¿Qué es un firewall industrial DPI (Deep Packet Inspection)?

En el whitepaper «Mejores prácticas para la segmentación y fortificación de redes industriales» se introducía el concepto de firewall. Se definía como un dispositivo hardware o aplicación software que monitoriza y controla el tráfico que fluye entre dos redes e intercepta el tráfico no autorizado comparando cada unidad de información (paquete, segmento, datagrama o trama, dependiendo del nivel al que trabaje) con una serie de reglas predefinidas.

¿Por qué un firewall puede ser calificado como industrial? Porque:

• Se han diseñado de forma específica pensando en los entornos ambientales y operación de las redes industriales.

• Su instalación y despliegue no es intrusiva ni invasiva.

• Su configuración y módulos de gestión de reglas son fáciles de utilizar.

• Incorporan funcionalidades específicas que permiten incrementar la seguridad de las redes OT.

¿Qué se entiende por DPI (Deep Packet Inspection)?

Según el tipo de funcionamiento, existen diferentes tipos de firewalls.

• Los más sencillos son los firewalls que funcionan a nivel red (capa 3 del modelo OSI). Entre estos están los Packet Filter Firewalls, es decir aquellos que definen reglas básicas sin considerar relaciones entre paquetes y los Stateful Firewalls, que permiten parametrizar y aplicar reglas de segmentación considerando relaciones entre paquetes de información.

• Los que funcionan sobre la capa 7 del modelo OSI, reciben el nombre de Application Firewalls o Proxy Firewalls. En este caso se basan en un análisis a un nivel más alto que tiene en cuenta los parámetros específicos de cada aplicación. Algunos ejemplos de protocolos típicos sobre los que se realizan reglas de segmentación son HTTP, SMTP, Telnet, FTP…

• Por último, un firewall DPI (el más sofisticado) es aquel que puede filtrar por protocolos/tipos de archivos específicos, como SOAP o XML (por ejemplo en entornos transaccionales).

¿Y qué significa que un firewall realiza DPI en entornos industriales o de infraestructuras?

• Es un firewall que se despliega físicamente entre los sistemas SCADA, HMI (nivel II de la ISA95) y los dispositivos de campo como los PLCs, DCSs, RTUs (nivel I de la ISA95).

• Bloquea malware construido sobre protocolos típicamente IT. Es decir, la mayoría del malware no está construido sobre protocolos industriales. Al poder definir reglas de segmentación específicas por protocolo industrial (Modbus, Profinet, OPC, Ethernet/IP, DNP3) este tráfico no estaría permitido.

• Segmenta tráfico que no es conforme al «estandar» del protocolo industrial seleccionado.

• Permite definir reglas de segmentación por Function Codes específicas de protocolos como Modbus o Ethernet IP.

En la siguiente tabla, se resumen las principales diferencias entre los firewalls tradicionales y los industriales.

Para más información, te recomendamos que leas este whitepaper.