La implementación de una barrera protectora industrial puede fortalecer la confiabilidad de la planta y la seguridad de las redes de control.
Li Peng
La barrera protectora industrial adecuada puede reforzar la seguridad y la fiabilidad de los sistemas de control. Las redes de control industrial ayudan a facilitar operaciones eficientes y seguras en sectores vitales, como servicios públicos, petróleo y gas, agua, transporte y manufactura. Una red de control resiliente se basa en una red que puede detectar y filtrar eficazmente el tráfico no deseado.
Tradicionalmente, algunas redes de control industrial están físicamente aisladas o con huecos de aire para garantizar la seguridad de la red. En la actualidad, tal vez no sea la mejor práctica porque los sistemas de control están cada vez más interconectados para intercambiar datos y permitir una automatización más inteligente.
Una preocupación importante de las redes convergentes es la aparición de una nueva clase de amenazas que apunta a los sistemas de automatización industrial. Las redes heredadas son particularmente vulnerables a ataques de red maliciosos a operaciones no intencionadas debido a que no practican las mejores medidas de seguridad. Una vez comprometidas, estas redes legadas pueden convertirse en puertas traseras que permiten a los atacantes y al personal no autorizado acceder a la red de la planta a partir de redes empresariales u otras redes industriales.
Para abordar las cuestiones de la seguridad de las redes para los sistemas de control industrial, se requiere una clara comprensión de los desafíos de seguridad y medidas de defensa eficaces. Se puede aplicar un enfoque de «defensa en profundidad» a los sistemas de control industrial para la protección de equipos críticos y la ampliación de la cobertura de seguridad en las redes de automatización en varios lugares, celdas de dispositivos, zonas funcionales y emplazamientos de fábrica.
Siete pasos para la seguridad
La elección del equipo de seguridad de red industrial adecuado puede ser la clave del éxito. Hay siete cosas a tomar en cuenta al embarcarse en este tipo de proyecto:
- No se requiere cambio de red
La implementación de una barrera protectora en redes de control industrial puede ser un proceso complicado debido a varios problemas, como reconfiguración de direcciones IP, cambios de topología de red y compatibilidad con redes existentes. La primera consideración es determinar el tipo de firewall adecuado para su red.
Generalmente, una barrera de seguridad proporciona dos opciones de filtrado, enrutadas y transparentes (o puenteadas), para atender a diferentes topologías de red.
Hay dos opciones de conectividad:
Un firewall enrutado actúa como un nodo L3 y protege las redes conectadas a sus dos interfaces lógicas. Un firewall enrutado participa en el proceso IP y puede realizar tareas como la traducción de direcciones de red (NAT) y el reenvío de puertos. Aunque una barrera protectora enrutada proporciona la mayor capacidad y flexibilidad, puede ser necesaria una configuración de red sustancial.
Un firewall transparente es adecuado para proteger dispositivos críticos o equipos dentro de una red de control donde el tráfico de red se intercambia dentro de una sola subred. Una barrera protectora transparente no participa en el proceso de enrutamiento y puede instalarse en la red sin tener que reconfigurar subredes IP.
- Filtrado de rendimiento y latencia
En la mayoría de las aplicaciones de control industrial, el tiempo de respuesta es un factor crítico. Cuando los firewalls se implementan en una red de control, los procesos de filtrado de datos que se realizan generan latencia. Muchos vendedores reclaman el máximo rendimiento de sus firewalls basados en el punto de referencia de filtrar datos usando una regla de firewall.
En el mundo real, se pueden activar cientos de reglas de firewall para filtrar el tráfico en una red de control, poniendo dudas sobre el rendimiento real del firewall. Una barrera protectora industrial debe minimizar la interrupción de los datos de control y permitir el mayor rendimiento posible entre controladores y dispositivos de entrada / salida (E / S). Además, el rendimiento de filtrado de datos debe ser coherente para varios tipos y tamaños de paquetes de control de tráfico. En aplicaciones generales de automatización, se requiere un tiempo de respuesta en milisegundos para permitir aplicaciones en tiempo real, tales como control de procesos, sistemas de control distribuido (DCS) y adquisición de datos.
- Filtrado de protocolos industriales
La mayoría de los protocolos industriales utilizan protocolo de control de transmisión / protocolo de Internet (TCP / IP) o protocolo de datagrama de usuario (UDP) como base de comunicación para la transmisión de datos. Las barreras protectoras generales pueden filtrar los datos en la capa IP (IP) o en el control de acceso a medios (MAC) para impedir cualquier acceso no autorizado a equipos críticos. Tradicionalmente, los firewalls niegan todo el tráfico entrante y permiten sólo tráfico de ida o de ida y vuelta con listas blancas de firewall (una lista de correos electrónicos y sitios web considerados como libres de correo basura). Sin embargo, la lista blanca sólo bloquea cualquier host no autorizado, pero concede acceso a todos los hosts autorizados en la capa IP o MAC.
A medida que aumenta la complejidad de la red, la lista blanca del control de tráfico es inadecuada para proporcionar seguridad de red efectiva para aplicaciones industriales. Aunque la lista blanca protege el acceso no autorizado a dispositivos industriales, no es eficaz para controlar los comandos de datos. Se necesitan barreras protectoras bien diseñadas que permitan o denieguen tráfico basado en protocolos para permitir verificaciones de los comandos de control de datos en la capa de aplicación.
- Diseño de grado industrial para ambientes hostiles
Para aplicaciones industriales, los firewalls se encuentran a menudo en armarios bajo condiciones severas, tales como altas temperaturas y vibraciones. En este caso, el diseño robusto de la barrera de protección es tan importante como su rendimiento. Una barrera de protección para aplicaciones industriales debe cumplir con los estándares específicos de la industria, que podrían incluir requisitos variados dependiendo de la industria, tales como petróleo y gas, transporte, ferrocarril o automatizaciones de fábrica.
- Registro y notificación de sucesos de la barrera protectora
Independientemente del tipo de barrera protectora industrial implementada, el registro de sucesos es fundamental para garantizar que las reglas del firewall se implementen y funcionen correctamente.
Además, los registros permiten a los administradores supervisar lo que está sucediendo en la red de control. Es igualmente importante un buen plan de mantenimiento de archivos para registros que permita la revisión de cualquier evento de seguridad o días de problemas, semanas e incluso meses después de que ocurran. Los administradores también pueden revisar estos registros para evaluar la intensidad de las políticas de firewall actuales, lo que conduce a mejoras continuas de seguridad.
Según un experto en TI de una importante compañía petrolera en los Estados Unidos, una barrera protectora debe ser capaz de enviar eventos de protocolo de administración de red (SNMP) con un nivel de severidad de emergencia que requiere atención inmediata. Esto significa que un firewall industrial debe proporcionar la flexibilidad de configuración que permite a los administradores definir un nivel de gravedad para cada regla de firewall y crear un registro para cada evento activado. Para evitar que la bandeja de entrada de su correo electrónico se inunde con notificaciones para todos los eventos, un servidor de seguridad debe ofrecer la opción de permitir al administrador de red deshabilitar notificaciones automáticas para eventos no críticos.
- Fácil implementación masiva de reglas de barreras protectoras
En aplicaciones industriales, puede haber cientos o miles de barreras protectoras instaladas para controlar el tráfico de datos y proteger el equipo de campo contra ataques maliciosos. Como el método más utilizado, una lista blanca de firewall sólo permite tráfico específico en una red.
Esto plantea la cuestión de lo fácil que es cambiar las reglas de la barrera protectora para los muchos firewalls en el campo una vez que un nuevo servicio se introduce en una red de control. Existen dos maneras de implementar masivamente reglas de barreras protectoras: comando por lotes (a través de la interfaz de línea de comandos) y software de administración de barreras protectoras centralizado. Ambos son fáciles de usar y son métodos efectivos de despliegue masivo. El uso de uno u otro depende de la preferencia del administrador de la red. Una solución de barrera protectora industrial debe incluir ambas opciones.
- Interfaz de configuración intuitiva
La configuración y despliegue de barreras protectoras en una red de control industrial requiere administradores capacitados que sean capaces de diseñar reglas de firewall eficaces. Es importante que los proveedores de barreras protectoras proporcionen interfaces de configuración intuitivas y fáciles de usar para automatizar el proceso de configuración. Una barrera protectora industrial debe incluir una interfaz de línea de comandos, una interfaz gráfica de usuario y un asistente de configuración de barrera protectora para permitir a los administradores instalar la barrera protectora en el campo.
Hoy en día, existen muchos estándares y regulaciones que definen directrices de seguridad de red para sistemas de control industrial, como ISA / IEC 62443 para aplicaciones de automatización industrial. Además, el Instituto Nacional de Estándares y Tecnología (NIST) también publicó el estándar SP800-82 para guiar a los profesionales de la red que supervisan los sistemas de control industrial y se encargan del despliegue de cortafuegos para proteger dispositivos y equipos industriales críticos.
La implementación de firewalls industriales eficaces y confiables para asegurar las redes de control garantizará el máximo tiempo de actividad del sistema.
– Li Peng es gerente de productos de Moxa.