Evolucionando la infraestructura de red en SCI

Publicado el 13/10/2015, por INCIBE
Empleado en una fábrica

Al igual que los dispositivos y el software, y como se comentó en otros artículos (“La evolución del software en los sistemas de control industrial” y “La evolución de los dispositivos en los sistemas de control industrial”), la evolución de las infraestructura dentro de los sistemas de control también ha sido notable. Esta evolución ha traído mejoras y avances que han permitido mejorar la seguridad de los sistemas y de las comunicaciones dentro de la organización.

En los sistemas de control industrial, la evolución es patente a lo largo del tiempo  afectando principalmente a las infraestructuras de red. Estos avances se han centrado, principalmente en la segmentación y fortificación de las redes mediante mecanismos y  dispositivos que, correctamente configurados, posibilitan acceso y comunicaciones de modo mucho más seguro.

Entre los dispositivos de red utilizados para reducir el riesgo de posibles intrusiones al sistema, destacan switches inteligentes (de capa 3), routers con listas de control de accesos, cortafuegos, creación de redes como DMZs (zonas de desmilitarización), IDS, IPS o diodos de datos. Actualmente muchas empresas han implantado estas medidas de seguridad que anteriormente no poseían, gracias a la concienciación en materia de ciberseguridad industrial y a las normativas que hacen obligatorio el uso de estos dispositivos en muchos entornos.

Plan de seguridad y diseño de una estrategia de fortificación

Para poder realizar una selección de los dispositivos a integrar dentro de una red, es fundamental realizar un análisis de activos e identificar los recursos, procedimientos y actividades consideradas esenciales para el proceso de producción dentro del sistema de control industrial. Como respuesta a esa necesidad encontramos la ISA-95, desarrollada para hacer frente a los problemas que podemos encontrarnos durante el desarrollo de una estrategia de segmentación entre los sistemas empresariales y de control.

La ISA-95 define 5 niveles para las empresas industriales:

- Niveles ISA-95 -

La ISA-95 aporta varias ventajas de entre las que destacan:

  • Reducción de costes: Se puede utilizar como método para trazar una línea de trabajo que sirva para identificar los sistemas o dispositivos más vulnerables y las redes más complejas de segmentar. De esta forma es más sencillo focalizar los esfuerzos e inversiones  en los puntos de mayor relevancia.
  • Reducir el riesgo y evitar errores: Realizar un análisis de riesgos sobre los activos de la organización y definir una serie de contramedidas y combinación de buenas prácticas, medidas y protocolos a seguir para reducir el impacto de los riesgos.
  • Mejora en las comunicaciones: El uso de terminología técnica estándar ayuda a las empresas a interactuar con profesionales externos para describir funciones, actividades y departamentos de forma más precisa.

Diseño de red  y aplicación de plan de seguridad

Una vez identificados los dispositivos adecuados para la red, es sumamente importante ubicarlos y configurarlos de forma correcta para aprovechar al máximo los recursos que ofrecen. Una buena segmentación de red nos aporta un nivel de seguridad con respecto a posibles intrusiones dentro del sistema que no conseguiríamos si todas las redes de la empresa estuviesen intercomunicadas. En este diseño se considerarán los protocolos implicados y las posibles debilidades de los mismos con el fin de contrarrestarlas. A este respecto, INCIBE proporciona la guía: “Protocolo y seguridad de red en SCI” que puede servir de apoyo.

Segmentación

Para la segmentación de redes es importante el uso de cortafuegos, IPS (Sistema de Prevención de Intrusos), IDS (Sistema de Detección de Intrusos), diodos de datos o switches bien configurados. 

Por parte de los switches, en el caso de poder usar VLANs, es una buena práctica realizar una buena configuración de estas redes lógicas dentro de la misma red física para la segmentación del tráfico existente.

Por su parte, los cortafuegos han de separar elementos de diferente criticidad y dependiendo de la red donde se encuentre, aplicar unas medidas de seguridad más o menos restrictivas con respecto a los accesos y los puertos abiertos al tráfico de red.

Control de flujo de comunicaciones
En el caso de usar diodos de datos para controlar el sentido del tráfico, es importante ser conscientes de que este tipo de dispositivos sólo permitirán el flujo de datos de forma unidireccional. Por esta razón, redes como la DMZ siempre serían destino de un diodo de datos al no deber iniciar comunicaciones. La mejor red para instalar estos dispositivos es la red de TO como veremos más adelante en las imágenes. Estos dispositivos suelen utilizarse en centrales nucleares o centros militares.

Inspección de tráfico
Otros elementos necesarios para una buena configuración, son tanto los IPS como los IDS dependiendo de si sólo queremos inspeccionar el tráfico usando IDS o si además de inspeccionarlo queremos cortar comunicaciones cuando se detecta cierto comportamiento inusual en la navegación usando IPS.

Recogida y análisis de eventos: SIEM

La combinación de todos los mecanismos anteriormente comentados, proporcionaría a las redes tanto de TI como de TO una seguridad bastante elevada contra posibles intrusiones o, en el caso de que un atacante lograse introducirse en el sistema, quedar contenido en un segmento e impedir que pueda saltar de una red a otra y detectar todos los intentos de acceso que realice. Otra de las ventajas que nos proporcionarían los dispositivos anteriormente comentados ante intrusiones, es la capacidad de análisis de datos, ya que el análisis del tráfico recopilado por los dispositivos nos daría información suficiente para mejorar la segmentación de nuestras redes tras una intrusión detectando los posibles puntos vulnerables existentes y clasificando los dispositivos o procesos más críticos a los que un atacante intentaría acceder.

Algunos ejemplos prácticos
A continuación se muestran 2 imágenes. Ambas imágenes contienen ejemplos de cómo segmentar redes pero con diferentes niveles de seguridad, pasando de una forma simple de segmentar la red a otra más compleja donde se usan prácticamente todos los mecanismos y dispositivos anteriormente mencionados. Cabe destacar que los cortafuegos pueden realizar las mismas tareas que los IPS o IDS en caso de ser necesario, dependiendo de la situación en la que nos encontremos y las necesidades que tenga el sistema.

- Ejemplo de segmentación de red simple -

- Ejemplo de segmentación de red algo más complejo -

Como se puede observar en ambas imágenes, no es utilizado el concepto de air gap por existir ya evidencias de que no es eficiente con respecto a la seguridad que aporta.

Por otro lado, el uso de islas de red (células de trabajo sin comunicación entre sí), es interesante cuando en la empresa existen diferentes sedes con estaciones como en el caso de una empresa que se dedica a la construcción y necesita terminales remotas en cada obra que realiza para comunicarse con un concentrador alojado en su sede central desde la que manejar los datos recopilados.

En lo que a la seguridad de las comunicaciones se refiere, la evolución que están tomando los sistemas de control industrial tiende al uso de comunicaciones cada vez más seguras añadiendo un extra de seguridad con el cifrado en algunas de las capas OSI o como en el caso de la capa de aplicación, que gracias al uso de cortafuegos DPI (Deep Packet Inspection) se permite segmentar el tráfico especificando protocolos industriales (Modbus TCP/IP, DeviceNet, Ethernet IP, OPC, etc). Por ejemplo, en el caso de Modbus TCP/IP es posible definir una regla que no permita a un maestro ejecutar las “function codes” 05 “write cole” y 06 “write register” sobre un esclavo. O en el caso de OPC para comunicar, el cortafuegos es el responsable de asignar un único puerto sobre OPC para realizar comunicaciones seguras entre clientes y servidores.

Conclusiones

A continuación se muestra una tabla resumen donde se registran las tendencias y evoluciones sufridas por los sistemas de control industrial en lo que a su red se refiere.

Inversión en seguridad: siempre necesario y… ¿costoso?

Finalmente, destacar las diferentes posibilidades que existen en la actualidad para poder asegurar las redes con una buena segmentación, sin recurrir a la adquisición de dispositivos de gran valor. Actualmente existen en el mercado opciones hardware realmente económicas como raspberry pi que complementado con distribuciones Linux especializadas en implementación de firewalls como IPCop o IPFire permitirían la construcción de un cortafuegos con un coste realmente bajo. Lógicamente, el recorte de presupuesto en asuntos de seguridad es una cuestión que debe evaluarse de modo cuidadoso, y como siempre, independientemente de la calidad o coste de los productos, llevar a cabo una cuidadosa configuración, un correcto diseño y una revisión y actualización continua de la seguridad de las instalaciones.