Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Cortafuegos industriales, el principal elemento de defensa de tu SCI

Fecha de publicación 21/02/2019
Autor
INCIBE (INCIBE)
Cortafuegos

La evolución de las redes industriales hacía la interconexión con las redes corporativas ha supuesto una mejora a la hora de incrementar la productividad y reducir costes, sin embargo, esta interconexión implica una serie de riesgos que aumentan la exposición de las redes industriales, tradicionalmente aisladas. Uno de los principales elementos que permiten aumentar el nivel de seguridad y paliar la exposición de los sistemas, ya no sólo en los entornos industriales sino en entornos más de TI, son los cortafuegos. Estos dispositivos son los principales encargados de aislar las diferentes zonas y permitir únicamente el tráfico autorizado entre los diferentes segmentos de la red, ya sea industrial o de carácter más corporativo, o incluso la frontera entre estos dos mundos.

Cortafuegos industriales, características principales

Los cortafuegos industriales han de permitir la implementación de ciertas características que los diferencien de sus análogos de propósito general, haciéndolos más adecuados para su despliegue en las redes industriales y aportando una capa de seguridad extra para este entorno. Algunas de estas características principales y ventajas que aportarán gran valor en la segmentación, segregación y control de las redes son:

  • Funcionamiento en modo transparente. Un cortafuegos funcionando en modo transparente permite realizar un enrutado de los paquetes, pero sin afectar a la infraestructura, ni requerir de modificaciones de configuración en los dispositivos. Otro punto a tener en cuenta es  que algunos no poseen ninguna IP dentro de la arquitectura de red. Además, al no poseer una IP, no pueden ser detectados en un escaneo de la red y por lo tanto, no pueden ser objetivos directos de un ataque como sí lo son los cortafuegos de capa 3.
  • Inspección profunda de paquetes (DPI) sobre los protocolos típicos de estos entornos (IEC104, Modbus, DNP3, etc.). Algunos cortafuegos industriales son capaces de analizar cada campo de los paquetes y realizar un filtrado en función de los valores específicos del protocolo (inspección a nivel de capa de aplicación del modelo OSI, capa 7). Además de realizar la DPI sobre comunicaciones industriales, también podría realizar esta inspección sobre protocolos más relacionados con el ámbito corporativo. Si el cortafuegos realiza DPI sobre los protocolos típicos del ámbito industrial, permite generar reglas que lleguen al nivel de comandos, en lugar de quedarse en IP y puerto, lo que haría posible un mayor control de las acciones recibidas y enviadas por/hacia los dispositivos de control. Esta es una de las ventajas más importantes, ya que estos dispositivos son capaces de controlar posibles lecturas o escrituras no permitidas. Estas órdenes pueden ser bloqueadas o aceptadas, cosa que los cortafuegos de propósito general no son capaces de hacer.
  • Diseño rugerizado/industrializado para soportar ambientes adversos en los que operan las redes industriales. Este tipo de entornos, por ejemplo, pueden implicar temperaturas en las cuales otros dispositivos de red de ámbito general no serían capaces de funcionar de forma correcta. Sin embargo, sobre todo, carecen de partes móviles, como ventiladores, que hace que su mantenimiento sea menor y aumente su ciclo de vida para adecuarse a las instalaciones en las que opera.
  • Soporte frente a un volumen elevado de tráfico. La llegada de la industria 4.0, hace que el volumen del tráfico intercambiado en una red industrial aumente a la par que aumenta su capacidad de cómputo o la inteligencia proporcionada al proceso. El principal objetivo a la hora de asegurar los entornos industriales e infraestructuras críticas es garantizar la disponibilidad de las instalaciones, para ello, los cortafuegos industriales son capaces de soportar altos volúmenes de tráfico, evitando así la pérdida de paquetes críticos y garantizando la operatividad de los dispositivos que se encuentran detrás de ellos. Al introducir una latencia muy baja en el tráfico, garantizan que el sistema no se vea ver afectado por su despliegue, asegurando de esta manera también, la disponibilidad de los dispositivos industriales protegidos.
  • El modo test o de pruebas. Es otra de las características de estos cortafuegos. Este modo permite que sean configurados de forma que no afecten a las comunicaciones, pero sí guarden sus acciones en un log, pudiendo así afinar su configuración de la manera menos intrusiva posible y sin provocar ningún problema en la operatividad de los dispositivos bajo su efecto. La ventaja del modo de pruebas reside en poder validar la configuración de las reglas del cortafuegos, sin afectar al funcionamiento del proceso.
  • Inserción VLAN. La inserción VLAN es una capacidad de la que disponen los nuevos cortafuegos para poder analizar más cantidad de tráfico. De forma habitual, por debajo de un cortafuegos se sitúa un switch encargado de elaborar varias VLAN para acotar el tráfico. El tráfico interno de estas VLAN es llevado al cortafuegos mediante inserción VLAN para que sea analizado y se generen las alertas correspondientes. Así, además de analizar el tráfico que entra y sale de la zona protegida por él, también puede analizar el tráfico interno que no sale al exterior.

 

Funcionamiento de la inserción VLAN

- Funcionamiento de la inserción VLAN -

Análisis de tráfico cifrado

A lo largo del artículo se ha hablado de la funcionalidad que permite la inspección en profundidad de paquetes y de las ventajas que aporta. Uno de los problemas con los que se pueden encontrar los cortafuegos, y que podría impedirles realizar esta inspección, es el tráfico cifrado.

A nivel de seguridad, implementar un cifrado de las comunicaciones es muy importante para evitar una posible fuga de información o manipulación de los datos. Cada vez es mayor la concienciación, y los protocolos industriales que llevan años tratando de adaptarse y desarrollar sus versiones seguras, implementando algún tipo de cifrado. Uno de los últimos en sumarse ha sido Modbus, que ha publicado recientemente la especificación segura del protocolo en la que se implementa un cifrado TLS.

Debido al “problema” que ocasiona el cifrado de las comunicaciones, algunos fabricantes han optado por incorporar en sus cortafuegos de próxima generación (NGFW) medidas para la inspección de paquetes cifrados. El funcionamiento de la inspección de paquetes cifrados es simple: el cortafuegos recibe los paquetes cifrados, es capaz de descifrarlos (más específicamente se habla de romper el cifrado) y analiza el contenido para, posteriormente, decidir qué hacer con cada paquete (denegar o enviar) y en caso de enviarlo, cifrarlo nuevamente para mantener la comunicación segura. Este paso puede parecer sencillo inicialmente, pero resulta bastante complejo, ya que implica una serie de configuraciones que no podrán realizarse siempre.

Para romper el cifrado utilizado en las comunicaciones y así aprovecharse de la funcionalidad, el cortafuegos debe conocer la clave pública de origen y la privada del destino, o bien los certificados empleados en el intercambio de la información.

 

Rotura de cifrado para análisis dentro del cortafuegos

- Rotura de cifrado para análisis dentro del cortafuegos -

Este descifrado de las comunicaciones introduce un retraso en las mismas, pudiendo afectar a la disponibilidad, por lo que antes de desplegar cortafuegos con estas capacidades es conveniente realizar un análisis del volumen del tráfico cifrado y del posible impacto del análisis del mismo. Además, tiene un coste computacional que también debe ser tenido en cuenta para dimensionar adecuadamente el producto a instalar. El despliegue de un cortafuegos con estas características debe ser debidamente estudiado y configurado de manera que no afecte a los requisitos de tiempo de respuesta de algunos dispositivos. Es recomendable ser selectivo con los equipos a los que se pretende descifrar sus comunicaciones y configurar el cortafuegos de manera que realice el descifrado-inspección de las comunicaciones de equipos de los que realmente se pueda obtener un valor relevante y cuyos requisitos de tiempo de respuesta no sean críticos.

Como hemos visto, los cortafuegos industriales aportan un valor añadido al nivel de seguridad de las comunicaciones de los entornos para los que están específicamente diseñados permitiendo, además, realizar funciones de inspección profunda de paquetes en las comunicaciones cifradas. Los cortafuegos son el principal elemento de seguridad en cualquier red TI, y en las redes TO, no es diferente.