Firewalls en Capa 2 en entornos OT

En muchas ocasiones se habla que la primera medida técnica a implementar en lo que a seguridad en entornos industriales se refiere es definir los perímetros entre los entornos IT y OT. Para ello empleamos NGFW capaces no sólo de filtrar tanto por IPs y servicios sino realizar DPI (Deep Packet Inspection) a nivel de capa 7 además de otras funcionalidades como Antivirus, IDS/IPS, Anti DoS. Ya dentro del entorno OT, la recomendación es definir áreas, o zonas, más pequeñas y filtrar el tráfico entre ellas por medio de un segundo Firewall. El de “Segmentación”.

Físico o virtual, en el supuesto de que un error humano o acción malintencionada se produjese en alguna de ellas, evitaríamos la propagación al resto provocando un daño mayor. Además, si el daño es menor, el tiempo que necesitaremos para recuperar el conjunto de equipos afectado será menor, como menor será su número.

En la siguiente imagen podemos ver una configuración en la dicha separación la hacemos por medio de la definición de Firewalls Lógicos dentro de uno físico del fabricante Fortinet.

Esquema de uyso de Firewall Virtuales

El tamaño de estas áreas, zonas o celdas según sea la literatura de referencia, podrá albergar un número mayor o menor de equipos. Una de las opciones es definir una VLAN para cada una de ellas con un único dominio de broadcast y direccionamiento. Esto cubriría aspectos como protocolos industriales que operen en Capa 2 o tráfico multicast como LLDP. De esta manera podremos filtrar cualquier comunicación entre subredes, otras áreas, servidores en IDMZ (Industrial DMZ), estaciones de ingeniería, etc. Todo este tráfico pasaría por el Firewall de “Segmentación”.

Esto supone asumir que una acción malintencionada en la misma subred podría tener éxito ya que el control se efectúa cuando llega, al menos, en Capa 3. No en Capa 2. Pero, ¿qué ocurre si por alguna razón tenemos que llevar a cabo un filtrado a nivel de Capa 2 a un nivel más bajo y un número de equipos más reducido? Quizás una de las respuestas sea el cambio, o rediseño, del plan de direccionamiento de la/las área/s OT en cuestión y así escalar hasta el siguiente nivel. Sin embargo, esto no puede ser viable.

Mejor pongamos un ejemplo gráfico:

Arquitectura

Como podemos observar en esta celda disponemos de un convertidor de fibra a cobre hacia un switch (Switch 1) donde se localizan un HMI y del que cuelga otro (Switch 2) al que se encuentran conectados otros controladores, componentes “Safety”, control de movimiento, etc. Si por alguna razón dicho HMI sufriera alguna infección o se quisiera llevar acabo alguna acción malintencionada, podría alcanzar el resto de equipamiento conectado. Vemos que todo se ubica en un mismo dominio de broadcast y con direccionamiento bajo 192.168.0.0/24.

El problema que se plantea es que el HMI sea un equipo con un sistema operativo sin actualizaciones o fuera de soporte. Bien porque la actualización de éstos pueda ser difícil, aunque no imposible, y por otro lado dado, el ciclo de vida elevado, genera más probabilidad de falta de actualizaciones, nuevos desarrollos, pero siguiendo 100% funcionales. Esto puede suponer un riesgo importante a los equipos ubicados en el otro switch de donde cuelgan autómatas, controladores y otros sistemas.

Sin embargo, no podemos olvidar que las intervenciones en entornos OT no sólo deben ser lo menos intrusivas posible sino, que no alteren la operación normal de las instalaciones. El despliegue de soluciones debe ser transparente y con un nivel de riesgo lo más cercano a cero. Como ya sabemos el riesgo igual a cero, no existe.

Cada cambio introduce un riesgo. Por mucho que lo preparemos, planifiquemos, involucremos a todas las personas que puedan responder ante alguna acción no prevista, siempre puede suceder algo que no esté contemplado. La falta de respuesta en tiempo y forma puede desembocar en la pérdida de disponibilidad. Por ello, cuanto menor sea la cantidad de acciones a realizar mejor. Hemos de guardar un equilibrio entre simplicidad y eficiencia.

Es por todo lo anterior que hemos de considerar el uso y funcionalidades a nivel de capa 2 que ofrecen los cortafuegos. Esto es, filtrar el tráfico entre dispositivos que se encuentren en la misma red y tratar de proteger de forma individualizada todos los elementos desplegados en ella sin requerir cambios adicionales. Esto nos permitirá mantener el direccionamiento intacto siendo la única pérdida de servicio, a priori, los segundos que empleemos en conectar el equipo en nuestra red. Obviamente esto introducirá un punto más de fallo, algo que deberemos asumir si lo que queremos es que otro elemento nos proporcione la seguridad que pretendemos.

Por tanto, cuanto más reduzcamos el riesgo sin intervenir en los equipos finales, indudablemente mejor. Claro está esto también dependerá de la criticidad del equipo, su funcionalidad, ciclo de vida, soporte, entre otros factores. Sin embargo, esto no debe ser algo que deba ser así siempre. Para alcanzar unos niveles lo más completos e integrales posibles hemos de aplicar aquellas que estén disponibles en PLCs, switches industriales, entre otros. Aquí os dejo aquellas que podremos encontrar en autómatas modelo S7-1200 del fabricante Siemens.

En el día de hoy he querido destacar la necesidad de uso de modos y funcionalidades a nivel de capa 2 para proteger los entornos industriales, evitando así cambios o interfiriendo en la operativa aunque esto sea tan sencillo como cambiar una dirección IP.

En sucesivas entradas abordaremos este tema y la manera de cubrir estas necesidades. Esto es uso de firewalls a nivel de capa 2, en lugar de 3, como es a lo que estamos más acostumbrados.

¡Nos vemos en la siguiente!

“DoS Policy” más allá del filtrado tradicional

Como hemos comentado en otras ocasiones la separación y segmentación de los entornos IT y OT es la primera medida técnica que debemos tomar. Es necesario definir los perímetros y qué comunicaciones deben permitirse entre uno y otro lado. Para conseguirlo, empleamos Cortafuegos aunque con características adicionales que han dado lugar a los conocidos NGFW. Sin embargo, también podemos contar con otras adicionales, en este caso, para evitar denegaciones de servicio, DoS.

La primera acción que debemos hacer es identificar el tráfico. Definir qué comunicaciones existen en nuestro entorno de control y automatización. Luego, permitirlas en función del criterio que más se ajuste ya sea por IPs, interfaces, servicios, subredes, aplicaciones, protocolos o cualquier otro. Sin embargo, una vez hecho esto y teniendo que claro “qué si y qué no”, también es importante identificar posibles anomalías dentro del mismo pudiendo afectar al funcionamiento del, o los equipos, destino.

Una de las acciones con las que podríamos afectar a las comunicaciones de este ámbito es introduciendo tráfico adicional. Sea este Broadcast, Multicast o Unicast los efectos podrán ser unos u otros ya que dependerá si la electrónica de red lo replica por todos los puertos o sólo por aquél que está dirigido al destinatario.

Si nos referimos a los equipos de control, sabemos que éstos tienen un ciclo de vida mayor con lo que es muy común encontrarnos con equipos antiguos con una capacidad para gestionar comunicaciones mucho más limitada que los equipos actuales. Ante un exceso de tráfico, aunque esté dirigido a un puerto de destino permitido, éstos podrían dejar de responder perdiendo así visibilidad y control.

Hay que tener presente que una denegación de servicio puede no venir exclusivamente de medidas claramente intencionadas. También puede hacerse por un error o mala parametrización de sistemas. Un caso lo podríamos encontrar en los escáneres de vulnerabilidades. Si no los configuramos correctamente y no los ejecutamos acorde a los equipos finales podríamos llegar a comprobar vulnerabilidades de sistemas operativos Windows, Linux, etc. sobre autómatas o controladores que, lógicamente, no los empleen o podrían no hacerlo. Aparte de que los resultados no tendrían sentido, podría desembocar en posibles bloqueos en módulos de comunicaciones, tiempos de respuesta tardíos, entre otros.

Para emular una situación de esta índole he elaborado una Prueba de Concepto empleando el simulador Snap7 y equipos virtuales. No obstante, la prueba fue realizada sobre dos autómatas Siemens S7-400 y S7-300 y los resultados fueron la pérdida de visibilidad desde el servidor que los gestionaba. Los equipos no eran capaces de manipular tanto tráfico. Por supuesto, en un entorno de laboratorio.

La misma sigue el siguiente esquema:

Desde un equipo con una distribución Kali Linux realizamos una inundación de tráfico por medio de la herramienta hping3, efectuando peticiones TCP SYN contra el puerto TCP 102, que es el empleado por el fabricante Siemens. Dicho equipo tendrá una IP 192.168.100.20, mientras que el PLC virtualizado 192.168.20.10.

root@kali:~# hping3 –flood -p 102 -S 192.168.20.10

Antes de realizar dicha operación podremos comprobar que el consumo de CPU como de memoria es bajo dada la ausencia de sesiones.

Sin embargo, una vez comenzado el envío de paquetes el consumo de recursos va en aumento:

Si en ese momento decidiésemos conectarnos a dicho PLC simulando un servidor, HMI, etc. veríamos que no sería posible y cómo la propia herramienta muestra un mensaje en la parte inferior de la captura “ISO: An error occurred during…”

En este sentido fabricantes como Fortinet introducen una funcionalidad denominada “IPv4 DoS Policy” que nos va a permitir atajar que, algo o alguien, de una manera intencionada, o no, pueda generar un exceso de tráfico que desemboque en una pérdida de visibilidad o control sobre equipos finales.

En la imagen siguiente podemos ver los distintos parámetros que podemos definir y parametrizar según sea nuestra necesidad.

 

Deberemos indicar la interfaz de entrada por dónde esperaremos el tráfico en cuestión, ya sea física o lógica; direcciones IP de origen y destino y servicios. A continuación, hemos de identificar las características a nivel de capa 3 y/o 4 que queremos habilitar y los respectivos umbrales de cada uno de ellos. Este es un trabajo que hemos realizar con cautela ya que nos obliga a tener una estimación acerca de los valores tolerables y qué se escapa de un normal comportamiento. No tenemos porqué habilitar todas las opciones, sino aquellas que consideremos que nos pueden ser de utilidad o tengan sentido dependiendo de la ubicación y exposición del cortafuegos. Finalmente, una de las opciones que sí resulta conveniente habilitar es la opción de registro ya que nos va a permitir disponer de información al respecto, como se puede ver en la imagen siguiente.

Cuando hablamos de cortafuegos, generalmente nos viene a la mente la opción de permitir o denegar tráfico y sobre él aplicarle controles adicionales como Antivirus, IDS/IPS, entre otros. Es cierto, ese su principal cometido. Sin embargo, podemos encontrar funcionalidades que, sin penalizar el rendimiento, pueda ayudar a identificar anomalías de aquél que estamos dejando pasar.

La primera tarea es decidir qué debemos autorizar y qué no. Esto nos va obligar a conocer qué comunicaciones establecen nuestros equipos de control y sistemas asociados. A menudo partiremos de un desconocimiento total ya que nos enfrentaremos a entornos conmutados o enrutados donde no se ha documentado dicha información y obviamente no existen elementos de seguridad perimetral. Si queremos filtrarlas deberemos identificarlas, y entender el por qué deben producirse, o no. No todo lo que veamos debe ser permitido. Probablemente ni tan siquiera los propios usuarios de las instalaciones lo sepan. Es una labor que puede complicarse según sean los escenarios, pero que en cualquier caso, ha de realizarse.

Un buen recurso pueden ser los “Puerto Espejo” o dispositivos como el Siemens TAP  104, que nos ayudarán a replicar tráfico de red y que pueda ser colectado y analizado a posteriori.

Hasta aquí la entrada de hoy.

¡Un saludo nos vemos en la próxima!

Publicaciones CERTSI e INCIBE sobre Ciberseguridad Industrial, actualizado 14/09/18.

Tanto INCIBE (Instituto Nacional de Ciberseguridad de España) como CERTSI (CERT de Seguridad e Industria) publican a menudo en sus respectivas Webs noticias, guías y artículos sobre distintas temáticas teniendo como telón de fondo la seguridad. Para esta ocasión he ordenado las referentes a Ciberseguriad Industrial, que recopilan un buen número de investigaciones, incidentes, análisis, e informes, sobre distintas temáticas.  Sin duda constituye un conjunto de referencias para el aprendizaje de todo profesional que esté o quiera desempeñarse en securización de estos entornos. Espero que os guste y sobre todo os resulte útil.

Un saludo!

Guías:

  1. Despliegue de un IDS/IPS y gestión centralizada de alertas.
  2. Protocolos y Seguridad en SCI.
  3. Identificación y reporte de incidentes de seguridad para operadores estratégicos: Guía básica de protección de Infraestructuras Críticas.
  4. El Puesto del Operador: Guía básica de protección de Infraestructuras Críticas.
  5. Guía de Seguridad de Protocolos Industriales – Smart Grid

 Artículos:

  1. Registrando eventos en sistemas de control para mejorar la seguridad
  2. Fuzzing y testing en sistemas de control industrial
  3. Defensa Activa e Inteligencia: Threat Intelligence en los entornos industriales
  4. WPA3, la mayor actualización de seguridad en redes Wi-Fi desde hace más de una década
  5. Amenazas emergentes en sistemas de control industrial
  6. Defensa activa e inteligencia: de la teoría a la práctica
  7. Mitigando problemas de disponibilidad en la industria
  8. Tendencias en la industria, mejoras en la ciberseguridad
  9. Auditorías en comunicaciones inalámbricas industriales.
  10. Monitorizando redes y eventos en SCI: más información, más seguridad
  11. Zonas y conductos, protegiendo nuestra red industrial
  12. Honeypot, una herramienta para conocer al enemigo
  13. Entendiendo el tráfico de red industrial, disectores y Lua y Kaitai
  14. Acceso seguro a los SCI: doble factor y accesos externos
  15. Tú reportas, ellos actúan.
  16. Automatización de bajo conste.
  17. El valor de los indicadores de compromiso en la industria.
  18. Gestión de parches en Sistemas de Control.
  19. Introducción a los sistemas embebidos.
  20. Seguridad Industrial 2017 en cifras.
  21. Convergencia TI-TO.
  22. Retos y riesgos de ciberseguridad y privacidad en IoT.
  23. Iniciativas y y mejores prácticas de seguridad en IoT.
  24. 46 métricas para mejorar la ciberresiliencia en un servicio esencial.
  25. Diseño y configuración de IPS, IDS y SIEM en Sistemas de Control Industrial.
  26. Cómo evaluar mi nivel de capacidades en Ciberseguridad según C4V.
  27. Los conocimientos del personal de seguridad industrial.
  28. Ciberseguridad en las comunicaciones inalámbricas en Entornos Industriales
  29. SNMP, ¿es tan simple como el nombre indica?
  30. Cortafuegos transparentes, ladrillos de cristal.
  31. PRP y HSR: Protocolos redundantes.
  32. Robots y drones en la Industria 4.0.
  33. Hardware Hacking en Sistemas de Control Industrial.
  34. CrashOverride: El malware para SCI ataca de nuevo.
  35. Analizando la seguridad sin riesgos: laboratorios de pruebas.
  36. Asegurando la virtualización de tus sistema de control.
  37. Gestión de credenciales en sistemas de control.
  38. Prevención de intrusos y gestión de eventos para sistemas de control.
  39. Insider, las dos caras del empleado.
  40. Amenazas emergentes en entornos industriales.
  41. Honeypots Industriales.
  42. Gestionar el riesgo de los proveedores como propio.
  43. Seguridad en protocolos industriales – Smart Grid
  44. Criptografía para reforzar la ciberseguridad en entornos industriales.
  45. Características y seguridad en PROFINET.
  46. Analizadores de red en Sistemas de Control.
  47. Seguridad Industrial 2016 en cifras.
  48. ¿Nuevo ciberataque a la red eléctrica de Ucrania?
  49. Inventario de activos y gestión de la seguridad SCI.
  50. Líneas de actuación del Esquema Nacional de Seguridad Industrial.
  51. Protocolos Industriales: Herramientas de Seguridad.
  52. ¿Tu empresa es segura? Medir es el primer paso para conseguirlo.
  53. Atrapando sombras en la industria.
  54. Cyber Kill Chain en Sistemas de Control Industrial.
  55. DDOS de actualidad: IoT y los DNS de Dyn.
  56. Seguridad en BlueTooth: Fortalezas y debilidades.
  57. ZigBee en el laboratorio.
  58. Thinking in Big (Data) y la seguridad industrial.
  59. Seguridad desde abajo: dispositivos finales a escena.
  60. Familia de malware en la industria.
  61. Protegiéndose de BlackEnergy: Detectando anomalías.
  62. Seguridad en Comunicaciones ZigBee.
  63. BlackEnergy y los Sistemas Críticos.
  64. Desmontando Modbus.
  65. Safety y security: juntos pero no revueltos.
  66. BMS: Edificios inteligentes, ¿y seguros?
  67. Seguridad industrial 2015 en cifras.
  68. Un SCADA en la ciudad.
  69. Aplicando seguridad en WirelessHart.
  70. Sistemas de control de software libre.
  71. Arquitecturas de seguridad en la nube para la industria.
  72. Las aplicaciones de control se hacen mayores.
  73. Mi SCADA en las nubes.
  74. Evolucionando la comunicación en la industria.
  75. La Ciberseguridad en la Industria 4.0.
  76. Divide y vencerás: Segmentación al rescate.
  77. Monitorización de amenazas en SCADA.
  78. Evolucionando la infraestructura de red en SCI.
  79. Bug Bounties en SCI: Vulnerabilidades en busca y captura.
  80. El consumo eléctrico bajo control.
  81. Buenas prácticas de configuración en la red inteligente.
  82. Disciplina militar en Control Industrial: OPSEC.
  83. Auditorias en sistemas de control.
  84. Amenazas en los Sistemas de Control Industrial.
  85. Certificaciones de seguridad en sistemas de control.
  86. La evolución de los dispositivos en los sistemas de control industrial.
  87. Estándares de ciberseguridad en las redes inteligentes.
  88. BYOD en entornos industriales.
  89. IEC 62443: Evolución de la ISA 99.
  90. La seguridad de los coches inteligentes a examen.
  91. La ciberseguridad en las subestaciones y el estándar IEC 61850.
  92. Herramientas TI que evolucionan para TO.
  93. La evolución del software en los sistemas de control industrial.
  94. Diferencias entre TI y TO.
  95. Normativas de seguridad en sistemas de control.
  96. Identificación de sistemas de control industrial.
  97. Problemática de los antivirus en entornos industriales.
  98. Seguridad en Protocolos de Sistemas de Control Industrial.
  99. Del Air Gap a la Segmentación en ICS.
  100. Guía de seguridad de Sistemas de Control Industrial.
  101. La problemática de la ciberseguridad para los profesionales de los sistemas de control industrial.
  102. Protegiendo Infraestructuras Críticas: no es suficiente con medidas IT.
  103. Hacia una evaluación eficaz de la seguridad en ICS.

Otras Guías de interés:

  1. Guía de Pentest: Recolección de información (Information Gathering).
  2. Guía sobre análisis de tráfico con Wireshark.
  3. Guia de Seguridad en servicios DNS
  4. Ciber-Resiliencia: Aproximación a un marco de medición.
  5. Detección de APTs.

Main differences between IT & OT Cybersecurity

In February, I had the opportunity to give a conference about the key differences between OT and IT Cybersecurity, at IndusSec 2018 Industrial Cybersecurity Congress. It is reasonable that IT security professionals want to introduce in OT cybersecurity, but in my opinion, there are a lot of differences between both. So, in this case, I will translate onto English the main ideas to reach English speakers.

The first one is related to the objectives and priorities. I am sure that when we do not know how to do something, we ask somebody who knows or can give us some valuable information. OT cybersecurity is newer in comparison with IT cybersecurity, so it is reasonable to focus on IT cybersecurity standards and best practices to secure industrial environments. However, it cannot be a right decision. I do not want to say that we cannot apply them. We can, but do not apply them in the same way. Why? Because the objectives and priorities are different. In IT environments, the objective is to protect the “Data” but in OT environment is the “Process”. In order to prioritize, in IT is the “confidentiality” instead of “availability” of an OT environment. So, if both have different objectives and priorities, we must use standards according to each one. IEC 624443 and NIST 800-82r2 instead of ISO 27000.

CIA vs IACSecondly, IT technologies use either Ethernet or TCP/IP to communicate to other systems. It is something that nobody discusses. Nevertheless, in OT environments the presence of protocols based on serial communications is very high, such as Profibus or Interbus. Beside this, migrate to Ethernet technology requires changing the cabling, something that cannot be done if the facilities work 24×7, new communication modules, industrial network design, and so on.

Other key factor, is the latency. In IT networks, we can assume up to 150ms for traffic in real time, but in Industrial Ethernet based networks it is not acceptable. For example, for Real Time (RT) Communications this value is under 10ms and for Isochronous Real Time (IRT) is 1ms. According to this, when we deploy firewalls to filter traffic we have to consider them because each one introduces latency more or less depending on the controls applied. This is, L4 filtering, antivirus, application control and IDS/IPS policies, operation mode (flow or proxy), CPU load, memory use, and so on. Consequently, in some environments, we cannot deploy firewalls as the standards recommend. We do not forget that there are protocols which are able to work in Layer 2, so they cannot be reachable from/to other subnets.

Thirdly, there are the patches. In OT, the equipment lifecycle is bigger in comparison to IT, so it is more likely that we will have either legacy or end of support systems without patches available. So, how can we patch these systems? But if we can get them from the vendor, we will have to decide when we will apply them. Not always can be possible because they can be linked to a reboot, stop or maintenance mode. And of course, affecting to the availability, something that we must ensure.

Patches and Updates

Fourthly, we want to talk about antivirus. In the same way of the previous paragraph we must keep in mind that one thing is the operating system and other is the software installed. If the operating system is too old, probably there will not be capable software for it, such as Microsoft Windows 2000 or XP. But in the best case, when we have compatibility and can use them on our HMI, maybe this solution cannot give us the protection that we are looking for. The antivirus are firm based tools, and if the malware is specific to ICS probably the signature cannot exist. This is, what happened with Irongate, malware discovered by FireEye security company. As they said, this malware was not identified by any of the Antivirus software available on Virustotal website. This invites to keep in mind that even though we have an antivirus on our industrial PC, probably, it cannot be as efficient as we need because they are not prepared for industrial threats.

IRONGATE

Finally, I would like to mention a key aspect, and it is not related to technical features. I will refer to human factor. Until now, the auditors, consultants, networks and system administrators, integrators and other IT technicians talked the same language. If one of them talked about virtualization, databases, software and particular in security devices such as firewalls, intrusion detection/prevention systems, everybody understands each other. But since a few years ago this has been changing because there is other environment to protect, OT.

It has other kind of profiles such us maintenance technicians, process engineers and production managers. We should join them to our work groups, committees and meetings to share with us their knowledge, experience, priorities and needs and vice versa. Until now, IT teams did not know about PLCs, HMIs, RTUs, industrial communication latencies… and OT teams did not know about Endpoint software, next generation firewalls, deep packet inspection, communication ports… Everybody knows about what they have to manage or control. This is, IT teams know about, operating systems, software, routing, switching, and OT teams about, automation, pneumatic, hydraulic, sensors, actuators, etc.

So, if we want to ensure the availability on shop floors, plants, or critical infrastructures, we must know all related to facilities, ICS, systems. The industrial cybersecurity is not a task of either IT or OT people.  It is a shared responsibility, where it joins the best of two worlds, Information and Operation Technologies.

So we have to change from this point of view:

IT and OT Teams_01

To:

IT and OT TEams_02

In my opinion, the obvious conclusion is that we cannot evaluate with same criteria both environments. As I said, if we have different priorities, different objectives, we must apply different approaches to reach our goals. This is, protect the industrial environments. In addition, even though we talk about the same technologies in both scenarios, the characteristics, features or deployment can be very different too. The latencies can be unacceptable, ineffective, require a change of point of view or the risk that we introduce is higher in comparison with that one we want to mitigate.

It will not be easy, because we will have some difficulties and barriers that have to overcome.

See you in the next post, thanks for your time.

Best regards.

Edorta

Question last slide

 

 

Presentación Check Point 1200R Rugged Appliance

Una de las características que presentan los entornos industriales, o aquellos donde estén presentes los sistemas de control y automatización, es lo hostil que puede ser el medio en cuanto polvo, humedad, temperatura, se refiere. Con la necesidad de tomar medidas en materia de ciberseguridad, los equipos deben de poseen una serie de características, aparte de las funcionales, que cumplan con estos requisitos de robustez, tolerancia a fallos, entre otras. Conscientes de esta situación, los fabricantes de soluciones de seguridad perimetral y redes han sacado al mercado productos para cubrir esta necesidad con más o menos gama dependiendo del fabricante. Hoy hablaremos del equipo 1200R del fabricante CheckPoint.

Como podemos comprobar posee un diseño rugerizado soportando un rango de temperatura entre -40 y 75 ºC con un índice de humedad sin condensación entre 20 y 90%. Al igual que otros, no posee un ventilador para su refrigeración, importante para aquellos espacios con gran cantidad de polvo en el ambiente. Pose un total de 6 puertos para comunicar equipos; 4 LAN, 1 WAN y 1 DMZ, pudiendo los dos últimos ser utilizados a través de módulos SFP como fibra óptica. También un puerto serie para comunicación por consola.

Tendremos la opción de alimentarlo bien por un bornero en la parte frontal o con una fuente tradicional a un enchufe a 220V por la zona posterior. Importante tener en cuenta que la que se suministra opera entre 0-40ºC lo cual supone una diferencia notable con respecto al del propio equipo.

En la zona posterior nos encontraremos con un slot para introducir una tarjeta SD-HC y ser utilizada como almacén de logs. El fabricante ofrece una de 32GB de capacidad con lo que, al menos, hasta esta cantidad estaremos cubiertos.

Cara a la instalación, tendremos la opción de colocar un soporte para carril DIN y montarlo en aquellos espacios que así lo requieran.

Sin embargo, conviene prestar atención si nuestra opción sea la de alimentarlo con la fuente de alimentación a 220 V ya que el espacio entre equipo y armario puede no ser el suficiente para el que ocupa el conector.

El equipo trae consigo la posibilidad de ser administrado tanto de forma centralizada a través de una consola de administración, o local vía web. En mi caso he elegido esta opción, para su puesta en marcha inicial. Para ello habrá que conectarse a l puerto LAN 1 e introducir la IP que viene por defecto, 192.168.1.1. Luego seguiremos el asistente para su configuración inicial.

 

 

Luego deberemos de llevar a cabo la actualización sistema y los servicios que trae consigo el propio equipo. Aquí al hacerlo a la versión de Firmware R77.20.75 como podemos apreciar la apariencia cambia.

Hasta aquí la presentación de este equipo que al igual que otros puede ser empleado para técnicas de Virtual Patching, protección de conjunto de equipos, o acceso remoto seguro. En futuras entradas veremos más del funcionamiento y cómo podremos proteger tanto nuestro entornos industriales como nuestras infraestructuras críticas.

Un abrazo!

Edorta

Virtual Library, UPDATED!

Hello everyone!

This time I want to announce the update of the “Virtual Library”. As you know, this webpage is a collection of publications, articles and papers related to Industrial Cybersecurity; protection of Industrial and Automation Control Systems; Industry 4.0; and similar topics.

In this case, I have re ordered the webpage. Now, you can find two tabs named “Empresas” and “Organizaciones, Instituciones”. In the first case, “Empresas” you will find mainly publications and articles written by Cybersecurity Companies, Consultancy firms, and others. In the second tab “Organismos, Instituciones” you will find similar documents divulged by Gubernamental Institutions, non-profit organisations, National Agencies, and so on.

I hope you find them interesting and useful!

See you!

Edorta