Revista ElectroIndustria - La seguridad informática se construye desde la base

La seguridad informática
se construye desde la base

Las redes de control, dominadas hasta hace no mucho por protocolos y medios de comunicaciones propietarios, son los recién llegados al mundo interconectado y, posiblemente por eso, los más inocentes. Hasta hace poco tiempo, no se registraban ataques dirigidos a este componente de la industria, pero más de uno fue víctima de otros males y dolores del crecimiento y del hecho mismo de compartir información con el resto de la organización. Por esta razón, es necesario contar con una red basada en sólidas prácticas de diseño e implementación.

Muchos problemas de seguridad en las redes industriales se encontraban normalmente relacionados a la red y no a los equipos que se conectan a ella, y muchas de estas dificultades se podrían haber evitado con un buen diseño e implementación de la red. Por esto, al planificar una red industrial, es fundamental incorporar el factor de seguridad, cosa normal en las actuales redes administrativas.

Los aspectos de seguridad pueden evitar muchos problemas que resultan fatales para una red de control, como el embotellamiento, los lazos cerrados, la duplicidad de direcciones y/o de paquetes, las pérdidas de conexión, entre otros. Este nivel de seguridad en la red industrial se logra con switches administrados, routers y firewalls industriales.

interlog.gif (39024 bytes)
Red a niveles de oficina y de planta, diferenciando en ésta ultima el backbone.

Seguridad según la capa del modelo OSI

En el nivel físico de la red, se deben implementar las primeras medidas de seguridad como proteger el medio (cables, conexiones, gabinetes) y controlar el acceso a las salas eléctricas. En lo posible, se debe crear caminos redundantes, sujetos a distintos riesgos para que no fallen en forma simultánea. Junto con esto se debe especificar el uso de equipos industriales para la red.

A nivel lógico (capa 2 del modelo OSI) es necesario controlar el acceso a la red, para evitar que equipos no autorizados se conecten a ésta. Para ello, se pueden bloquear puertos o crear listas de acceso en base a direcciones MAC. Esta última medida es normalmente más fácil de implementar en las redes industriales, ya que el universo de proveedores para equipos industriales es más acotado y no hay cambios rápidos de tecnología. Además, en redes complejas, es una buena práctica segmentar las comunicaciones entre equipos utilizando VLANs, lo que puede ahorrar varios dolores de cabeza a los administradores y usuarios.

En la capa 3 (de Red), se puede implementar seguridad por direcciones IP y segmentar la red en subredes. Esta funcionalidad la proveen muchos routers y algunos switches que atisban la capa 3, y permiten implementar listas de acceso según direcciones IP para cada puerto físico.

En las capas 4 (de Transporte TCP o UDP) y 5 (de Sesiones), donde los protocolos de comunicaciones como Modbus/TCP, EtherNet/IP y otros utilizan puertos específicos, se requieren firewalls (cortafuegos). Estos últimos se instalan en la unión de las redes administrativas e industriales para evitar que el tráfico no deseado o no requerido en las distintas redes traspase los límites. Un ejemplo simple que puede traer problemas es un servidor DHCP (puertos UDP 67 y 68) de la red administrativa, otorgando direcciones IP y otros parámetros de conectividad en la red industrial. Un firewall bien configurado evitará que esto suceda.

Para unir redes que están separadas pasando por otra red (controlada por terceros o que cuenta con menores regulaciones de seguridad que las redes que se desean unir), es recomendable utilizar túneles VPN. Operando en la capa 6 (de Presentación), los túneles VPN se implementan utilizando firewalls capaces de encriptar los datos. Esta funcionalidad también es importante en redes inalámbricas donde la señal puede ser interceptada por personas ajenas a la organziación.

La seguridad a nivel de aplicaciones es normalmente más costosa y específica, y no protege los riesgos anteriormente mencionados. Normalmente no se utiliza este nivel de seguridad en ambientes industriales, ya que requiere de mayor capacidad de procesamiento e introduce latencias en la red que en redes industriales no son aceptables, aunque sí es común en los ambientes administrativos de grandes empresas o centros de datos.

Las políticas de seguridad que dan origen y sustento al trabajo construido desde la base, están relacionadas con el triangulo de integridad-disponibilidad-confidencialidad que debe tener la información digital que fluye por la red.

La integridad es básica para cualquier aplicación; la disponibilidad tiene un grado de complejidad adicional, ya que implica consumidores específicos, y la confidencialidad tiene un tercer grado de complejidad, pues implica que el consumidor o usuario respetará dichas normas. En ambientes industriales, con satisfacer los requerimientos de integridad y disponibilidad con los mecanismos básicos anteriormente expuestos se tiene una línea base para garantizar un poco más la eficiencia operacional de la planta y conectar la red industrial al resto de la empresa para maximizar el capital informático de ésta.