Redes OT: Segmentación y protección a través de diodo de datos.

Actualmente, este tipo de tecnología también se está aplicando en entornos de red OT con el propósito de asegurar la disponibilidad de los sistemas de control.

Los diodos de datos surgen entre los años 80 y 90 en los sectores de defensa y banca principalmente, como mecanismo  de protección de redes y sistemas que manejaban información confidencial. Actualmente, este tipo de tecnología también se está aplicando en entornos de red OT con el propósito de asegurar la disponibilidad de los sistemas de control.

La aparición de diferentes APTs, ha hecho que este tipo de solución se extienda cada vez más en los entornos OT. Actualmente las redes de control o de operaciones (OT) y las redes que conectan los sistemas transaccionales (IT) suelen estar integradas. Esto es debido a que ambos entornos necesitan compartir información entre ellos, en tiempo real en muchas ocasiones, y además, a que se suele requerir que esta información así como algunas aplicaciones de supervisión y control de proceso, sean accesibles desde el exterior de la planta. Esto hace necesario dispositivos de segmentación como el diodo de datos, que permitan esta integración de forma segura.

Redes OT y diodo de datos

El diodo de datos se compone del hardware que asegura la unidireccionalidad en el tránsito de información (a través de transceptores de fibra óptica) y de dos servidores (denominados proxies). Estos incorporan aplicaciones específicas para transmitir unidireccionalmente información que se maneja en infraestructuras críticas y en entornos industriales sobre protocolos como Modbus u OPC, o que se almacena sobre bases de datos industriales como OSIsoft PI o Wonderware Historian.

Cada proxy mantiene comunicaciones bidireccionales entre él y las redes IT y OT respectivamente, sin embargo entre ellos, a través del diodo, la comunicación es unidireccional. La clave del diodo de datos es ésta, es capaz de interpretar protocolos bidireccionales (típico, TCP, que requiere el handshaking de tres vías), “romperlos” y convertirlos en unidireccionales (entre los proxies y el hardware del diodo) y luego presentarlos en la red no comprometida de nuevo como bidireccionales.

Para más información, puedes consultar nuestro microsite.