La implementaci\u00f3n de una barrera protectora industrial puede fortalecer la confiabilidad de la planta y la seguridad de las redes de control.<\/p>\n
Li Peng<\/p>\n
La barrera protectora industrial adecuada puede reforzar la seguridad y la fiabilidad de los sistemas de control. Las redes de control industrial ayudan a facilitar operaciones eficientes y seguras en sectores vitales, como servicios p\u00fablicos, petr\u00f3leo y gas, agua, transporte y manufactura. Una red de control resiliente se basa en una red que puede detectar y filtrar eficazmente el tr\u00e1fico no deseado.<\/p>\n
Tradicionalmente, algunas redes de control industrial est\u00e1n f\u00edsicamente aisladas o con huecos de aire para garantizar la seguridad de la red. En la actualidad, tal vez no sea la mejor pr\u00e1ctica porque los sistemas de control est\u00e1n cada vez m\u00e1s interconectados para intercambiar datos y permitir una automatizaci\u00f3n m\u00e1s inteligente.<\/p>\n
Una preocupaci\u00f3n importante de las redes convergentes es la aparici\u00f3n de una nueva clase de amenazas que apunta a los sistemas de automatizaci\u00f3n industrial. Las redes heredadas son particularmente vulnerables a ataques de red maliciosos a operaciones no intencionadas debido a que no practican las mejores medidas de seguridad. Una vez comprometidas, estas redes legadas pueden convertirse en puertas traseras que permiten a los atacantes y al personal no autorizado acceder a la red de la planta a partir de redes empresariales u otras redes industriales.<\/p>\n
Para abordar las cuestiones de la seguridad de las redes para los sistemas de control industrial, se requiere una clara comprensi\u00f3n de los desaf\u00edos de seguridad y medidas de defensa eficaces. Se puede aplicar un enfoque de \u00abdefensa en profundidad\u00bb a los sistemas de control industrial para la protecci\u00f3n de equipos cr\u00edticos y la ampliaci\u00f3n de la cobertura de seguridad en las redes de automatizaci\u00f3n en varios lugares, celdas de dispositivos, zonas funcionales y emplazamientos de f\u00e1brica.<\/p>\n
La elecci\u00f3n del equipo de seguridad de red industrial adecuado puede ser la clave del \u00e9xito. Hay siete cosas a tomar en cuenta al embarcarse en este tipo de proyecto:<\/p>\n
La implementaci\u00f3n de una barrera protectora en redes de control industrial puede ser un proceso complicado debido a varios problemas, como reconfiguraci\u00f3n de direcciones IP, cambios de topolog\u00eda de red y compatibilidad con redes existentes. La primera consideraci\u00f3n es determinar el tipo de firewall adecuado para su red.<\/p>\n
Generalmente, una barrera de seguridad proporciona dos opciones de filtrado, enrutadas y transparentes (o puenteadas), para atender a diferentes topolog\u00edas de red.<\/p>\n
Hay dos opciones de conectividad:<\/p>\n
Un firewall enrutado act\u00faa como un nodo L3 y protege las redes conectadas a sus dos interfaces l\u00f3gicas. Un firewall enrutado participa en el proceso IP y puede realizar tareas como la traducci\u00f3n de direcciones de red (NAT) y el reenv\u00edo de puertos. Aunque una barrera protectora enrutada proporciona la mayor capacidad y flexibilidad, puede ser necesaria una configuraci\u00f3n de red sustancial.<\/p>\n
Un firewall transparente es adecuado para proteger dispositivos cr\u00edticos o equipos dentro de una red de control donde el tr\u00e1fico de red se intercambia dentro de una sola subred. Una barrera protectora transparente no participa en el proceso de enrutamiento y puede instalarse en la red sin tener que reconfigurar subredes IP.<\/p>\n
En la mayor\u00eda de las aplicaciones de control industrial, el tiempo de respuesta es un factor cr\u00edtico. Cuando los firewalls se implementan en una red de control, los procesos de filtrado de datos que se realizan generan latencia. Muchos vendedores reclaman el m\u00e1ximo rendimiento de sus firewalls basados \u200b\u200ben el punto de referencia de filtrar datos usando una regla de firewall.<\/p>\n
En el mundo real, se pueden activar cientos de reglas de firewall para filtrar el tr\u00e1fico en una red de control, poniendo dudas sobre el rendimiento real del firewall. Una barrera protectora industrial debe minimizar la interrupci\u00f3n de los datos de control y permitir el mayor rendimiento posible entre controladores y dispositivos de entrada \/ salida (E \/ S). Adem\u00e1s, el rendimiento de filtrado de datos debe ser coherente para varios tipos y tama\u00f1os de paquetes de control de tr\u00e1fico. En aplicaciones generales de automatizaci\u00f3n, se requiere un tiempo de respuesta en milisegundos para permitir aplicaciones en tiempo real, tales como control de procesos, sistemas de control distribuido (DCS) y adquisici\u00f3n de datos.<\/p>\n
La mayor\u00eda de los protocolos industriales utilizan protocolo de control de transmisi\u00f3n \/ protocolo de Internet (TCP \/ IP) o protocolo de datagrama de usuario (UDP) como base de comunicaci\u00f3n para la transmisi\u00f3n de datos. Las barreras protectoras generales pueden filtrar los datos en la capa IP (IP) o en el control de acceso a medios (MAC) para impedir cualquier acceso no autorizado a equipos cr\u00edticos. Tradicionalmente, los firewalls niegan todo el tr\u00e1fico entrante y permiten s\u00f3lo tr\u00e1fico de ida o de ida y vuelta con listas blancas de firewall (una lista de correos electr\u00f3nicos y sitios web considerados como libres de correo basura). Sin embargo, la lista blanca s\u00f3lo bloquea cualquier host no autorizado, pero concede acceso a todos los hosts autorizados en la capa IP o MAC.<\/p>\n
A medida que aumenta la complejidad de la red, la lista blanca del control de tr\u00e1fico es inadecuada para proporcionar seguridad de red efectiva para aplicaciones industriales. Aunque la lista blanca protege el acceso no autorizado a dispositivos industriales, no es eficaz para controlar los comandos de datos. Se necesitan barreras protectoras bien dise\u00f1adas que permitan o denieguen tr\u00e1fico basado en protocolos para permitir verificaciones de los comandos de control de datos en la capa de aplicaci\u00f3n.<\/p>\n
Para aplicaciones industriales, los firewalls se encuentran a menudo en armarios bajo condiciones severas, tales como altas temperaturas y vibraciones. En este caso, el dise\u00f1o robusto de la barrera de protecci\u00f3n es tan importante como su rendimiento. Una barrera de protecci\u00f3n para aplicaciones industriales debe cumplir con los est\u00e1ndares espec\u00edficos de la industria, que podr\u00edan incluir requisitos variados dependiendo de la industria, tales como petr\u00f3leo y gas, transporte, ferrocarril o automatizaciones de f\u00e1brica.<\/p>\n
Independientemente del tipo de barrera protectora industrial implementada, el registro de sucesos es fundamental para garantizar que las reglas del firewall se implementen y funcionen correctamente.<\/p>\n
Adem\u00e1s, los registros permiten a los administradores supervisar lo que est\u00e1 sucediendo en la red de control. Es igualmente importante un buen plan de mantenimiento de archivos para registros que permita la revisi\u00f3n de cualquier evento de seguridad o d\u00edas de problemas, semanas e incluso meses despu\u00e9s de que ocurran. Los administradores tambi\u00e9n pueden revisar estos registros para evaluar la intensidad de las pol\u00edticas de firewall actuales, lo que conduce a mejoras continuas de seguridad.<\/p>\n
Seg\u00fan un experto en TI de una importante compa\u00f1\u00eda petrolera en los Estados Unidos, una barrera protectora debe ser capaz de enviar eventos de protocolo de administraci\u00f3n de red (SNMP) con un nivel de severidad de emergencia que requiere atenci\u00f3n inmediata. Esto significa que un firewall industrial debe proporcionar la flexibilidad de configuraci\u00f3n que permite a los administradores definir un nivel de gravedad para cada regla de firewall y crear un registro para cada evento activado. Para evitar que la bandeja de entrada de su correo electr\u00f3nico se inunde con notificaciones para todos los eventos, un servidor de seguridad debe ofrecer la opci\u00f3n de permitir al administrador de red deshabilitar notificaciones autom\u00e1ticas para eventos no cr\u00edticos.<\/p>\n
En aplicaciones industriales, puede haber cientos o miles de barreras protectoras instaladas para controlar el tr\u00e1fico de datos y proteger el equipo de campo contra ataques maliciosos. Como el m\u00e9todo m\u00e1s utilizado, una lista blanca de firewall s\u00f3lo permite tr\u00e1fico espec\u00edfico en una red.<\/p>\n
Esto plantea la cuesti\u00f3n de lo f\u00e1cil que es cambiar las reglas de la barrera protectora para los muchos firewalls en el campo una vez que un nuevo servicio se introduce en una red de control. Existen dos maneras de implementar masivamente reglas de barreras protectoras: comando por lotes (a trav\u00e9s de la interfaz de l\u00ednea de comandos) y software de administraci\u00f3n de barreras protectoras centralizado. Ambos son f\u00e1ciles de usar y son m\u00e9todos efectivos de despliegue masivo. El uso de uno u otro depende de la preferencia del administrador de la red. Una soluci\u00f3n de barrera protectora industrial debe incluir ambas opciones.<\/p>\n
La configuraci\u00f3n y despliegue de barreras protectoras en una red de control industrial requiere administradores capacitados que sean capaces de dise\u00f1ar reglas de firewall eficaces. Es importante que los proveedores de barreras protectoras proporcionen interfaces de configuraci\u00f3n intuitivas y f\u00e1ciles de usar para automatizar el proceso de configuraci\u00f3n. Una barrera protectora industrial debe incluir una interfaz de l\u00ednea de comandos, una interfaz gr\u00e1fica de usuario y un asistente de configuraci\u00f3n de barrera protectora para permitir a los administradores instalar la barrera protectora en el campo.<\/p>\n
Hoy en d\u00eda, existen muchos est\u00e1ndares y regulaciones que definen directrices de seguridad de red para sistemas de control industrial, como ISA \/ IEC 62443 para aplicaciones de automatizaci\u00f3n industrial. Adem\u00e1s, el Instituto Nacional de Est\u00e1ndares y Tecnolog\u00eda (NIST) tambi\u00e9n public\u00f3 el est\u00e1ndar SP800-82 para guiar a los profesionales de la red que supervisan los sistemas de control industrial y se encargan del despliegue de cortafuegos para proteger dispositivos y equipos industriales cr\u00edticos.<\/p>\n
La implementaci\u00f3n de firewalls industriales eficaces y confiables para asegurar las redes de control garantizar\u00e1 el m\u00e1ximo tiempo de actividad del sistema.<\/p>\n
\n
– Li Peng es gerente de productos de Moxa.<\/p>\n","protected":false},"excerpt":{"rendered":"
La implementaci\u00f3n de una barrera protectora industrial puede fortalecer la confiabilidad de la planta y la seguridad de las redes de control. Li Peng La barrera protectora industrial adecuada puede reforzar la seguridad y la fiabilidad de los sistemas de control. Las redes de control industrial ayudan a facilitar operaciones eficientes y seguras en sectores vitales, como servicios p\u00fablicos, petr\u00f3leo y gas, agua, transporte y manufactura. Una red de control resiliente se basa en una red que puede detectar y… Leer m\u00e1s<\/a><\/p>\n","protected":false},"author":3,"featured_media":1216,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[177,22],"tags":[],"class_list":["post-1215","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-industria","category-mantenimiento-industrial"],"_links":{"self":[{"href":"https:\/\/easy-maint.net\/blog_easymaint\/wp-json\/wp\/v2\/posts\/1215","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/easy-maint.net\/blog_easymaint\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/easy-maint.net\/blog_easymaint\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/easy-maint.net\/blog_easymaint\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/easy-maint.net\/blog_easymaint\/wp-json\/wp\/v2\/comments?post=1215"}],"version-history":[{"count":1,"href":"https:\/\/easy-maint.net\/blog_easymaint\/wp-json\/wp\/v2\/posts\/1215\/revisions"}],"predecessor-version":[{"id":1630,"href":"https:\/\/easy-maint.net\/blog_easymaint\/wp-json\/wp\/v2\/posts\/1215\/revisions\/1630"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/easy-maint.net\/blog_easymaint\/wp-json\/wp\/v2\/media\/1216"}],"wp:attachment":[{"href":"https:\/\/easy-maint.net\/blog_easymaint\/wp-json\/wp\/v2\/media?parent=1215"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/easy-maint.net\/blog_easymaint\/wp-json\/wp\/v2\/categories?post=1215"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/easy-maint.net\/blog_easymaint\/wp-json\/wp\/v2\/tags?post=1215"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}