Diferencias entre la DMZ TO y la DMZ TI
Introducción a las DMZ
En el ámbito de la informática y las redes, se conoce como zona desmilitarizada o red perimetral (DMZ) a una subred lógica o física que separa una red de área local (LAN) interna de otras redes externas no confiables, generalmente Internet, aunque en el caso de los sistemas de control industrial tiende a ser la red corporativa. De esta forma, mientras los servidores, recursos y servicios externos permanecen en la DMZ y se puede acceder a ellos desde el exterior, la red interna permanece inalcanzable. Esto proporciona una capa adicional de seguridad, ya que restringe la capacidad de acceso directo a la red interna desde la red externa.
El principal beneficio de usar una red DMZ es proporcionar acceso seguro a los servicios que deben ser accedidos desde una red externa. Las redes DMZ se usan para aislar los activos localizados en la red interna, así como para reducir y controlar el acceso a ellos desde la red exterior.
La implementación de una DMZ puede hacerse mediante dos arquitecturas de red. La más sencilla es utilizar un único cortafuegos, encargado de gestionar el tráfico entre la red interna, la externa y la DMZ. Si se pretende algo más seguro, la opción es utilizar dos cortafuegos con la DMZ en medio a modo de búfer. Esta configuración es considerada más segura debido a que, en caso de que un atacante consiguiera violar la seguridad del cortafuegos perimetral y acceder de manera no legítima al servidor de la DMZ, todavía tendría que superar el cortafuegos interno.
Ilustración 1. Posibles arquitecturas de DMZ.
Los servidores de la DMZ, al ser accesibles desde la red externa, requieren un correcto bastionado que aumente su nivel de seguridad, ya que hay que evitar que sirvan como punto de entrada para la red interna.
Como ya vimos en la guía de acceso seguro a dispositivos de campo, las DMZ son un elemento de vital importancia dentro de un diseño de arquitectura de red segura, puesto que un correcto flujo de comunicaciones desde el exterior hacia la red industrial debería atravesarlas, tanto en las corporativas como en las industriales. De esta forma, se consiguen barreras adicionales de seguridad gracias a los servidores alojados en ambas DMZ.
Para el correcto funcionamiento de las DMZ hemos de tener en cuenta que deben estar correctamente aisladas, estableciendo una zona específica para ellas y conductos de comunicación seguros. Si la red DMZ no se encuentra correctamente aislada, su funcionamiento puede ser contraproducente, ya que podría suponer un punto de entrada a la red.
Diferencias entre la DMZ TO y la DMZ TI
Si bien el concepto de DMZ es el mismo en redes TI y en redes TO, encontramos diferencias en cuanto a los servicios que proveen cada una a las redes que protegen, así como las redes que separan.
Mientras que la DMZ localizada en redes TI se encarga de separar la red corporativa de internet, la DMZ localizada en redes TO es la encargada de aislar la red industrial de la red corporativa.
Por otra parte, también podemos diferenciar las DMZ TO y las DMZ TI por los servidores alojados en ellas y los servicios que proporcionan. Como es lógico, la DMZ TO alojará los servidores necesarios para dar servicio a la red industrial. Algunos de estos servicios localizados en la DMZ TO, como los servidores de directorio activo (DA) y DNS, no son exclusivos de las DMZ utilizadas en este ámbito, sino que también se localizarán en la DMZ TI. Muchos funcionan de manera jerárquica de manera que el servidor DNS, por ejemplo, de la red TO realizará las peticiones al DNS localizado en la DMZ TI. Pero también podemos localizar servicios que más típicamente se localizarán en la DMZ TI y rara vez los veríamos en una DMZ industrial, como:
- El servidor proxy por el que se realizaría la navegación a Internet.
- El servidor de correo corporativo.
- El servidor web de la compañía.
Otro tipo de servicio que podríamos localizar son los honeypots. Al situar estos equipos en esta DMZ podríamos obtener información relevante sobre posibles ataques a la red, sin comprometer ninguna de las dos redes si permitimos únicamente la comunicación desde el exterior al honeypot y viceversa.
Ilustración 2. Disposición y servidores en DMZ TI y DMZ TO.
Servicios a incluir en la DMZ TO
Si queremos utilizar las DMZ en entornos industriales hemos de conocer cuáles son los servicios que, en caso de hacer uso de los mismos, deberían estar emplazados en la DMZ TO:
- Servidor de parches: en este equipo se localizarán los parches que posteriormente se descargan en los equipos para su actualización, solucionando así cualquier posible vulnerabilidad de seguridad presente en los equipos.
- Máquina de salto: necesaria para el acceso remoto a los equipos de la red industrial siguiendo una arquitectura segura.
- Historiador: equipo encargado de recoger y almacenar todos los valores de las variables del proceso, de manera que puedan ser consultados y explotados por las aplicaciones corporativas.Servidor DNS/NTP: equipo al que se realizarán las peticiones NTP y DNS de la red industrial.
- Servidor de autenticación: equipo con un DA, o similar, exclusivo para validar los usuarios de los sistemas de control. Este equipo puede ser específico para el sistema de control o puede ser una parte del servidor de autenticación general de la compañía.
Conclusiones
Poseer una arquitectura de red segura es una medida de vital importancia para garantizar el menor número de puntos de entrada de malware o usuarios ilegítimos a nuestra red. Las DMZ son uno de los posibles elementos que se utilizan en una arquitectura segura, tanto en las redes TO como en las TI, donde a pesar de sus diferencias mantienen el mismo funcionamiento.