Español | English
rss facebook linkedin Twitter

INSPIRE: SCADA, P2P y MPLS como medidas de seguridad

Como ya os adelantamos , estuvimos en Polonia asistiendo a una de las reuniones del proyecto Inspire. El objetivo de la misma, además de unificar los esfuerzos en las diferentes líneas de investigación abiertas (explicadas más adelante), era principalmente resolver las posibles incidencias durante el diseño de la 'máquina que hace bip', es decir, el "Security Framework" que permitirá realizar auditorías de seguridad conceptuales o teóricas.

Actualmente, esta parte del proyecto se encuentra finalizando la fase de diseño (conjunto entre varios de los participantes), y aunque existe un prototipo, se comenzará con el desarrollo exhaustivo que será la implementación final tras el verano, mientras continuan avanzando las otras líneas de investigación.

En los controles discutidos durante esta reunión, algunos de los cuales han sido finalmente incluidos, se encuentra la posibilidad de valorar mediante determinados critérios la capacidad de atenuación del impacto en vulnerabilidades con diferentes posibles soluciones, incluso aquellas no contempladas de forma explícita para cada implementación, es decir, mediante un perfilado de los criterios de valoración.

Como caso de ejemplo (que fué discutido largamente), es posible encontrar un equipo de la red SCADA con una vulnerabilidad crítica conectado a una red accesible desde el entorno corporativo, y otro equipo con la misma vulnerabilidad que no lo sea. Obviamente la valoración deberá ser diferente (algo que ya se contempla en el "Decision Aid Tool" que acompaña a la herramienta, utilizado para realizar el perfilado de la red, y los criterios de evaluación a utilizar). Ahora bien, el sistema debería proponer que este equipo 'accesible' sea protegido, darse cuenta de que existen conexiones de red protegidas por un firewall, analizar estas reglas para determinar si es posible incluir una nueva protección, y finalmente modificar el enrutado a través del mismo firewall que el otro equipo como alternativa de mitigación, una vez que la variación del impacto ha sido valorada dando un resultado positivo. Si esto no fuera viable, se propondrán otros modos de aislamiento y acceso al servicio: aqui es donde más hincapié se hizo durante la conversación: Cuales pueden ser estos otros modos de aislamiento y acceso al servicio?

Fue realmente interesante la reunión porque por fín se presentaron dos líneas de investigación que actualmente ya se encuentran funcionando en su simulación: redes P2P y enrutado MPLS. Ambas, pasan ahora a la fase de implementación, donde se creará un testbed que permitirá comprobar la fiabilidad de las implementaciones, pudiendo incluso trabajar con ambas al mismo tiempo, garantizando una comunicación sin interrupciones y un 100% de accesibilidad a la información de los diferentes dispositivos de la red, incluyendo dispositivos de campo (aquellos que se encuentran físicamente fuera del entorno de red SCADA).

La inclusión de estas dos tecnologías en entornos SCADA o infraestructuras de control críticos puede ser clave para detectar y evitar vectores de ataque, prevenir la interrupción del servicio o pérdida de datos y garantizar un funcionamiento sin interrupciones. Ambas líneas de investigación mantienen la premisa de "On/Off" como requisito de implementación: es decir, será posible activar/desactivar la medida de seguridad sin detrimento del servicio ni manipulación de la instalación SCADA actual, por lo que se convierten fácilmente en algunas de las posibles 'alternativas de aislamiento y acceso' al servicio que comentaba con anterioridad.

La pregunta que tenemos ahora sobre la mesa es si el Security Framework, o 'máquina que hace bip" incluirá estos controles de seguridad de ambas líneas de investigación, de tal forma que sea capaz de descubrir soluciones viables aplicando esta tecnología en entornos reales, evaluar su seguridad, y proponer soluciones alternativas (en concreto P2P y MPLS) a las ya conocidas. Muy posiblemente la respuesta sea sí, ya que dispondremos de los entornos de pruebas donde comprobar su funcionamiento.

Por lo demás, Polonia, os habría encantado :)

Iñaki López
S21Sec labs

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login