O que é uma firewall industrial DPI (Deep Packet Inspection)?

No whitepaper “Melhores práticas para a segmentação e fortificação de redes industriais”, foi introduzido o conceito de firewall. Foi definido como um dispositivo de hardware ou aplicação de software que monitoriza e controla o tráfego que flui entre duas redes e interceta o tráfego não autorizado, comparando cada unidade de informação (pacote, segmento, datagrama ou trama, dependendo do nível em que trabalha) com uma série de regras predefinidas.

Por que razão um firewall pode ser qualificado como industrial? Porque:

• Foram concebidos de forma específica a pensar nos ambientes ambientais e na operação das redes industriais.

• A sua instalação e implementação não é intrusiva nem invasiva.

• A sua configuração e módulos de gestão de regras são fáceis de utilizar.

• Incorporam funcionalidades específicas que permitem aumentar a segurança das redes OT.

O que se entende por DPI (Deep Packet Inspection)?

Consoante o tipo de funcionamento, existem diferentes tipos de firewalls.

• Os mais simples são os firewalls que funcionam ao nível da rede (camada 3 do modelo OSI). Entre estes, estão os Packet Filter Firewalls, ou seja, aqueles que definem regras básicas sem considerar relações entre pacotes, e os Stateful Firewalls, que permitem parametrizar e aplicar regras de segmentação considerando relações entre pacotes de informação.

• Os que funcionam sobre a camada 7 do modelo OSI, recebem o nome de Application Firewalls ou Proxy Firewalls. Neste caso, baseiam-se numa análise a um nível mais alto que tem em conta os parâmetros específicos de cada aplicação. Alguns exemplos de protocolos típicos sobre os quais se realizam regras de segmentação são HTTP, SMTP, Telnet, FTP…

• Por último, um firewall DPI (o mais sofisticado) é aquele que pode filtrar por protocolos/tipos de ficheiros específicos, como SOAP ou XML (por exemplo, em ambientes transacionais).

E o que significa que um firewall realiza DPI em ambientes industriais ou de infraestruturas?

• É um firewall que é implementado fisicamente entre os sistemas SCADA, HMI (nível II da ISA95) e os dispositivos de campo, como os PLCs, DCSs, RTUs (nível I da ISA95).

• Bloqueia malware construído sobre protocolos tipicamente IT. Ou seja, a maioria do malware não é construída sobre protocolos industriais. Ao poder definir regras de segmentação específicas por protocolo industrial (Modbus, Profinet, OPC, Ethernet/IP, DNP3), este tráfego não seria permitido.

• Segmenta tráfego que não está em conformidade com o “padrão” do protocolo industrial selecionado.

• Permite definir regras de segmentação por Function Codes específicas de protocolos como Modbus ou Ethernet IP.

Na tabela seguinte, resumem-se as principais diferenças entre os firewalls tradicionais e os industriais.

Para mais informações, recomendamos que leia este whitepaper.