5 recomendaciones para el despliegue de Redes OT seguras (Parte II)
Como continuación de esta entrada, proponemos las dos últimas recomendaciones: 4. Crea una DMZ (zona desmilitarizada) si es necesario que al servidor SCADA WEB accedan usuarios desde Internet y/o l...
Como continuación de esta entrada, proponemos las dos últimas recomendaciones:
4. Crea una DMZ (zona desmilitarizada) si es necesario que al servidor SCADA WEB accedan usuarios desde Internet y/o la red OT.
Una zona desmilitarizada o DMZ es una red intermedia que se crea entre otras dos redes a través de dos firewalls. La finalidad de esta red intermedia es que la información/aplicación que quiera ser compartida por los usuarios de las redes principales se ubique en dicha red intermedia, permitiendo por un lado dicho acceso, pero evitando el tráfico y acceso directo entre las dos redes principales.
En la figura se observa cómo entre la red A ó IT (192.168.1.X) y la red B u OT (193.167.1.X), se ha creado una red intermedia, la DMZ, con su propio rango de direcciones IP (202.168.1.Y). En esta red intermedia se ubican las aplicaciones y/o información que es necesario que sea compartida por los usuarios de las redes IT y OT (las soluciones MES o un Historian-Replicado para que los datos de proceso sean accesible desde IT) o los servidores que deben estar accesibles desde el exterior (SCADA Web Server).
5. Incorpora firewalls industriales DPI (Deep Packet Inspection) entre los servidores SCADA y los PLCs para garantizar la seguridad del proceso ante posibles amenazas y acciones maliciosas.
Los firewalls industriales DPI se ubican entre los sistemas SCADA y los PLCs garantizando su seguridad, y por tanto la del proceso. El hecho de que realicen DPI implica que bloquean malware construido sobre protocolos típicamente IT. Es decir, la mayoría del malware no está construido sobre protocolos industriales. Al poder definir reglas de segmentación específicas por protocolo industrial (Modbus, Profinet, OPC, Ethernet/IP, DNP3) este tráfico no estaría permitido.
Además, permite realizar segmentación de tráfico que no es conforme al “estandar” del protocolo industrial seleccionado e incluso definir reglas de segmentación por Function Codes específicas de protocolos como Modbus o Ethernet IP. Por ejemplo, si el protocolo utilizado es Modbus TCP/IP es posible definir una regla que no permita a un maestro ejecutar las “function codes” 05 “write cole” y 06 “write register” sobre un esclavo.
Esperamos que estas recomendaciones para el despliegue de Redes OT seguras os hayan sido de utilidad.
