Como he hablado en otras ocasiones el primer paso para securizar un entorno de control y automatización es separarlo del de IT mediante un dispositivo de seguridad perimetral. Luego, ya dentro del propio entorno OT, es necesario segmentar la misma en áreas más pequeñas con el fin de que si se produce un anomalía o incidente, éste no se propague al resto y ponga en peligro la disponibilidad total, o parcial, de las instalaciones.
El dispositivo estrella para este tipo de tareas es el firewall. Los cortafuegos tradicionales (L2, L3, L4) han quedado ineficaces ante el creciente y diversificado aumento de amenazas, vulnerabilidades y vectores de ataque. Surgen entonces los NGFW (Next Generation Firewall) que además de las características típicas incorporan otras como motores Antivirus, IDS/IPS, Control de Aplicación, Filtrado Web y DPI (Deep Packet Inspection).
A continuación, indico algunos enlaces de artículos relacionados a este respecto.
- Defensa en Profundidad, breve repaso.
- Defensa en profundidad OT
- Separar y Segmentar, primeros pasos para reducir riesgos…
- Virtual Patching en funcionamiento (Parte I)
- Virtual Patching en funcionamiento (Parte II)
- Virtual Patching en funcionamiento (Parte III)
En la entrada de hoy vamos a ver la necesidad de este tipo de dispositivos NGFW en detrimento de los tradicionales. Para ello me voy a basar en el software utilizado en la entrada “Simulador de protocolo ModBus”, creado el siguiente entorno.
La idea es representar dos supuestos entornos; uno IT (de Oficinas) y uno OT (de automatización). En este último he simulado un equipo cliente ModBus el cual será el “objetivo” de las acciones a realizar. Por otro lado, en parte de IT/OT, situaré el posible “atacante” (Kali Linux) junto con un equipo legítimo (Maestro Modbus). He decidido especificar IT/OT para cubrir dos supuestos. Cuando me refiero a “IT”, represento el concepto de “Separación” y con “OT” el de “Segmentación”. De esta manera cubrimos las posibles acciones llevadas a cabo desde la propia red de Control como desde otra ajena a éstas como puede ser la de «Oficinas» o Internet si consideramos equipos accesibles remotamente. En cualquiera de los casos, ambos están separados por un equipo Fortinet FortiWifi60D con una versión de FortiOS 5.2.8. Habrá que piense que esta versión ya tiene un tiempo y que las hay más nuevas. Tiene razón, pero hay una explicación. Las actualizaciones en equipos industriales, se producen en intervalos de tiempo superiores si lo comparamos contra entornos IT con lo que es muy común encontrarse no con las últimas. Además de esto, no debemos olvidar el uso de equipamiento acorde a la actividad que vamos a realizar. Lo correcto sería emplear, por ejemplo uno de la serie Fortinet Fortigate Rugged.
Así pues, el esclavo queda configurado como sigue:
Por otro lado, el firewall permite el tráfico según la siguiente regla.
Como se puede apreciar sólo se deja pasar el protocolo “ModBus” (TCP-502), entre la red 172.30.123.0/24 y el destino “Esclavo_MODBUS” (172.20.123.200). Lo suyo sería dejar pasar sólo aquellos equipos que lo necesiten. Aparte de ser un entorno de laboratorio, en la vida real, es probable que alguien se pueda configurar manualmente la IP de un equipo legítimo, la infección de uno de ellos o las conexiones vengan de redes configuradas con DHCP con lo que se abra a todo su rango. No es descabellado. Lo dicho, cobra especial importancia la correcta configuración de las reglas del firewall.
Según lo anterior el resultado de una conexión legítima al esclavo sería la siguiente:
Considerando las características de ModBus que no posee ninguna medida de seguridad nativa, un atacante podría con alguna herramienta poder leer o escribir datos. Para este caso he utilizado mbtget, la cual podéis encontrar aquí.
Así pues leeremos los siguientes registros:
Y… oh sorpresa! el usuario legítimo lo vería….
Con ello vemos que los Firewall tradicionales no son del todo efectivos para este tipo de entornos y protocolos. Vamos a proceder a configurar el “Perfil de Seguridad”, término que emplea Fortinet para definir las características de seguridad adicionales y que son definidos en cada una de las reglas. Estos perfiles pueden ser ajustados según necesidades. En el siguiente ejemplo optamos por activar en “Modo Monitor” de la característica “IPS” con lo que operaría como un IDS (Intrusion Detection System) en lugar de un IPS (Intrusion Prevention System) :
Aún podríamos llevar a cabo una escritura con el valor “55555” en el esclavo desde el equipo atacante, ya que sólo detectaríamos tal acción:
Generaríamos el siguiente log en el Firewall.
Y también, hacer una lectura:
Como vemos en los logs del Firewall, en la columna “Action” vemos como figura “detected”. El tráfico se ha detectado pero no se ha cortado.
Sin embargo, si cambiamos el perfil IPS y esta vez lo reconfiguramos como “Block”
El atacante se encontrará que no podrá llevar a cabo la escritura. Por ejemplo modificando el primer campo con el valor “8888”. Se produce un “timeout”.
Y el correspondiente log en el Firewall:
Aquí ya vemos cómo en la columna “Action” ya consta como “Dropped”.
Idem con la lectura:
Mientras tanto el cliente legítimo sigue funcionando con total normalidad.
En el día de hoy hemos comprobado la funcionalidad IDS/IPS para este equipo del fabricante Fortinet, sin embargo, no es la única que debemos aplicar. Hay que apoyarse en otras como Antivirus, Control de Aplicación y filtrado Web. Esto debe mantenerse bajo cualquier circunstancia, también cuando estos firewalls se empleen para establecer VPN y acceder a éstos de forma remota.
Adicionalmente, conviene que los logs generados, se consoliden en un servidor para poder ser almacenados y analizados bien para llevar a cabo una monitorización del estado de la seguridad por medio de un SIEM, como para realizar labores de forénsica en caso de ser necesario. Fortinet cuenta con algunos productos específicos como FortiAnalyzer o FortiManager, que aunque sea este último una herramienta de gestión incorpora algunas funcionalidades de gestión de logs. Este tipo de soluciones deben de contemplarse desde el inicio de los proyectos. Hemos de tener una visión más allá del despliegue inicial ya que todo lo que instalemos luego hay que administrarlo por lo que a la hora de elegir tal o cual producto, esto también ha de considerarse.
Un saludo a todos, nos vemos en la siguiente y no te olvides que puedes seguirnos también en @enredandoconred .
Muy buen tema ,muchas gracias por compartir y ser tan especifico.
Saludos.
Muchas gracias Antonio, se agredece tu comentario. Me alegro que el contenido te resulte interesante y esté bien estrucuturado. Un saludo!
Pingback: LogicLocker, un Ransomware para ICS | Enredando con redes …
Pingback: Control de Aplicación en entornos ICS/SCADA | Enredando con redes …
Pingback: Proveedores Externos, posible punto de entrada… | Enredando con redes …
Buenas! Un post muy interesante, como todos los que he leído en este sitio. Muchas gracias por los aportes; temas interesantes, bien estructurados, claros y con detalle. La verdad, muy útil.
Por otro lado, una pregunta: no me queda claro por qué cuando se activa el IPS («Block») el cliente legítimo (el maestro modbus) no tiene problemas en leer del esclavo; según veo en las reglas del firewall, no hay distinción a nivel de IP de la fuente de la regla, que está establecida para RED_LAN… No deberían configurarse las reglas de modo que sólo el maestro (172.30.123.100) puede hacer las lecturas?
Gracias de nuevo por los aportes!
Muchas gracias por tu comentario! Efectivamente, las reglas deben limitar las comunicaciones que previamente han sido identificadas, y autorizadas. Luego sobre ellas aplicar los distintos controles para detectar cualquier anomalía dentro de ellas. Además de lo anterior es necesario identificar las consignas que se envían ya que no sólo es preciso saber cómo se comunican sino lo que se dicen, Read and Write de valores o variables. Un saludo!
Pingback: Enredando con redes ...SIEMENS SCALANCE S615, firewall para protección de célulaEnredando con redes …