5 recomendaciones para el despliegue de Redes OT seguras (Parte I)

El surgimiento de diferentes formas de ciberterrorismo y cibercrimen, la proliferación del acceso web a los sistemas SCADA, la estandarización de tecnologías IT en el ámbito industrial y la adopción de los paradigmas cloud, móvil y BYOD hacen que sea necesario prestar especial atención al despliegue seguro en las redes OT (Operation Technology) de las tecnologías proporcionadas por los principales fabricantes de PLCs y SCADA (Wonderware, Siemens, Rockwell, Schneider, etc).

Aunque muchas de estas tecnologías son “secure by design”, esto no garantiza la protección frente a la gran cantidad de amenazas que en entornos industriales y de infraestructuras surgen en la actualidad.

En una serie de entradas, queremos proponer hasta cinco  recomendaciones que os permitirán dotar de mayor seguridad a una red OT:

1.  Utiliza siempre que sea posible switches industriales gestionables.

El MTBF de estos switches es mucho mayor que los switches transaccionales, el hecho de ser gestionables les permitirá mayor flexibilidad en su configuración y pueden proporcionarse con características especiales para entornos específicos (carril DIN, IP20, IP67, alta disponibilidad, redundancia, aprobaciones específicas como la IEC61850, protocolos industriales como Profibus o EhternetIP, etc).

2.  Segmenta físicamente la red IT y la red OT donde se han instalado las tecnologías de tiempo real (PLCs, SCADA, HMI, etc) utilizando firewalls/routers industriales.

En la figura puede observarse cómo el dispositivo Firewall/Router separa dos segmentos de red (la red A ó IT con rango de direcciones IP 192.168.1.X y la red B u OT con rango de direcciones IP 193.167.1.X). Además de separar ambas redes, el dispositivo actúa como firewall bloqueando el tráfico no permitido entre ambos segmentos de red.
Normalmente este tipo de mecanismo de segmentación puede ser configurado para que realice NAT (Network Address Translation) 1:1, es decir, los equipos ubicados en la red IT sólo ven la dirección IP de la tarjeta de red del router que comunica con los equipos ubicados en la red OT, incrementando así la seguridad en el tránsito de información entre ambas redes.

3.  Evita utilizar VLAN para separar IT y OT.

Si lo haces dentro del propio entorno OT, no realices “truncking” entre switches para comunicar equipos servidores y clientes. Si por necesidades muy específicas tienes que hacerlo, filtra el tráfico entre switches/VLAN utilizando firewalls industriales compatibles con el estándar IEEE 802.1Q

En la próxima entrada os propondremos otras dos recomendaciones.