Zonas y conductos, protegiendo nuestra red industrial

Fecha de publicación 21/06/2018
Autor
INCIBE (INCIBE)
imagen decorativa

Antecedentes

La seguridad en las redes industriales viene muy marcada por los diferentes niveles de la pirámide de automatización (ISA-95), como ya se describió en artículos previos. Esta normativa creó la base para el estándar IEC-62443, evolución de la ISA99, en concreto el IEC-62443-3-2 “Standard addresses security risk assessment and system design for IACS”, donde se introducen los conceptos de "zonas" y "conductos" para una segmentación segura de las redes industriales aplicando la defensa en profundidad.

Las zonas de seguridad se definen en el estándar como “agrupaciones de activos físicos o lógicos que comparten requisitos comunes de seguridad, las cuales tienen la frontera (física o lógica) claramente definida”. Las conexiones entre estas zonas se denominan conductos y deben incluir medidas de seguridad para controlar el acceso a las mismas, resistir ataques de denegación de servicio, evitar la propagación de cualquier otro tipo de ataque, hacer de escudo para otros sistemas de la red y proteger la integridad y la confidencialidad de las comunicaciones.

Una zona de seguridad requiere de un nivel objetivo de seguridad (SLT), que se basa en factores de criticidad e impacto. El equipamiento de la zona de seguridad deberá tener un nivel de prestación de seguridad (SLC) que deberá ser igual al SLT. Si no lo son, es necesario incluir tecnologías de seguridad y/o políticas/procedimientos para compensar el desfase.

Así, por ejemplo, si tenemos un sistema que incluye varios equipos de supervisión basados en Windows XP/server 2003 (p. ej. HMI, histórico, etc.), así como múltiples PLC para realizar funciones de control local, rápidamente nos daremos cuenta de que, si los incluimos en la misma zona, el SLT debería ser el mismo para todos. Esto no es lógico y supondría ineficiencias en la inversión de seguridad. En este caso, la mejor solución pasa por definir dos zonas distintas, una para los PLC y otra para los equipos Windows, interconectadas mediante un “conducto” y enfocarse en asegurar cada una de estas zonas por separado, así como el conducto en sí mismo. El aseguramiento del conducto mediante un cortafuegos, por ejemplo, ya eleva el SLC de cada zona.

 

Ilustración Zonas y Conductos

 

Gestión de zonas y conductos

El principal objetivo de la separación de los diferentes elementos dentro de una red industrial, en zonas y conductos, es crear una arquitectura de red cibersegura. Este modelo de arquitectura de red no es único, sino que está basado en guías de buenas prácticas, experiencias y, sobre todo, en las necesidades y limitaciones de cada caso en particular, por lo que pueden coexistir diferentes aproximaciones de arquitecturas seguras, incluso dentro de una misma empresa. Aun así, debemos tener en consideración al menos un mínimo de zonas y conductos para que ésta se considere segura, los cuales se basan en la pirámide de automatización ISA-95, segregando la red al menos en una “zona” por cada nivel de dicha pirámide de automatización.

En la siguiente imagen, se ve reflejada una arquitectura posible (recordemos que no tiene por ser única), la cual daría solución a una arquitectura de red segura basada en zonas y conductos.

 

Ilustración Arquitectura segura diseñada mediante Zonas y Conductos

 

Las zonas y los conductos deben quedar definidos en un documento y éstos deberán tener una serie de campos que los definan, como pueden ser los explicados en el estándar ISA-62443-3-2, algunos de ellos son:

  • Nombre o identificador único de la zona/conducto
  • Límites lógicos
  • Límites físicos, si aplica
  • Lista de todos los puntos de acceso y de todos los activos implicados
  • Lista de todos los tipos de flujos de datos / protocolos asociados con cada punto de acceso
  • Zonas y conductos conectados
  • Lista de activos
  • Nivel de seguridad asignado

Los campos que definen las zonas o los conductos no están estandarizados, pero en algunas normativas o buenas prácticas, se pueden encontrar alguno de los más representativos, como los que se han enumerado, aun así estos campos deben personalizarse dependiendo del entorno industrial particular.

El documento final debe ser algo vivo, basado en la experiencia propia y en el sistema objetivo del análisis en cuestión. Por ejemplo, en una infraestructura en concreto, los dispositivos identificados dentro de una zona pueden pertenecer a diferentes “áreas de la empresa” (área de sistemas, área de telecomunicaciones, fabricantes, ingenieros de la operación, etc.). Disponer de esta información puede ser relevante cuando se define dicha zona, por lo que, para esta casuística en concreto, se pueden crear una serie de campos específicos para contemplar esta información relevante para el sistema objeto de estudio.

El resultado de esta definición de zonas y conductos es un documento donde todos los elementos identificados en un análisis de riesgos previo, dentro de la red industrial, pertenezcan inequívocamente a una zona determinada, y sus flujos de comunicación quedarán reflejados en el conducto correspondiente si esta comunicación se realiza entre zonas.

Elevando los niveles de seguridad de una zona

Existen varios métodos para elevar los niveles de seguridad de una zona, pero el más importante es un correcto diseño de la misma. Cuando nos enfrentamos a demasiados protocolos de comunicación entre zonas, es decir, un conducto demasiado extenso, deberemos plantearnos si realmente el tamaño de la zona  es el correcto.

En este caso, la solución puede pasar simplemente por crear diferentes “sub-zonas”, que agrupen características o riesgos y crear, de esta manera, varios “sub-conductos” diferentes entre dichas “sub-zonas”.

Una de las soluciones para controlar los conductos son los cortafuegos, que mediante reglas de control de acceso, permiten la comunicación entre zonas o la deniegan. Por lo general, este tipo de control permite construir reglas lo suficientemente granuladas y específicas para dar solución a nuestra demanda. Para realizar este tipo de reglas de la manera más restrictiva posible debemos crear la definición de dicho conducto lo más restrictivo posible. Esto nos permitirá trasladar rápidamente lo que previamente se había descrito en la definición de dicho conducto a las reglas de los propios cortafuegos.

Por ejemplo, identificamos un activo en una “zona” por su IP y su MAC, y dentro de un conducto permitimos tráfico SNMP para gestión de dicho dispositivo desde la red de administración y tráfico SNMP-Traps hacia el servidor que recibe este tipo de mensajes, cuya IP conocemos. En dicho conducto, permitir el tráfico SNMP de salida/entrada, mediante una regla en el cortafuegos, cumple con los requisitos de permiso sobre dicho tráfico, pero no cumple con las restricciones impuestas.

Se deben crear varias reglas sobre el protocolo SNMP, para la IP y MAC en concreto; una de salida exclusiva hacia la IP del servidor, permitiendo mensajes tipo SNMP-Traps; y otra que permita el tráfico SNMP para administración hacia la VLAN de administración, como aproximación mucho más acertada a las restricciones impuestas en dicho conducto. Posteriormente introducir cambios específicos resultará más fácil, si disminuimos el nivel de riesgo y queremos que en dicho conducto este dispositivo solo se comunique mediante la versión segura de SNMP, la versión 3. Simplemente, debemos introducir este cambio en la regla concreta, evitando colisiones con otros dispositivos por la utilización de reglas más generales.

Pero cuando se necesita un mayor control de las comunicaciones, por enfrentarnos a una infraestructura crítica, por ejemplo, para elevar el nivel de seguridad podemos utilizar otro tipo de elementos de red. Aquí entrarían elementos, como pueden ser cortafuegos transparentes, que por sus características específicas y sus capacidades para realizar DPI (inspección profunda de paquetes) pueden ser una pieza clave para elevar el nivel de seguridad de las redes industriales más críticas.

Otro elemento que resulta interesante en el caso de las infraestructuras críticas es el diodo de datos, que permite el flujo únicamente en un sentido, pudiendo por si solo controlar un conducto entre zonas, por ejemplo, entre la DMZ y la red interna. Adicionalmente, se puede añadir otro elemento de seguridad como un cortafuegos, para elevar el nivel de seguridad del tráfico saliente sobre dicho conducto, si fuera necesario.

Conclusiones

El diseño de una arquitectura de red segura, empleando un modelo basado en zonas y conductos, no es un proceso cerrado, sino que debe considerarse como un ciclo de mejora continuo. Este ciclo debe tener siempre en cuenta el análisis de riesgos y las políticas de seguridad que la infraestructura desea adoptar. Debemos realizar la iteración sobre estos cuatro elementos, siempre como mejora continua, disminuyendo el riesgo aceptado, elevando los requisitos de la política de seguridad y realizando los cambios en las zonas y conductos pertinentes para absorber esa mejora.

El último punto que cabe destacar es la realización de una serie de auditorías, bien internas, bien externas, que permitan mantener un control sobre las reglas de acceso implicadas en cada conducto, así como auditorías sobre los dispositivos dentro de cada zona, lo que complementará nuestra defensa en profundidad, elevando así el nivel de seguridad de toda la infraestructura, en general.

Etiquetas