‘Zonder deze tien maatregelen zijn intelligente PDU’s niet veilig’

paul-bekema

Intelligente PDU’s worden steeds populairder. Maar als we niet oppassen introduceren we daarmee ook een nieuw security-risico. Veel van deze slimme PDU’s beschikken immers over een netwerkpoort die voor nuttige toepassingen kan worden gebruikt. Maar die natuurlijk ook misbruikt kan worden. Tenzij we een aantal security-maatregelen nemen.

Er komen steeds meer fabrikanten van intelligente PDU’s die over een eigen netwerkpoort beschikken. “Hiermee is het bijvoorbeeld mogelijk om via de Ethernet-poort gegevens over het energieverbruik uit te lezen”, vertelt Paul Bekema, Sales Engineer, Benelux & Africa bij Raritan. “En via deze interface kunnen bovendien de outlets op de PDU worden ‘aan’ en ‘uit’ gezet.”

Kennis en ervaring

“Ik heb een aantal PDU’s mogen bekijken en bij sommige producten kwam ik een aantal opmerkelijke zaken tegen, met name op het gebied van security. Is dat vreemd? Nee, niet echt, denk ik. Vaak komen deze PDU leveranciers vaak uit een facilitaire wereld van power-distributie en ontbreekt veelal de kennis (of ervaring) voor wat betreft de Ethernet en IP protocollen.”

raritan_02

“Met name de IP-beveiliging van de PDU is vaak een zwak punt. Dat is ook niet vreemd, want veel van deze PDU-fabrikanten komen uit een wereld waar Modbus en seriële communicatie de standaard zijn. Maar nu Ethernet en IP steeds meer geaccepteerd is, brengen ook zij nu PDU’s op de markt die voorzien zijn van een Ethernet-interface. Daarbij spelen zij natuurlijk slim in op de opkomst van Internet of Things (IoT). Maar jammer genoeg ontbreekt het soms aan voldoende kennis op dit gebied. En dat wreekt zich dan met name op het gebied van security.”

Tien ‘must haves’

Er zijn minstens tien punten waar een datacenter manager op moet letten als hij of zij overweegt intelligente PDU’s met netwerkpoort in gebruik te nemen. Bekema spreekt van ‘tien must haves' op security-gebied:

  1. Pas encryptie toe

“Encryptie zorgt er voor dat alle communicatie van en naar de PDU (data en meetgegevens) wordt versleuteld. Zonder de juiste sleutel kan de informatie niet gelezen worden. Hiermee is alle informatie beveiligd. Ook IP-adressen, user names en passwords zijn dan onleesbaar voor onbevoegden. 256 bit-encryptie is tegenwoordig de standaard, maar sommige PDU-fabrikanten gebruiken nog steeds een lagere en minder veilige 128 bit-encryptie.”

Sommige PDU-fabrikanten hebben er voor gekozen helemaal geen encryptie toe te passen. Het gevolg is, zo stelt Bekema, dat een cybercrimineel heel eenvoudig alle dataverkeer kan onderscheppen en uitlezen. “Geen encryptie is een ideale situatie voor cybercriminelen om user names en wachtwoorden te stelen. Bovendien kunnen zij dan informatie over andere apparaten (zoals IP-adressen) in het netwerk vinden. Daarmee kan een cybercrimineel zijn aanvallen gerichter uitvoeren, gericht op belangrijke IT-apparaten in het netwerk. En laten we ook niet vergeten dat een cybercrimineel die de informatie van een PDU kan inzien, ook zomaar een of meer outlets kan uitzetten - en daarmee dus bijvoorbeeld een heel rack met servers.”

  1. Certificering is noodzaak

Voldoet een PDU aan de FIPS140-standaard, dan weet u zeker dat de toegepaste encryptie-algoritmes op de PDU gecontroleerd zijn en veilig zijn bevonden door de Amerikaanse overheid. “Hoewel het hier gaat om een Amerikaanse standaard, vertelt deze certificering natuurlijk wel veel over de IP-veiligheid.”

  1. SNMP v3 is véél veiliger

SNMP v3 wordt ook wel ‘encrypted SNMP’ genoemd. Bij SNMP v3 wordt ook alle SNMP-communicatie versleuteld. Het is dan niet mogelijk om via SNMP commando’s naar een PDU te sturen en bijvoorbeeld een outlet uit te zetten, indien niet de juiste encryptiesleutel wordt gebruikt. Bij de un-encrypted SNMP versies 1 en 2 is dit in principe wel mogelijk.

  1. Pas altijd een firewall toe

Bekema: “Een met een netwerk verbonden PDU dient gebruik te maken van een zogeheten ‘access control firewall’. Deze blokkeert verkeer van ongeautoriseerde IP-adressen en IP-ranges, zodat de PDU alleen met geautoriseerde IP-adressen kan communiceren.”

  1. Dwing strong passwords af

“Dwing gebruikers altijd en in alle gevallen om ook op de PDU sterke wachtwoorden te gebruiken. Schrijf daarbij een minimum aantal karakters, speciale leestekens, cijfers en hoofdletters voor. Dit is eigenlijk een no-brainer. Maar desondanks wordt het lang niet altijd toegepast.”

  1. Forced password change pure noodzaak

De eerste keer dat op een intelligente PDU wordt ingelogd, dient de gebruiker verplicht het administrator wachtwoord te veranderen. Daarmee voorkomen we dat de default wachtwoorden van het apparaat (de bekende combinatie admin/admin) in gebruik blijft. Bekema stelt echter vast dat lang niet iedere fabrikant dit ook daadwerkelijk afdwingt. “Scans op het internet laten zien dat er wereldwijd duizenden apparaten benaderbaar zijn via hun management-interface met de standaard fabriekswachtwoorden. Simpelweg omdat gebruikers niet wordt gedwongen dit te veranderen. En regel als fabrikant dan ook meteen dat iedere gebruiker om de 90 dagen zijn wachtwoord verandert.”

  1. Integreer zo veel mogelijk met Active Directory, LDAP en Radius

Active Directory, LDAP en Radius bieden centrale overzichten van netwerk login-gegevens. Het kan dus heel handig zijn om een PDU die in een bedrijfsnetwerk is opgenomen te integreren met deze authenticatie-servers. Indien de PDU op het bedrijfsnetwerk gekoppeld kan worden aan een Active Directory, LDAP of Radius authenticatie-server, kunnen alleen gebruikers waarvan de accountgegevens in deze overzichten voorkomen op de PDU inloggen. Bovendien worden de wachtwoorden dan niet op de PDU bewaard maar centraal en kan toegang tot het netwerk en de PDU’s vanaf de centrale authenticatie-server geblokkeerd worden, bijvoorbeeld als een medewerker het bedrijf verlaat.

  1. Een PDU heeft een krachtige processor nodig

“Soms worden security features niet of niet goed geïmplementeerd vanwege het ontbreken van technische kennis”, vertelt Bekema. ”Maar in andere gevallen heeft de fabrikant voor de PDU gekozen voor het gebruik van een eenvoudige en tragere processor. Die is niet altijd in staat om alle gewenste security-functies goed uit te voeren, simpelweg doordat de verwerkingscapaciteit van deze processor daarvoor te gering is. Dat zou wel eens de reden kunnen zijn waarom soms 128 bit-versleuteling wordt toegepast in plaats van 256 bit-encryptie.

  1. Doe een vulnerability scan

“Cybercriminelen zitten niet stil, zodat er steeds weer nieuwe vulnerabilities en security-problemen opduiken. Het is daarom verstandig om ook op een PDU een vulnerability scan uit te voeren. Bij mijn onderzoeken kwamen regelmatig security-lekken te voorschijn.”

  1. Regelmatige firmware-updates

Bekema: “PDU-fabrikanten komen met enige regelmaat met nieuwe firmware-versies uit. Soms vanwege nieuwe functionaliteit, maar vaak ook om beveiligingslekken te dichten. Kijk goed naar het tempo waarin deze updates beschikbaar komen. Sommige fabrikanten komen heel snel na het ontdekken van een security-issue met een update, maar andere aanbieders zijn hierin veel trager. Dan kan het zomaar 3 tot 6 maanden duren voordat het lek gedicht kan worden. Dat is in mijn ogen veel te traag.”

Intelligente PDU’s die ook nog eens van een netwerkpoort zijn voorzien bieden grote voordelen. We moeten echter niet vergeten, zo vertelt Bekema, dat we daarmee onbedoeld een security-probleem kunnen introduceren. Toch vindt hij de voordelen van netwerkcommunicatie zo groot dat hij een groot voorstander van het gebruik van dit soort PDU’s is. “Maar weet wat je doet. Wie de hier genoemde tien punten goed in de gaten houdt, kan met een gerust hard het deze PDU’s aan de slag.”

Dossiers
Meer over
Lees ook
RiMatrix Next Generation: het toekomstplatform voor alle IT-scenario’s

RiMatrix Next Generation: het toekomstplatform voor alle IT-scenario’s

Met het IT-infrastructuurplatform RiMatrix Next Generation (NG) heeft Rittal een nieuw modulair systeem ontwikkeld voor een flexibele, veilige en snelle opbouw van computerruimten. Op basis van een open platformarchitectuur zijn wereldwijd investering zekere, individuele oplossingen te realiseren voor alle toekomstige IT-scenario's.

Rittal presenteert nieuwe generatie PDU's

Rittal presenteert nieuwe generatie PDU's

Het energieverbruik vormt een belangrijke factor voor een economische werking van de IT. Maximale transparantie bij het verbruik is essentieel. Hiervoor heeft Rittal zijn nieuwe PDUproductfamilie (Power Distribution Unit) uitgerust met uitgebreide meetfuncties voor een gedetailleerde energieanalyse.

Veilig vormgeven van digitale transformatie

Veilig vormgeven van digitale transformatie

Herken en minimaliseer de uitvalsrisico’s van een IT-infrastructuur Om economische redenen is het voor veel middelgrote bedrijven moeilijk de eigen IT-experts alleen in te zetten voor de monitoring van IT-systemen. De oplossing? Een slim monitoring-softwareprogramma dat de grotendeels geautomatiseerde infrastructuur rondom de computerruimte bewaak1