Mis dispositivos industriales soportan LDAP, ¿y ahora qué?
Sistema centralizado de autenticación de usuarios, LDAP en SCI
La gestión de los usuarios y sus contraseñas es uno de los grandes retos actuales en los sistemas de control industrial debido, en parte, a la concienciación y la madurez, en cuanto a ciberseguridad se refiere, de los responsables de los sistemas de seguridad industrial. Adicionalmente a esta concienciación, las principales guías de buenas prácticas y estándares internacionales de seguridad exigen disponer de un sistema centralizado para la gestión de usuarios.
Una de las principales referencias de seguridad, por poner un ejemplo de requisito de seguridad, por la que muchos sectores se decantan a la hora de realizar un diseño seguro, es el IEC 62443, la cual dispone en su Parte 4-2:
- Part 4-2: Technical security requirements for IACS components - 5.5 CR 1.3 – Account management: “Los dispositivos deben disponer de la capacidad de soportar la administración de todas las cuentas directamente o integradas en un sistema centralizado que administra dichas cuentas, de acuerdo con la 62443-3-3”.
La gestión centralizada de usuarios y sus contraseñas es de gran ayuda a la hora de aplicar políticas de seguridad, ya que permite, entre otras muchas funcionalidades, poder gestionar parámetros de manera sencilla, como puede ser la gestión de la complejidad de las contraseñas almacenadas, para asegurarnos el cumplimiento con nuestra política de seguridad, el tiempo de caducidad de contraseñas o la obligatoriedad de renovación de las mismas, así como la gestión de altas y bajas de usuarios o cambios de roles de usuarios, hasta ahora inmanejable en el sector industrial.
Siendo conscientes de las mejoras que aporta emplear este tipo de gestión centralizada, muchas veces no vemos la complejidad o las decisiones a la hora del diseño que implica la implementación de este tipo de servicios en el sector industrial.
La primera decisión que debemos tomar es sobre el tipo de gestión centralizada a implementar. ¿Es necesario un servidor AAA (acrónimo de Authentication, Authorization and Accounting, es decir, Autenticación, Autorización y Contabilización)? ¿o simplemente optamos por un directorio de contraseñas mediante el uso del protocolo LDAP (Lightweight Directory Access Protocol)?
Existen diferencias significantes entre un servidor de AAA, como puede ser RADIUS, y un servidor de gestión de contraseñas por directorio, a través del protocolo LDAP, si bien queda fuera del alcance de este artículo, muchas veces en los sistemas de control industrial, debido a su heterogeneidad, debamos instalar ambos servicios en nuestra infraestructura.
Tomada la decisión de montar un servidor de gestión de usuarios centralizado bajo LDAP, necesitamos tener claro nuestro diseño de la arquitectura de red, empezando por un análisis detallado de los dispositivos que necesitan acceso al mismo, así como las limitaciones de nuestro sistema de control industrial. Emplear tiempo en analizar todas las posibilidades, valorar sus riesgos de seguridad, así como definir una correcta segmentación, será clave para la seguridad a futuro.
Arquitectura de red, niveles Purdue ¿Dónde te ubico LDAP?
Las guías de buenas prácticas de seguridad y los estándares internacionales asignan el nivel 3 “Operación y control” (Level 3: Site Manufacturing Operations and Control), si nuestra referencia es la pirámide de la SP-99 (niveles de Purdue).
- LDAP en la pirámide de niveles de Purdue. -
Control de accesos en entornos TO
La prevención de accesos no autorizados a nuestros entornos TO, así como seguir el principio de mínimos privilegios, son dos de los principales retos del control de accesos, y para los cuales se recomienda un sistema centralizado de gestión de usuarios. Los dispositivos industriales deben identificar de manera única a los usuarios mediante un ID, del mismo modo que deben aplicar políticas robustas de contraseñas y poder realizar una gestión por roles.
Teniendo claro este tipo de control de accesos obligatorio, debemos diferenciar igualmente las zonas y los dispositivos para las cuales sería necesario crear usuarios y sus roles o permisos.
Los usuarios y los permisos para la gestión de la operativa de un sistema de control industrial deben ser distintos a los de la parte de TI. Este requisito conlleva una segregación del sistema de gestión de usuarios, siendo necesarios crear una gestión de usuarios dedicada a la parte de TO. Derivado de este requisito, se debe analizar qué dispositivos van a ser gestionados mediante este servidor de gestión de usuarios centralizado TO.
Todos los elementos dentro de un sistema de control industrial deben ser gestionados mediante usuarios y permisos de esta rama del sistema centralizado, englobando usuarios y permisos tanto para los dispositivos en Nivel 1 de Purdue (PLC, RTU, DCS…), como los dispositivos en nivel 2 (HMI, Workstation, SCADA…) y los propios del Nivel 3 (Historian, Data Server…). Adicionalmente, el control de usuarios y roles debe extenderse a la gestión de otros elementos que intervienen en la aplicación de la diferenciación zonas (switches, firewalls), así como otros elementos de seguridad incluidos en el sistema de control industrial (máquinas o servidores de logs, IDS…).
En este punto, se debe tener perfectamente identificados a todos los usuarios necesarios y sus permisos, para la correcta gestión del sistema de control industrial.
Esta parte de definición del árbol del directorio es clave a la hora de abordar la implantación de un sistema centralizado por LDAP.
El esquema conceptual que debemos recrear será algo similar a lo mostrado en el siguiente diagrama, en el que se representan los niveles de automatización y control, así como los usuarios y permisos de sus elementos, los cuales deben estar recogidos dentro de la rama del directorio de usuarios y contraseñas de LDAP dedicada a TO.
- Esquema de uso de LDAP en entornos TO. -
Seguridad sobre LDAP
Uno de los detalles que se deben tener en cuenta sobre la implementación del protocolo LDAP es que sus comunicaciones no disponen de un mecanismo nativo que proteja su confidencialidad. Algunos requisitos de seguridad, sobre todo a nivel de dispositivos en zonas consideradas críticas, exigen protocolos que aseguren esta confidencialidad, bien mediante mecanismos de cifrado de las comunicaciones, bien mediante algún tipo de contramedida. Para evitar tomar acciones en el futuro, como cifrados punto a punto, lo mejor es requerir desde un principio tanto al cliente LDAP como al servidor LDAP, que dispongan de la capacidad de establecer un túnel TLS (Transport Layer Security), mediante una versión considerada segura para este, aumentando de este modo el nivel de seguridad.
Los recursos de la red, si bien puede parecer que no es un tema que deba ser considerado en ciberseguridad, realmente es un riesgo que también debe valorarse, sobre todo a la hora de tomar decisiones sobre qué sistema centralizado de gestión de usuarios es más adecuado en nuestra infraestructura.
Respecto a las zonas de seguridad, aun estando delimitadas a nivel de segmentación mediante firewalls, se puede dar el caso de separaciones físicas o cambios de medio físicos en la transmisión, que impliquen una limitación de recursos o de ancho de banda (redes MPLS, por ejemplo). Esta limitación de recursos será clave a la hora de ubicar en la red nuestro sistema centralizado de gestión de usuarios y sobre todo a la hora de optar por uno o por otro. En la siguiente tabla se muestran las diferencias de recursos de red entre LDAP y RADIUS, que son las opciones más utilizadas, aunque, como ya se comentó, muchas veces coexisten las dos implementaciones.
- Diferencias de recursos de red entre LDAP y RADIUS. -
Cadenas de autenticación
La disponibilidad es esencial en los dispositivos industriales, por lo que muchas veces surgen dudas en la manera de gestionar la pérdida de comunicación con un sistema centralizado de gestión de usuarios mediante LDAP, ya que derivaría en la incapacidad de poder logarse al dispositivo.
Existen diferentes aproximaciones para resolver este tipo de situaciones. La principal será plantearnos sistemas redundados, esto debe ser exigible a nuestros sistemas industriales y lo ideal es poder configurar al menos dos servidores, bien que sean estos iguales o diferentes (Primario y Secundario). Si estos sistemas son considerados críticos, deberá existir un procedimiento de emergencia ante la pérdida de conexión con estos servidores.
Este procedimiento de emergencia se puede configurar mediante una cadena de autenticación que, de la misma manera que para el caso de servidores secundarios, debe ser exigible, es decir, disponer de una opción de configuración mediante la cual, en caso de perder el control con el servidor LDAP, pase al siguiente eslabón de la cadena de autenticación. Esta opción de acceso mediante un usuario de emergencia, como sucede en otras soluciones, aporta una “memoria” de usuario previamente logado, con el que permitirá conectarse a pesar de no disponer de conexión.
Verificar este tipo de cadenas de autenticación es una tarea del encargado de ciberseguridad primordial, previa a la implementación de cualquier sistema centralizado de gestión de usuarios.
Conclusiones
La gestión centralizada de usuarios, además de ser un requisito en muchas de las normativas y guías de buenas prácticas de seguridad, soluciona uno de las mayores debilidades heredadas en los sistemas de control industrial. Esta debilidad era debida a la utilización de contraseñas genéricas por todas las personas con necesidad de acceder a dicho dispositivo. Habitualmente esta debilidad de seguridad iba asociada a la poca o ninguna capacidad de los dispositivos industriales para la gestión de RBAC, derivando en una aplicación incorrecta del los principios de mínimos privilegios (“Least Privilege”) e identificación única de usuario (“Unique ID”).
Disponer de la posibilidad de identificar al usuario/máquina que ha realizado una acción concreta supone un gran valor ante una respuesta a incidentes, por lo que disponer de este tipo de sistemas de gestión de usuario centralizada implica aumentar la resiliencia de nuestro dispositivos industriales ante un incidente.
