Segmentación y fortificación de redes OT: El diodo de datos
La incorporación de dispositivos que fortifiquen el acceso perimetral y la correcta segmentación de redes, es una de las contramedidas básicas que deben considerarse dentro de una estrategia de def...
La incorporación de dispositivos que fortifiquen el acceso perimetral y la correcta segmentación de redes es una de las contramedidas básicas que deben considerarse dentro de una estrategia de defensa en profundidad.
¿Por qué es tan importante la fortificación de redes?
El hecho de carecer de dispositivos que permitan el acceso seguro a la red OT, no configurarlos correctamente, desplegarlos con configuraciones por defecto y/o la falta de políticas de segmentación de red, hacen que los equipos, procesos y sistemas ubicados en el entorno de operaciones sean más vulnerables a amenazas tanto externas como internas.
Teniendo en cuenta la arquitectura de red existente en cada planta y la criticidad de los procesos, se deben adoptar las soluciones de segmentación y fortificación más apropiadas. En cualquier caso, considerando la idiosincrasia de los entornos OT y de cara a incrementar la seguridad de sus redes industriales, es imprescindible auditar su estado; inventariando los dispositivos que se conectan a ellas, identificando los medios a través de los cuáles son accesibles y analizando su grado de segmentación.
Una de las herramientas más usadas para la fortificación de redes es el diodo de datos. Se trata de un dispositivo hardware (no existe firmware como el caso de los firewalls) que separa/protege dos redes asegurando la unidireccionalidad en el flujo de información asegurando que la información de una red llegue a otra red (pero no viceversa). Es altamente recomendables para entornos realmente críticos en los que es necesario dotar a las infraestructuras de un nivel de seguridad casi infranqueable.
Entre las alternativas a tener en cuenta se encuentra el diodo de datos de FOX IT: se compone de un hardware que asegura la unidireccionalidad en el tránsito de información (a través de transceptores de fibra óptica) y de dos servidores (denominados proxies). Estos incorporan aplicaciones específicas para transmitir unidireccionalmente la información que se maneja en infraestructuras críticas y en entornos industriales sobre protocolos como Modbus u OPC, o que se almacena sobre bases de datos industriales como OSIsoft PI o Wonderware Historian.
La clave de este diodo de datos reside en que es capaz de interpretar protocolos bidireccionales (típico, TCP, que requiere el handshaking de tres vías), “romperlos” y convertirlos en unidireccionales (entre los proxies y el hardware del diodo) para luego presentarlos en la red no comprometida de nuevo como bidireccionales.
Para tener una información más precisa y completa sobre el funcionamiento de este diodo de datos, FoxIT ha organizado el webinar ‘Seamless integration of Active Directory with the Fox DataDiode!’ para el próximo 29 de marzo. Se puede acceder al formulario del mismo desde el siguiente enlace.
