Ir al contenido principal

Firewalls industriales, el principal elemento de defensa de tu SCI

La evolución de las redes industriales hacía la interconexión con las redes corporativas ha supuesto una mejora a la hora de incrementar la productividad y reducir costes, sin embargo, esta interconexión implica una serie de riesgos que aumentan la exposición de las redes industriales, tradicionalmente aisladas. Uno de los principales elementos que permiten aumentar el nivel de seguridad y paliar la exposición de los sistemas, ya no sólo en los entornos industriales sino en entornos más de TI, son los firewalls. Estos dispositivos son los principales encargados de aislar las diferentes zonas y permitir únicamente el tráfico autorizado entre los diferentes segmentos de la red, ya sea industrial o de carácter más corporativo, o incluso la frontera entre estos dos mundos.

Firewalls industriales, características principales

Los firewalls industriales han de permitir la implementación de ciertas características que los diferencien de sus análogos de propósito general, haciéndolos más adecuados para su despliegue en las redes industriales y aportando una capa de seguridad extra para este entorno. Algunas de estas características principales y ventajas que aportarán gran valor en la segmentación, segregación y control de las redes son:
  • Funcionamiento en modo transparente. Un firewall funcionando en modo transparente permite realizar un enrutado de los paquetes, pero sin afectar a la infraestructura, ni requerir de modificaciones de configuración en los dispositivos. Otro punto a tener en cuenta es  que algunos no poseen ninguna IP dentro de la arquitectura de red. Además, al no poseer una IP, no pueden ser detectados en un escaneo de la red y por lo tanto, no pueden ser objetivos directos de un ataque como sí lo son los firewalls de capa 3.
  • Inspección profunda de paquetes (DPI) sobre los protocolos típicos de estos entornos (IEC104, Modbus, DNP3, etc.). Algunos firewalls industriales son capaces de analizar cada campo de los paquetes y realizar un filtrado en función de los valores específicos del protocolo (inspección a nivel de capa de aplicación del modelo OSI, capa 7). Además de realizar la DPI sobre comunicaciones industriales, también podría realizar esta inspección sobre protocolos más relacionados con el ámbito corporativo. Si el firewall realiza DPI sobre los protocolos típicos del ámbito industrial, permite generar reglas que lleguen al nivel de comandos, en lugar de quedarse en IP y puerto, lo que haría posible un mayor control de las acciones recibidas y enviadas por/hacia los dispositivos de control. Esta es una de las ventajas más importantes, ya que estos dispositivos son capaces de controlar posibles lecturas o escrituras no permitidas. Estas órdenes pueden ser bloqueadas o aceptadas, cosa que los cortafuegos de propósito general no son capaces de hacer.
  • Diseño rugerizado/industrializado para soportar ambientes adversos en los que operan las redes industriales. Este tipo de entornos, por ejemplo, pueden implicar temperaturas en las cuales otros dispositivos de red de ámbito general no serían capaces de funcionar de forma correcta. Sin embargo, sobre todo, carecen de partes móviles, como ventiladores, que hace que su mantenimiento sea menor y aumente su ciclo de vida para adecuarse a las instalaciones en las que opera.
  • Soporte frente a un volumen elevado de tráfico. La llegada de la industria 4.0, hace que el volumen del tráfico intercambiado en una red industrial aumente a la par que aumenta su capacidad de cómputo o la inteligencia proporcionada al proceso. El principal objetivo a la hora de asegurar los entornos industriales e infraestructuras críticas es garantizar la disponibilidad de las instalaciones, para ello, los firewalls industriales son capaces de soportar altos volúmenes de tráfico, evitando así la pérdida de paquetes críticos y garantizando la operatividad de los dispositivos que se encuentran detrás de ellos. Al introducir una latencia muy baja en el tráfico, garantizan que el sistema no se vea ver afectado por su despliegue, asegurando de esta manera también, la disponibilidad de los dispositivos industriales protegidos.
  • El modo test o de pruebas. Es otra de las características de estos firewalls. Este modo permite que sean configurados de forma que no afecten a las comunicaciones, pero sí guarden sus acciones en un log, pudiendo así afinar su configuración de la manera menos intrusiva posible y sin provocar ningún problema en la operatividad de los dispositivos bajo su efecto. La ventaja del modo de pruebas reside en poder validar la configuración de las reglas del cortafuegos, sin afectar al funcionamiento del proceso.
  • Inserción VLAN. La inserción VLAN es una capacidad de la que disponen los nuevos firewalls para poder analizar más cantidad de tráfico. De forma habitual, por debajo de un firewall se sitúa un switch encargado de elaborar varias VLAN para acotar el tráfico. El tráfico interno de estas VLAN es llevado al firewall mediante inserción VLAN para que sea analizado y se generen las alertas correspondientes. Así, además de analizar el tráfico que entra y sale de la zona protegida por él, también puede analizar el tráfico interno que no sale al exterior.

Funcionamiento de la inserción VLAN

Análisis de tráfico cifrado

A lo largo del artículo se ha hablado de la funcionalidad que permite la inspección en profundidad de paquetes y de las ventajas que aporta. Uno de los problemas con los que se pueden encontrar los firewalls, y que podría impedirles realizar esta inspección, es el tráfico cifrado.

A nivel de seguridad, implementar un cifrado de las comunicaciones es muy importante para evitar una posible fuga de información o manipulación de los datos. Cada vez es mayor la concientización, y los protocolos industriales que llevan años tratando de adaptarse y desarrollar sus versiones seguras, implementando algún tipo de cifrado. Uno de los últimos en sumarse ha sido Modbus, que ha publicado recientemente la especificación segura del protocolo en la que se implementa un cifrado TLS.

Debido al “problema” que ocasiona el cifrado de las comunicaciones, algunos fabricantes han optado por incorporar en sus firewalls de próxima generación (NGFW) medidas para la inspección de paquetes cifrados. El funcionamiento de la inspección de paquetes cifrados es simple: el firewall recibe los paquetes cifrados, es capaz de descifrarlos (más específicamente se habla de romper el cifrado) y analiza el contenido para, posteriormente, decidir qué hacer con cada paquete (denegar o enviar) y en caso de enviarlo, cifrarlo nuevamente para mantener la comunicación segura. Este paso puede parecer sencillo inicialmente, pero resulta bastante complejo, ya que implica una serie de configuraciones que no podrán realizarse siempre.

Para romper el cifrado utilizado en las comunicaciones y así aprovecharse de la funcionalidad, el firewall debe conocer la clave pública de origen y la privada del destino, o bien los certificados empleados en el intercambio de la información.


Análisis de tráfico cifrado dentro del firewall

Este descifrado de las comunicaciones introduce un retraso en las mismas, pudiendo afectar a la disponibilidad, por lo que antes de desplegar firewalls con estas capacidades es conveniente realizar un análisis del volumen del tráfico cifrado y del posible impacto del análisis del mismo. Además, tiene un coste computacional que también debe ser tenido en cuenta para dimensionar adecuadamente el producto a instalar. El despliegue de un firewall con estas características debe ser debidamente estudiado y configurado de manera que no afecte a los requisitos de tiempo de respuesta de algunos dispositivos. Es recomendable ser selectivo con los equipos a los que se pretende descifrar sus comunicaciones y configurar el firewall de manera que realice el descifrado-inspección de las comunicaciones de equipos de los que realmente se pueda obtener un valor relevante y cuyos requisitos de tiempo de respuesta no sean críticos.


Resultado de imagen para nozomi security
Cyber Security - Enfoque con Nozomi Networks

Como hemos visto, los firewalls industriales aportan un valor añadido al nivel de seguridad de las comunicaciones de los entornos para los que están específicamente diseñados permitiendo, además, realizar funciones de inspección profunda de paquetes en las comunicaciones cifradas. Los firewalls son el principal elemento de seguridad en cualquier red TI, y en las redes TO, no es diferente.

Solución industrial de seguridad y visibilidad

Nozomi Networks es el líder en seguridad cibernética para sistemas de control industrial (ICS), con la plataforma más completa para brindar ciberseguridad y visibilidad operativa en tiempo real.

Innovando el uso de la inteligencia artificial, ayuda a las instalaciones industriales más grandes del mundo a ver y asegurar sus redes de control industrial críticas.

En medio de amenazas crecientes dirigidas a ICS, Nozomi Networks ofrece una solución que brinda a los clientes una visibilidad operativa y detección de amenazas superiores, así como una fácil integración de TI/OT. Hoy en día, Nozomi Networks admite más de un cuarto de millón de dispositivos en sectores como infraestructuras críticas, energía, minería, transporte y servicios públicos.

Arquitectura de soluciones

Arquitectura de implementación de muestra

Este es un ejemplo general de cómo se puede implementar la solución de Nozomi Networks.

Una amplia variedad de dispositivos, una arquitectura flexible e integraciones con otros sistemas nos permiten ofrecer una solución adaptada a las necesidades de su organización.

Comentarios

Entradas más populares de este blog

GDPR: NUEVA LEY DE PROTECCIÓN DE DATOS EN EUROPA

El Reglamento de Protección de Datos comenzó a regir el viernes 25 de mayo en Europa, estableciendo mayor control para los ciudadanos e importantes sanciones para las entidades que no garanticen la seguridad establecida.


El viernes 25 de mayo de 2018, entró en vigencia el nuevo Reglamento General de Protección de Datos Personales (en inglés, General Data Protection Regulation o “GDPR”), con el fin de devolverles a los ciudadanos europeos el control de sus datos personales. De todos modos, no posee impacto únicamente en Europa, sino que tiene implicaciones más amplias para las empresas de todo el mundo que procesan datos en dicho continente.

GDPR no es nuevo, existe desde 2016 (REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016) pero desde este viernes 25 comenzó a ser aplicada obligatoriamente. Se trata de la nueva ley única de protección de datos, la cual introduce importantes cambios en todas las leyes europeas de privacidad y sustituye la obsoleta L…

Twitter pide cambio de contraseñas en forma masiva

El día de hoy Twitter, a través de su cuenta @twittersupport, pidió a 330 millones de usuarios que cambién su contraseña. Las mismas fueron encontradas en un log en texto claro. Por el momento no se tiene conocimiento de que alguien fuera de twitter tenga acceso a las contraseñas, pero es de esperarse que aparezcan en algún momento publicadas en algún portal.
Mensaje original:


We recently found a bug that stored passwords unmasked in an internal log. We fixed the bug and have no indication of a breach or misuse by anyone. As a precaution, consider changing your password on all services where you’ve used this password. https://blog.twitter.com/official/en_us /topics/company/2018/keeping-your-account-secure.html 


MISP - Malware Information Sharing Platform

Les presentamos una gran plataforma. Es MISP - Malware Information Sharing Platform. 





¿Qué es MISP?
MISP , Malware Information Sharing Platform y Threat Sharing, es una solución de software para recopilar, almacenar, distribuir y compartir indicadores de amenazas ciberseguridad. Permite el análisis de incidentes de seguridad, como así tambien el de malware. El MISP está diseñado por y para analistas de incidentes, profesionales de seguridad y TIC. El objetivo del MISP es fomentar el intercambio de información estructurada dentro de la comunidad de seguridad y en el extranjero. MISP proporciona funcionalidades para respaldar el intercambio de información, pero también el consumo de la información por parte del Sistema de Detección de Intrusión en la Red (NIDS), Sistemas de Análisis de Logs (LIDS – Log-Based Intrusion Detection), SIEM.
¿Cómo funciona?
Las funcionalidades principales de MISP, Malware Information Sharing y Threat Sharing son:
- Una eficiente base de datos de Indicadores de Compr…