Divide y vencerás: Segmentación al rescate

Publicado el 20/10/2015, por INCIBE
Divide y vencerás: Segmentación al rescate

Crecimiento y descontrol

Las redes de los sistemas de control han ido creciendo paulatinamente según crecía el sistema, sin un orden o una infraestructura clara en la mayoría de las ocasiones. Las originales islas de red (células de trabajo sin comunicación entre sí) que componían cada uno de los procesos de un sistema de control se han ido uniendo sin tener demasiado en cuenta las prioridades, requisitos y niveles de seguridad de cada uno de los procesos.

Además, la cada vez mayor interrelación entre los sistemas de control y los sistemas de empresariales tampoco ha ayudado a un crecimiento adecuado, simplemente se han establecido conexiones según las necesidades de la información.

Orden en la red: Niveles ISA 95 y diferenciación de redes

Como se vio en el artículo “La evolución de la infraestructura de red en los sistemas de control”, la ISA-95 divide los sistemas de control en cinco niveles. Esos mismos niveles también permiten realizar una primera separación de las redes y vislumbran la manera de llevar a cabo la segmentación.

En un sistema de control industrial correctamente segmentado han de definirse al menos cuatro tipos de redes diferentes: red de proceso, red de control, red de datos o del centro de control y red de intercambio de datos. A estas redes se añade también la red empresarial y la red externa para tener toda la arquitectura de red. La funcionalidad de cada red es la siguiente:

  • Red de proceso o campo: Esta red se compone de todos los sensores y actuadores que se encuentran repartidos por el proceso. Esta red requiere muy alta velocidad e intercambia pequeños flujos de datos, utilizando protocolos exclusivos de los sistemas de control industrial. Su funcionamiento correcto es primordial para el sistema y la disponibilidad de los datos imprescindible para el proceso.
  • Red de control: La red de control agrupa todos los instrumentos de control local tales como PLCs, RTUs, etc. En esta red también se puede encontrar algún sistema de gestión local del proceso (consola de visualización local), encargado de supervisar alguna sección de la producción. Los equipos en esta red suelen realizar tareas de traducción, además del propio control del proceso, entre los protocolos de bajo nivel utilizados en la red de procesos y protocolos de alto nivel utilizados en los niveles superiores.
  • Red de datos o del centro de control: En esta red se encuentran los equipos destinados al control del proceso, como las estaciones de los operadores, el servidor de ingeniería, los servidores de aplicaciones, etc. En esta red hay un gran tránsito de datos, por lo que su ancho de banda ha de ser elevado para poder atender todas las peticiones. La mayoría de las comunicaciones que se realizan en esta red están basadas en Ethernet.
  • Red de intercambio de datos: Debido a los diferentes niveles de criticidad de las redes, para facilitar el traspaso de información de unas a otras se utilizarán redes DMZ siempre que sea necesario. Principalmente se utilizan para separar la red de datos de la red empresarial, pero pueden ser necesarias más dependiendo del tamaño del sistema de control o de la criticidad del mismo. En esta red se situarán sistemas de bases de datos o similares que han de ser accedidos desde las dos redes que pretende unir.
  • Red empresarial: La red empresarial conforma todas las comunicaciones de la empresa que están relacionadas con el negocio y no con el proceso. Son habituales en esta red los accesos al correo, herramientas ofimáticas, etc. Esta red requiere de un gran ancho de banda.
  • Red externa: Las comunicaciones con el exterior conforman la última red en cualquier infraestructura. Esta red agrupa los accesos a internet y también es la red desde la que provienen los accesos de determinados proveedores o fabricantes (accesos de terceros).

Otras segmentaciones: Niveles RG 5.71

La segmentación de la red también puede llevarse a cabo separando las redes según el nivel de confidencialidad que es necesario aplicarlas. Siguiendo la norma RG 5.71, se definen cinco niveles de criticidad, del 0 o menos crítico al 4 o más crítico, que determinan la forma en la que la información puede fluir de un nivel a otro.

Como ejemplo de separación en niveles según la criticidad se pueden identificar los siguientes niveles de mayor a menor criticidad: área vital (nivel 4), área protegida, área controlada por el propietario, área corporativa y área pública (nivel 0).

Comunicación entre los diferentes niveles de criticidad de la RG 5.71

-Comunicación entre los diferentes niveles de criticidad de la RG 5.71-

La norma RG 5.71 establece las directrices para seleccionar los elementos con los que se ha de llevar a cabo la segmentación. Así por ejemplo, entre aquellos niveles en que se permite la comunicación bidireccional se realizará la separación mediante sistemas de prevención de intrusos o cortafuegos, pero cuando la comunicación ha de ser únicamente unidireccional, la única posibilidad es utilizar diodos de datos.

Estrategias de segmentación

Dependiendo del nivel de criticidad del sistema o del nivel de seguridad que se quiera lograr, se emplearán diferentes estrategias y/o herramientas para realizar una correcta segmentación:

  • Air Gap: El air gap consiste en separar físicamente las conexiones de dos redes. Hoy en día esta forma de segmentación no es útil debido a la necesidad global de información y, además, se ha probado que no es un método seguro.
  • IDS/IPS: Los IDS no permiten bloquear tráfico, por lo que están totalmente descartados para realizar segmentación. Los IPS, sin embargo, si permiten el bloqueo de determinados paquetes de información según ciertas reglas predefinidas. Su papel en la segmentación es separar diferentes equipos dentro de una misma red, conocido como segmentación horizontal.
  • Redes virtuales: Las redes virtuales (VLAN) creadas con la mayoría de los enrutadores comerciales permiten separar los equipos a él conectados en diferentes redes, separando el tráfico de unos a otros. Las redes VLAN separan los equipos en redes lógicas dentro de una misma red física, por lo que una mala configuración de las redes privadas permitiría ver el tráfico de otras redes.
    Las redes privadas virtuales (PVLAN) son un paso más adelante en la creación de VLANs, ya que permite la creación de redes secundarias (PVLAN) dentro de una red primaria (VLAN).
  • Cortafuegos: Los cortafuegos son los elementos más comunes para llevar a cabo la segmentación. Su funcionamiento se basa en la permisión o la denegación del tráfico entre las diferentes redes o equipos en base a reglas de filtrado. La definición de las reglas es lo que determina la seguridad que proporciona, ya que una regla mal definida puede suponer una puerta de acceso para potenciales ataques.
  • Diodos de datos: Los diodos de datos sólo permiten el tráfico en una dirección. A diferencia de un cortafuegos, donde existe canal de comunicaciones bidireccional y sólo una regla lógica lo impide, en un diodo de datos no existe canal en uno de los dos sentidos por lo que nunca podrá realizarse dicha comunicación. Los diodos de datos se utilizan cuando únicamente queremos sacar información de una red pero no recibirla, asegurando así la disponibilidad y la integridad de la información, o cuando queremos que una información no salga nunca de una red, asegurando así la confidencialidad.

En el artículo Herramientas TI que evolucionan para TO se mencionan algunas herramientas comerciales concretas que pueden utilizarse para realizar la segmentación en los sistemas de control industrial.

Ejemplos prácticos de segmentación

A continuación se muestran una serie de esquemas de diferentes soluciones de segmentación de redes de un sistema de control industrial, con distintos niveles de seguridad en cada caso.

Red sin segmentar

Este primer ejemplo puede verse como lo que ha sido tradicionalmente la infraestructura de red en los sistemas de control industrial, una red plana definida por la funcionalidad. Como puede verse en la imagen, no hay elementos de seguridad para llevar a cabo la segmentación y se utilizan malas prácticas como utilizar equipos servidores con dos tarjetas de red para unir redes diferentes.

Red sin segmentación correcta

-Red sin segmentación correcta-

Segmentación básica

Esta segunda infraestructura se encarga de separar cada una de las redes mediante un cortafuegos. Los elementos se han colocado en diferentes redes y se han de definir las reglas adecuadas para que las comunicaciones necesarias entre los diferentes dispositivos puedan llevarse a cabo.

Segmentación básica de un sistema de control industrial

-Segmentación básica de un sistema de control industrial-

Segmentación avanzada

Un paso más en seguridad viene dado por la incorporación de otros elementos de seguridad de red como diodos de datos y dispositivos IPS. En esta infraestructura avanzada se ha optado por la inclusión de una red DMZ para separar la red corporativa de la red de datos. Así, el intercambio de datos del histórico con la red corporativa se realiza a través de un histórico replicado mediante un diodo de datos, impidiendo que el original se pueda ver afectado.

También se ha incluido una inspección del tráfico entre los elementos de la red de control, para asegurar que los datos que llegan al Front-End y posteriormente al servidor SCADA son correctos.

Otra segmentación posible podría realizarse mediante el uso de VLAN y PVLAN para agrupar diferentes elementos de la red de control y la red de campo y proporcionar aún mayor nivel de seguridad y de segmentación.

Segmentación avanzada para un sistema de control industrial

-Segmentación avanzada para un sistema de control industrial-

En sistemas de control industrial, al igual que en cualquier otro tipo de red, el primer escollo a superar ante un incidente técnico o de seguridad es lograr que el alcance del mismo sea lo más restringido y limitado posible. En este sentido, la segmentación de red debe contemplarse como un pilar básico que jamás debe faltar en un diseño seguro.