Zonas Desmilitarizadas y Sistemas de Control

Dentro de las buenas prácticas de networking para los sistemas de control industrial, un tema importante es la segregación de las redes del sistema de control, y en concreto la LAN del centro de control, de la red empresarial. Ya hemos explicado en alguna que otra ocasión que en la actualidad resulta común que desde la red empresarial se requiera acceso a datos del sistema de control. Por resumir, existen dos razones fundamentales: optimizar el proceso productivo y posibilitar la monitorización del estado de la planta desde cualquier lugar.

Desde un punto de vista conceptual, existen distintas arquitecturas posibles a la hora de realizar la segregación entre la LAN del centro de control y la red corporativa. No obstante, podríamos agruparlas en tres: conexión directa entre ambas, separación en dos zonas con distinto nivel de seguridad, y uso de tres o más zonas con distinto nivel de seguridad. Este último caso es el que contempla la arquitectura basada en zonas desmilitarizadas (DMZs). En una segregación de la LAN del centro de control y la red empresarial, las DMZ se utilizarían para instalar aquellos servicios que requieran comunicación con otros elementos del sistema de control y que además deben ser accesibles desde la red corporativa.

De las tres arquitecturas generales anteriores, está claro que la primera debería descartarse; es un grave fallo de seguridad conectar directamente estas dos redes, fundamentalmente porque cada una responde a un nivel de seguridad diferente. En la red corporativa están, entre otros, los PC de los usuarios, bastante propensos a infectarse con algún tipo de malware (uso de llaves USB personales, visita de sitios web maliciosos, etc.).
Por otro lado, en la LAN del centro de control se puede estar monitorizando el estado de un sistema de generación eléctrica. Parece obvio por tanto, que se debería instalar un sistema de filtrado en las comunicaciones entre ambas redes.

Dentro de la modalidad de segregación en dos zonas de distinto nivel de seguridad, resulta habitual encontrarse con un PC con dos tarjetas de red haciendo de puente entre las dos redes. En muchos casos este PC ni siquiera aplica reglas de filtrado, por lo que estaríamos hablando de nuevo del primer caso. No obstante, aun si se configura un software cortafuegos (por ejemplo Iptables), ésta no es la mejor solución. El propio PC-puente podría llegar a ser una amenaza si no está férreamente bastionado. Un atacante o un gusano podrían aprovecharse de una mala configuración de Netbios (en máquinas Windows), o cualquier otro servicio vulnerable que esté ejecutándose y sea accesible desde la red empresarial. Lo mejor en estos casos es hacer uso de un equipo específicamente diseñado para hacer las funciones de cortafuegos. No obstante, esta modalidad de segregación adolece de que no existe una localización óptima para los equipos que necesitan comunicación desde/hacia la red corporativa y desde/hacia la red de control (Ej. Histórico). Estos pueden ser comprometidos en caso de residir en la red de control (Ej. aprovechando una comunicación SQL o HTTP permitida en el cortafuegos), o suplantados si residen en la red empresarial, y obtener provecho de la regla de cortafuegos que permite que se comuniquen con el resto de elementos SCADA de la LAN del centro de control.

Una variación interesante de la modalidad anterior incluye el uso de un router con ACLs entre el cortafuegos y la red corporativa, y que el cortafuegos sea especialista en hacer de proxy de aplicación. Esta tecnología de cortafuegos hace uso extensivo de la capacidad de cálculo del dispositivo, por lo que es necesario incluir una primera barrera que filtre a nivel de red y de transporte, dejando al cortafuegos la tarea de inspeccionar a nivel de aplicación únicamente un subconjunto de los paquetes. Esto permite que ante ataques de DoS por inundación, el router elimine la mayor cantidad de tráfico no legítimo, evitando así que una carga excesiva en el cortafuegos de nivel de aplicación cause impacto en el rendimiento de la red.

Probablemente, la mejor modalidad de segregación de la red corporativa y el sistema de control, es la que se basa en la creación de DMZs y en el uso de un solo cortafuegos con las interfaces de red necesarias (= 2 + N | N = Número de DMZs). Cada DMZ alojaría equipos con distinto nivel de seguridad y/o de requisitos de comunicación y/o funcionalidades (Ej. históricos, puntos de acceso inalámbricos, servidores de actualizaciones/parcheo, servidores de autenticación, etc.). Estas redes desmilitarizadas, permiten eliminar las comunicaciones directas entre la red corporativa y la de control. Eso sí, se requiere realizar un bastionado adecuado de los equipos que residirán en las DMZs, para evitar que sean comprometidos y sirvan de plataforma para lanzar un ataque hacia la LAN del centro de control. Si además del bastionado cumplimos con la buena práctica de que sólo se permita iniciar las comunicaciones desde la LAN del centro de control hacia las DMZ, y no a la inversa, dispondremos de una arquitectura bastante segura. Al igual que en el caso anterior, es posible la variación de incluir un router delante del cortafuegos, así como la tecnología de cortafuegos de aplicación. Cabe también la posibilidad de una nueva variante, la de utilizar dos cortafuegos (a ser posible de diferente fabricante) en lugar de uno solo. Esta variante, permite igualmente disponer de distintas DMZ pero además tiene dos claras ventajas: ofrece flexibilidad administrativa y una segunda barrera de protección. La flexibilidad administrativa se traduce en que el cortafuegos conectado con la red empresarial puede ser administrado por el personal de sistemas de la organización, mientras que el cortafuegos que limita con la LAN del centro de control lo operarían los ingenieros de planta. Es decir, cada uno se lo configura a su gusto.

La tendencia actual parece que considera que no solo hay que gestionar el riesgo de ataques desde la red corporativa hacia la red de control, sino también a la inversa. Por ello, la modalidad favorecida es la de doble cortafuegos, con dos zonas desmilitarizadas (una para los elementos del sistema de control que deben ser accesibles desde la red corporativa, y otra para los servicios corporativos que han de ser accesibles desde el sistema de control). Como ya hemos dicho, esta modalidad permite la administración independiente, una característica deseable en estos entornos ya que es difícil poner de acuerdo a los administradores de la red de control (normalmente ingenieros de planta) y a los de la red corporativa (personal del departamento de sistemas de la organización).

A lo largo de este post se han mencionado las ventajas y problemas desde un punto de vista de seguridad. No obstante, no hay que olvidar otros aspectos como el coste administrativo, la complejidad de operación, y el coste económico de cada modalidad de segregación. Sin entrar en detalles, parece claro que la arquitectura basada en DMZ con doble cortafuegos, haciendo uso de un router frontal y con tecnología de proxy de aplicación, es sin duda la arquitectura más cara, compleja, y administrativamente costosa de todas. Es por ello importante, saber encontrar un equilibrio para cada organización, teniendo en cuenta sus recursos, los riesgos y la capacidad técnica de sus empleados, así como la madurez de dicha organización en cuanto a prácticas de seguridad.

Autor: Elyoenai Egozcue
Fuente: S21sec labs