred pequeña y poco conocida para el lado LAN del router, de modo que la probabilidad de que un transeúnte adivine la dirección correcta al azar sea muy improbable.
Validación de la llave de interfaz USB
Muchos routers 3G/4G ofrecen un mecanismo muy sencillo para actualizar la configuración mediante una llave USB.
La interfaz USB también es objeto de ataques físicos. Cada router Robustel tiene una clave independiente generada por el sistema operativo y solicita la clave para la autenticación cada vez que se inserta un disco USB. El disco USB debe almacenar esta clave para actualizar los archivos. De esta manera, el puerto USB puede cumplir una única función (actualización automática de la configuración) de forma segura.
Desactivar el acceso a la consola
Los routers modernos y gran parte de los equipos conectados a ellos presentan una interfaz de usuario al mundo exterior a través de una GUI web (HTTP/HTTPS), SSH o similar. Es recomendable desactivar estas consolas a menos que sean necesarias y, si lo son, asegurarse de que solo los usuarios autorizados puedan acceder a la subred IP correspondiente en la que está disponible el acceso a la consola.
Consejo n.º 4: Un truco útil para alertar a los administradores del sistema sobre problemas en la red LAN es configurar una alerta, ya sea en la plataforma en la nube como RCMS o directamente desde el router (SMS/correo electrónico), que indique que se ha desconectado un cable Ethernet; a partir de ahí, se puede determinar rápidamente si se trata de un acto malicioso o no.
Seguridad Wi-Fi
La forma más eficaz de proteger una red Wi-Fi es no utilizarla. Si necesita utilizarla, asegúrese de que se utilice como mínimo la seguridad WPA.
WPA-Enterprise añade autenticación Radius adicional, pero puede resultar complejo de configurar.
Una forma más sencilla (pero menos escalable) de gestionar clientes WiFi individuales es utilizar una lista de control de acceso, mediante la cual solo las direcciones MAC incluidas en la lista blanca pueden conectarse al SSID (red inalámbrica) correspondiente.
Consejo n.º 5: Desactivar la «difusión SSID» en el punto de acceso del router puede ser una forma inteligente de mejorar la seguridad. Esto significa que el nombre de la red no será visible para los transeúntes que realicen un escaneo de la red, pero el acceso wifi seguirá estando disponible para aquellos que tengan la configuración y la contraseña correctas.
Opciones de seguridad VPN
Hay muchas formas de utilizar VPN como OpenVPN, PPTP, L2TP e IPSEC.
Las consideraciones clave son exactamente dónde se encuentran los puntos finales de la VPN y en qué jurisdicción se encuentran. Como se destaca en la sección 1, es esencial pensar en las conexiones del router en el contexto de la red del proveedor de SIM para comprender el panorama completo. A continuación, destacamos las arquitecturas VPN más utilizadas.
a) La VPN de extremo a extremo
En este ejemplo, la VPN atraviesa completamente desde el borde hasta la nube, normalmente con el dispositivo en el borde ejecutando un cliente VPN y el servidor de aplicaciones alojando un servidor VPN para la terminación de la conexión VPN.
En este ejemplo, no hay dependencia del proveedor de SIM para que esto funcione, excepto que el tipo de VPN elegido pueda atravesar el APN del operador. Esto puede ser un obstáculo clave que vale la pena consultar con su proveedor de SIM antes de intentar configurar una conexión.
Las implementaciones reales de este tipo de conexión suelen utilizar un dispositivo VPN justo delante del servidor de aplicaciones para proporcionar una demarcación lógica de los componentes básicos de la red.
Muchos «dispositivos» no tienen la capacidad de comportarse como un punto final VPN (como un dispositivo RS232) y, en este caso, se podría utilizar la opción (b).
Consejo n.º 6: Algunos APN pueden bloquear puertos o protocolos específicos exactamente igual que lo haría un cortafuegos. Consulte con su proveedor de SIM si este es el caso con su APN.
b) El router a la VPN en la nube
En este ejemplo, la VPN atraviesa desde el router hasta la nube (servidor de aplicaciones o dispositivo VPN en la nube), lo que en muchos sentidos es un uso más lógico de los recursos que (a), ya que permite que el dispositivo sea lo más barato/simple posible y que el router se encargue del elemento de comunicación.
En raras ocasiones, te encontrarás con auditores de seguridad más pedantes que insisten en que, al utilizar la arquitectura anterior, los datos que pasan por el cable desde el dispositivo al router no están cubiertos por una VPN y, por lo tanto, suponen un riesgo para la seguridad. Las formas más comunes de lidiar con esa objeción son:
Implemente la seguridad de la capa de aplicación en lugar de una VPN, o además de ella, para que los datos entre el dispositivo y el router estén cifrados.
Sugiera que si alguien ha obtenido acceso físico al router y al cable de interconexión, entonces tiene «cosas más importantes de qué preocuparse» que si pueden ver sus bits y bytes.
Esto nos recuerda que la seguridad es una ecuación de coste/beneficio y, aunque la opción (ii) es un argumento razonable para algunas aplicaciones, es poco probable que sea aceptable en proyectos médicos o militares.
c) Solución VPN de un proveedor especializado en tarjetas SIM M2M/IoT
Este tipo de servicio lo suelen ofrecer los operadores móviles virtuales (OMV) que desean mejorar la oferta de servicios a sus clientes y asumir una mayor parte de la solución a cambio de una pequeña cuota.
En la mayoría de los casos, es necesario crear un túnel VPN IPSEC entre el APN del proveedor de SIM y el dispositivo/servidor VPN del cliente. Se pueden configurar IPSEC duales para aumentar la resiliencia, a costa de una mayor complejidad arquitectónica.
Esta solución tiene las siguientes ventajas e inconvenientes:
Ventajas
No es necesario realizar ningún cambio en el router ni en el dispositivo.
El cliente no tiene que plantearse la posibilidad de rescindir muchas VPN (una de cada router), solo necesita una VPN de sitio a sitio desde la infraestructura del proveedor de SIM.
La configuración puede ser bastante fácil si el proveedor de SIM ofrece un buen servicio de asistencia.
Contras
La VPN no cubre la parte aérea de la conexión, lo que significa que el pirateo de las tecnologías de radio podría dejar sus datos desprotegidos, una objeción real, pero que rara vez se sostiene.
Si tu proveedor de SIM no hace bien su trabajo, ¡todos tus dispositivos están en peligro!
Seguridad específica de Robustel
RCMS: plataforma de gestión de dispositivos en la nube
La estrategia principal de Robustel para garantizar su propio servicio de gestión de routers (RCMS) consiste en aprovechar las capacidades IaaS y SaaS de primer nivel que ofrece Microsoft Azure.
Hay disponible un tutorial detallado sobre cómo el software de aplicación RCMS cuenta con una defensa multicapa contra los ciberataques gracias a su profunda integración con la plataforma Microsoft Azure. Puede solicitar una copia del documento a su representante de ventas de Robustel.
RobustOS: sistema operativo para routers
Trazabilidad del ciclo de vida del software
Robustel Incorpora la seguridad en todas las etapas del ciclo de vida del desarrollo de software, incluyendo el diseño de firmware, el almacenamiento seguro y la trazabilidad del código fuente, y la revisión y el análisis del código.
Radius, Tacacs Plus, LDAP, autenticación LDAP X509
Compatibilidad con la autenticación de servidores de terceros, con mecanismos de autenticación flexibles. La interacción entre el cliente y el servidor se verifica mediante una clave compartida y cualquier contraseña de usuario transmitida se cifra.
Archivo de diagnóstico cifrado
El archivo de diagnóstico exportable contiene información de registro y configuración, y está totalmente encriptado, por lo que puede compartirse con el equipo de asistencia técnica de Robustel para su análisis sin posibilidad de compromiso.
Gestión de roles de usuario
Gestión de múltiples roles: los diferentes roles tienen distintos niveles de autoridad de gestión. La cuenta «Invitado» solo puede ver el estado del dispositivo, es decir, es de solo lectura. El «Editor» puede leer y escribir, pero no tiene permisos de gestión de usuarios. El «Administrador» tiene todos los derechos administrativos.
Cifrado TLS de correo electrónico
Cuando los recordatorios de eventos se notifican por correo electrónico, los datos se transmiten mediante el protocolo TLS, lo que garantiza la confidencialidad y la integridad de los datos.
Cifrado TLS de datos Modbus
En aplicaciones industriales, los datos recopilados pueden ser muy sensibles. Los datos Modbus RTU se transmiten a su servidor mediante MQTT encapsulado en TLS para garantizar la máxima seguridad. Un buen ejemplo de seguridad en la capa de aplicación. Nota: requiere la aplicación «Modbus MQTT» instalada en RobustOS.
Filtrado de paquetes, cortafuegos y DMZ
Filtra los paquetes de datos por IP, dirección MAC y protocolo, y supervisa cada paquete IP reenviado para mantener la seguridad de la red interna.
