Español | English
rss facebook linkedin Twitter

¿Dónde va este cable? y, ¿este trasto para qué sirve?

En más de una ocasión hemos dicho que uno de los principales problemas para la adopción de medidas de seguridad en los sistemas de automatización y control industrial, entre los que se incluyen los sistemas SCADA, es que los responsables de su gestión son personas alejadas del mundo TIC en general y de la seguridad de los sistemas de información en particular. Estas personas entienden de carriles DIN, de bucles de control, de lógica programable, de entradas digitales y analógicas, de relés, …, pero no tienen tan claro qué es un cortafuegos o para qué sirve, ni mucho menos, cuáles son las reglas de filtrado más adecuadas o cuál es la sintaxis a utilizar para un modelo concreto.

Cuando se comenzó a discutir la necesidad de introducir seguridad en los sistemas de control industrial, se llegó a la conclusión de que la manera más efectiva para una implantación exitosa sería que se intentara adaptar los conceptos y tecnologías de la seguridad TIC al mundo del control industrial. Por supuesto, los ingenieros y operadores de los sistemas de control deben ser conscientes de la importancia de la seguridad, pero no por ello deben ser también expertos en este ámbito. Bajo esta premisa, podríamos definir una serie de criterios a cumplir para que un dispositivo ("appliance") de seguridad fuera aceptado sin demasiadas reticencias:

  • Factor de forma adaptado al mundo industrial. Un ejemplo sería que el dispositivo estuviera adaptado a carril-DIN para su fácil instalación.
  • Robustez. Las condiciones ambientales en un entorno industrial pueden ser extremas: temperatura, humedad, polvo, etc.
  • Fácil despliegue desde el punto de vista eléctrico. Un instalador con escasos conocimientos técnicos debería ser capaz de instalarlo sin dificultades: "insertar el dispositivo en el carril DIN, enchufar un cable de alimentación desde el "backplane", conectar los cables de red, y listo". Además el dispositivo debería ser totalmente transparente hasta su configuración, no afectando al funcionamiento normal previo a su instalación.
  • Gestionables de manera centralizada. De otra forma, la gestión individual de múltiples dispositivos supondría una carga de trabajo excesiva que impediría a los ingenieros de planta el desarrollo de su actividad principal, la gestión y mantenimiento del sistema de control.
  • Interfaz de gestión amigable para los técnicos del sistema de control. La interfaz debería ser gráfica para evitar comandos complejos como los propios del cortafuegos IPtables/Netfilter, "iptables -A FORWARD -p tcp -m modbus --funccode 1 --allowtcp 1 -j ACCEPT". Además de ser gráfica debe ser clara y concisa, evitando múltiples opciones innecesarias desde el punto de vista funcional.
  • Funcionalidades específicas de los sistemas de control. Si utilizásemos un cortafuegos PIX de Cisco con la configuración que viene por defecto y sin ningún módulo adicional, lo más que conseguiríamos es hacer un filtrado por puertos TCP/UDP. No podríamos hacer un análisis en profundidad del contenido de los paquetes ni tampoco realizaría comprobaciones contra el estándar MODBUS, en busca de malformaciones en mensajes de este protocolo.

Ya que en los párrafos anteriores he hecho referencia varias veces a los cortafuegos, voy a aprovechar para hablar de uno en concreto que cumple con todos los puntos anteriores e incluso va más allá. Antes cabe destacar, que si bien es cierto que existen extensiones para cortafuegos TIC tradicionales que permiten el filtrado y el análisis en profundidad de mensajes de protocolos de control como Modbus, estos siguen fallando en prácticamente la totalidad del resto de puntos anteriormente descritos. Un ejemplo claro es IPtables/Netfilter.

El cortafuegos al que me refería en el párrafo anterior es Tofino, un producto de Byres Security Inc. Veamos cómo cumple con cada uno de los requisitos establecidos:

  • Factor de forma y Robustez. La figura siguiente es suficientemente autoexplicativa (apréciese cómo el dispositivo blanco, Tofino, está enganchado al carril DIN). Cabe destacar que la empresa encargada de fabricar el producto es MTL Instruments, partner de Byres Security. MTL se encarga de que los interfaces de E/S así como el resto de módulos puedan adaptarse a cualquier entorno industrial.

  • Fácil despliegue. El dispositivo viene de fábrica preparado para instalarse como un cortafuegos transparente ("bridge firewall"). Esto evita tener que modificar las direcciones IP de los equipos y quebraderos de cabeza derivados de planificar un más que probable "subnetting". Además se instala como cualquier otro componente de campo, utilizando el carril DIN.
  • Interfaz amigable y gestión centralizada. Tofino proporciona lo que define como CMP (Central Management Console), que permite la monitorización centralizada de todos los mensajes generados en cada dispositivo instalado en la planta. Así mismo, permite cargar módulos extra que añadan nuevas funcionalidades a nuestro Tofino (Ej. Sistema de cifrado – VPN y módulo IDS). Además como puede verse en la captura siguiente la interfaz gráfica para la configuración de reglas es clara y concisa, sin complicaciones técnicas excesivas.

  • Funcionalidades específicas de sistemas de control. Tofino permite filtrar protocolos de control bastante conocidos: MODBUS/TCP, Ethernet/IP de Rockwell, GE-Fanuc, Honeywell, Yokogawa, Hima, PI, OPC, etc. A nivel MODBUS/TCP se puede definir reglas de filtrado para los códigos de función. Por ejemplo, permitir lecturas pero no escrituras a nivel de registro ("register") y de bobina ("coil").

En realidad, Tofino no deja de ser un "appliance" utilizando el cortafuegos IPtables y módulos de SNORT por debajo, eso sí adaptado al mundo industrial, lo que le da un valor añadido que le diferencia de sus competidores. En S21sec vamos a realizar en breve una evaluación exhaustiva de este producto, aprovechando el laboratorio SCADA del que disponemos en la oficina de Pamplona. En cuanto tengamos los resultados aprovecharé para hacer una revisión a esta entrada del blog y así contaros más detalles interesantes de este aparatito.



Elyoenai Egozcue

S21sec labs



(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login