5 recomendações para a implementação de Redes OT seguras (Parte II)
Dando seguimento a esta publicação, propomos as duas últimas recomendações: 4. Crie uma DMZ (zona desmilitarizada) se for necessário que utilizadores acedam ao servidor SCADA WEB a partir da Int...
Dando seguimento a esta publicação, propomos as duas últimas recomendações:
4. Crie uma DMZ (zona desmilitarizada) se for necessário que utilizadores acedam ao servidor SCADA WEB a partir da Internet e/ou da rede OT.
Uma zona desmilitarizada ou DMZ é uma rede intermédia que é criada entre outras duas redes através de duas firewalls. A finalidade desta rede intermédia é que a informação/aplicação que pretenda ser partilhada pelos utilizadores das redes principais se localize nessa rede intermédia, permitindo, por um lado, esse acesso, mas evitando o tráfego e o acesso direto entre as duas redes principais.
Na figura, observa-se como entre a rede A ou IT (192.168.1.X) e a rede B ou OT (193.167.1.X), foi criada uma rede intermédia, a DMZ, com o seu próprio intervalo de endereços IP (202.168.1.Y). Nesta rede intermédia, localizam-se as aplicações e/ou informações que é necessário que sejam partilhadas pelos utilizadores das redes IT e OT (as soluções MES ou um Historian-Replicado para que os dados de processo sejam acessíveis a partir de IT) ou os servidores que devem estar acessíveis a partir do exterior (SCADA Web Server).
5. Incorpore firewalls industriais DPI (Deep Packet Inspection) entre os servidores SCADA e os PLCs para garantir a segurança do processo perante possíveis ameaças e ações maliciosas.
As firewalls industriais DPI localizam-se entre os sistemas SCADA e os PLCs, garantindo a sua segurança e, por conseguinte, a do processo. O facto de realizarem DPI implica que bloqueiam malware construído sobre protocolos tipicamente IT. Ou seja, a maioria do malware não é construída sobre protocolos industriais. Ao poder definir regras de segmentação específicas por protocolo industrial (Modbus, Profinet, OPC, Ethernet/IP, DNP3), este tráfego não seria permitido.
Além disso, permite realizar segmentação de tráfego que não está em conformidade com o “padrão” do protocolo industrial selecionado e, inclusive, definir regras de segmentação por Function Codes específicas de protocolos como Modbus ou Ethernet IP. Por exemplo, se o protocolo utilizado for Modbus TCP/IP, é possível definir uma regra que não permita a um mestre executar as “function codes” 05 “write cole” e 06 “write register” sobre um escravo.
Esperamos que estas recomendações para a implementação de Redes OT seguras vos tenham sido úteis.
