Gestión de redes y Ciberseguridad

Para que podamos bastionar, configurar, habilitar o deshabilitar servicios, características o funcionalidades de los equipos presentes en los entornos industriales, plantas, talleres, maquinaria, células de automatización, etc. éstos deben de ser capaces de ser administrables. Es decir, poder acceder a ellos bien de forma local o remota, a través de una interfaz gráfica, de texto o cliente software, y así poder llevar a cabo cambios sobre sus prestaciones.

En paralelo, con el creciente aumento de la conectividad los switches juegan un papel fundamental ya que es el primer elemento que permite a los dispositivos a ellos acceder a otros por medio de una red, bien Ethernet o Ethernet Industrial. Sí, una cosa son las comunicaciones en los entornos de oficinas o IT (Ethernet) y otra muy distinta la red de planta, periferia, o buses de campo sobre Ethernet Industrial.

Desafortunadamente, bien por cuestiones económicas o desconocimiento, la existencia de estos equipos no gestionados es muy muy amplia. Así como en entornos IT nadie imagina no poder configurar una VLAN, tener una interfaz de administración, configurar un puerto espejo, etc. en los entornos OT es muy común no disponer de ello.

Esto hace que cualquier equipo va a tener total visibilidad sobre los elementos de su subred por estar en el mismo dominio de Broadcast pudiendo descubrir bien a través de protocolos como LLDP, peticiones ARP, etc. los equipos allí presentes. Si esto lo sumamos a la existencia de redes planas en la que o no hay o todo es la misma VLAN el alcance es mucho mayor.

Menú de configuración switch Phoenix Contact

A esto hay que sumar la posibilidad que terceros, esto son ingenierías o proveedores, puedan conectarse a nuestras redes para llevar a cabo intervenciones programadas o puestas en marcha, lo que sumado a una falta de implementación de controles de acceso podría dar lugar al robo, copia o modificación no autorizada de desarrollos, programaciones, configuraciones o parametrizaciones hechas por cada uno de ellos. Y que dicho sea de paso puedan ser nuestra competencia.

Por ello desde un punto de vista de aplicación de seguridad en redes es vital que debamos desplegar switches que sean gestionables para poder aplicar esos controles y que un switch no gestionable no podrá. Pasamos de comunicar todo con todo, tener plena visibilidad a decir esto sólo debe comunicarse con esto y sólo esto debe verse con aquello.

Esto nos va a permitir aplicar de manera más eficiente estrategias como la microsegmentación o aplicar un control de accesos a más bajo nivel para aquellos escenarios donde tengamos que reducir el nivel de exposición de equipos más críticos. También es cierto que existen cortafuegos que permiten operar en capa 2. Por ejemplo, en modo “Transparent” para productos del fabricante Fortinet, “Virtual Wire” para Palo Alto o SCALANCE de SIEMENS.

En la teoría esto es un gran recurso, pero lamentablemente todo tiene un precio, tanto de adquisición como de mantenimiento. Comprar un NGFW y no renovar las licencias de soporte y actualización, poca protección nos va a ofrecer más allá de la capa 4. Aparte, claro está, que cada uno de ellos va a constituir un único punto de fallo, salvo que los despleguemos en HA (Activo-Pasivo; Activo-Activo) donde su coste será mayor.

Por ello resulta necesario que todo cuanto pueda aplicarse desde la electrónica de red, necesaria para el funcionamiento debe aplicarse. Así podrán llevarse a cabo una reducción del grado de exposición y delimitar los tráficos antes de que otro elemento como puede ser un de ser un cortafuegos, pueda llevar un filtrado sobre los paquetes o tramas.

Interfaz de gestión de Switch SIEMENS XC 208

Pero esto no es lo único que deberemos tener presente. Los equipos gestionables al poseer una interfaz para el acceso, bien gráfica o CLI a la que también debe aplicarse medidas de control, des habilitar funcionalidades no utilizadas, emplear protocolos que ofrezcan medidas para garantizar la confidencialidad por ejemplo de credenciales, etc.

Si un usuario no autorizado ganase acceso podría en un momento dado cambiar parámetros que pudieran generar inestabilidad en las comunicaciones, impedir acceso legítimo, creación de nuevos usuarios, entre otras muchas opciones. Por ejemplo, según la siguiente imagen des habilitar la redundancia para una topología en anillo.

Configuración de topología en anillo en switch SIEMENS XC208

Hasta aquí la entrada de hoy. Nos vemos en las siguiente donde trataremos más aspectos de sobre la protección de redes industriales.

SIEMENS SCALANCE S615, firewall para protección de célula

La seguridad perimetral es, y seguirá siendo, el primero de los requisitos para proteger los entornos industriales. Si no somos capaces de establecer los límites y saber hasta dónde llegan los entornos IT y OT, poco podremos hacer a favor de su seguridad. Para ello la apuesta es el despliegue de NGFW y ejercer así un control hasta Capa 7 para Separar y Segmentar nuestras redes. Pero si lo que necesitamos, o queremos, es ir un paso más allá y bajar a nivel de célula, también podremos hacerlo empleando modelos más pequeños pero adaptados físicamente a situaciones ambientales más hostiles de temperatura, humedad, polvo o campos electromagnéticos. Tal es el caso de modelos como Fortinet Fortigate Rugged30D, 35D, 60D y 90D; CheckPoint 1200R o Palo Alto 220R

Sin embargo, puede haber escenarios en los que este grado de protección a bajo nivel no pueda o no tenga porqué alcanzarse.

Por un lado, hay que tener en cuenta un que las actualizaciones de las firmas Antivirus, Control de Aplicación, IDS/IPS, Filtrado Web hay que renovarlas asumiendo un coste mayor o menor dependiendo el número de equipos o el período de soporte contratado. Y por otro, que cada organización determinará el grado de riesgo asumible en función de su actividad. Por lo que podrá aceptar que no es aceptable tal inversión, dando por buena una protección hasta Capa 4 implementando en firewalls superiores los citados controles.

No nos podemos olvidar que cada proyecto lleva aparejado un consumo de recursos, tanto de tiempo, personal y dinero. Dicho de otra manera, ¿cuánto tiempo necesito? ¿Cuántos profesionales me hacen falta? Y … ¿Cuánto me va a costar? Y en este sentido, no solamente en el momento del despliegue sino en los años sucesivos.

Cada organización es única, con lo que arquitecturas, sistemas, procesos, riesgos, amenazas, vulnerabilidades entre otros factores deben ser tratados de forma individual.

Por tanto, por muy buenas y que sean las medidas, y las propuestas sean de máximos, puede haber muchos condicionantes que nos hagan reducir nuestras pretensiones y no ir a propuestas de máximos. Por tanto, deberemos buscar una vez más alternativas y aproximaciones distintas.

En este sentido los fabricantes de equipos industriales disponen de productos de networking para una u otra función. Tal es el caso del equipo SIEMENS Scalance S615

Se trata de un Router/Firewall de pequeño tamaño con el que podremos crear hasta un total de 128 reglas de filtrado en Capa 4 y con el que podremos apoyarnos para realizar un filtrado de las comunicaciones. Posee un diseño pequeño, para equipos individuales o un conjunto reducido de ellos, pudiéndose instalar como es lógico, sobre carril DIN para un montaje próximo al equipo final.

Permite ser alimentado por doble fuente de alimentación a 24VDC, mientras que sus 5 puertos RJ45 nos permiten conectar distintos equipos a nivel de célula un rango de operación de -40º a 70º C. La protección ambiental está situada en IP20.

Ya dentro de las funcionalidades de filtrado (de tipo “Stateful Inspection”) si bien no tendría mucho sentido hacerlo, podremos deshabilitar la funcionalidad de cortafuegos.

Luego dentro del mismo menú podremos definir Servicios IP, Protocolos a nivel de capa 3 e incluso establecer el tipo y código permitidos por ICMP.

La definición de servicios lo encontraremos en la pestaña “IP Service”, desde donde luego los encontraremos como veremos en las reglas a configurar.

Las reglas las configuraremos en la pestaña “IP Rules”. En cuanto a las acciones podremos elegir entre Permitir, denegar o denegar sin enviar ninguna notificación al emisor.

Adicionalmente a las IPs origen y destino, podremos definir las interfaces de entrada y salida para luego completarlas con los servicios.

Para cada una de ellas podremos indicar si queremos registrar algún tipo de log y su respectiva categorización en caso de “machee” con alguna de las reglas configuradas. En nosotros estará definir qué es más o menos importante.

Luego en otro de los menús podremos visualizarlos.

En este sentido conviene mencionar la posibilidad de enviarlos a un servidor Syslog para poderlos consolidad junto con los de otros equipos. Esto cobra especial importancia si contamos con un sistema de correlación SIEM con el que podremos detectar anomalías de forma conjunta y contextualizada.

Como podemos apreciar se trata de un cortafuegos con capacidades reducidas, y con limitaciones en comparación productos de fabricantes especializados. No obstante, puede ser un buen recurso como apoyo a otros con las funcionalidades y motores de análisis necesarios para garantizar unos niveles de protección acordes a las amenazas de hoy en día.

Tal es el caso de la protección PLCs, RTU´s como se puede apreciar en la imagen siguiente.

Hasta aquí la presentación de este equipo, que aunque sencillo, puede ayudarnos a mejorar los controles de acceso a equipos finales.

¡Nos vemos en la próxima!

Un saludo.

Sumando fuerzas, Switching y Firewalling para proteger maquinaria e instalaciones industriales

Dentro de cualquier estrategia de protección de entornos industriales no podemos pasar por alto la heterogeneidad de éstos. No podemos considerar de igual manera una actividad dedicada a la fabricación de vehículos, farmacéutica, alimentación o componentes electrónicos. Los tiempos de respuesta, los máximos asumibles de parada, estrategia de producción, pueden no ser para nada similares. Por tanto, la manera en la que debemos priorizar y desplegar las medidas que prevengan incidentes, debe ser distinta.

Pero independientemente del sector, los propietarios de los activos (esto es, las propias empresas) incorporan tecnología distinta de fabricantes, ingenierías, integradores o cualquier otra tercera parte debido al alto grado de especialización aparte de la complejidad o necesidades concretas de estos entornos. Claro está, que en muchos casos sea más operativo, económico o práctico externalizar estas tareas en lugar de desarrollar la solución y el conocimiento con medios internos.

Puesto que forman parte del proceso, se ha de acordar contratos de mantenimiento con el fin de garantizar un recurso en caso de ser necesario y recibir soporte a lo largo del ciclo de vida del producto, que como sabemos, dentro del mundo es OT es mayor que el tradicional IT. Esto es, respuesta ante una incidencia, actualizaciones, modificaciones o cualquier otra razón, de tal manera que el propietario de ese activo no pueda ver afectada su actividad por no saber resolver, atender o actuar sobre él.

Esto supone un problema para los citados integradores ya que una vez sus sistemas o maquinaria están en las instalaciones de sus clientes, dejan de tener, a priori, un control sobre el mismo. No tienen la garantía de que alguien pueda, en un momento dado, “conectarse” y llevar a cabo una acción que derive en un mal funcionamiento y generar un incidente con mayor o menor impacto. Por tanto, resulta necesario controlar los puntos de conexión a ese equipamiento en particular al de red como switches que permitan la comunicación entre equipos y componentes. Particularmente si hay consecuencias económicas…

En este sentido la conjunción de Switches y Firewalls del fabricante Fortinet pueden ayudarnos ya que dichos cortafuegos poseen la capacidad de controlar algunas funciones de los switches mediante un controlador embebido.

En este caso disponemos de un Fortigate Rugged 90D y un FortiSwitch Rugged 112D-PoE.

El Firewall será el que nos una a la red del cliente y evitará que un activo de la red de éste llegue a los componentes de la instalación o maquinaria en cuestión. La configuración podrá ser variada según la topología, esto es, que opere a nivel de capa 2 o 3. Será pues nuestra seguridad perimetral. El modo de acceso lo podemos establecer a través de un túnel VPN a partir de las opciones que nos permite el equipo. Obviamente, habilitaremos los distintos perfiles de seguridad como Antivirus, IDS/IPS, Control de Aplicación, etc.

Ya aguas abajo del Cortafuegos, el Switch permitirá la comunicación entre los equipos finales. Cómo configuremos ambos equipos dependerá del tipo de instalación, arquitectura, tipo de tráfico, conexionado, entre otras variables.

Para poder llevar a cabo esta administración, deberemos configurar una de las interfaces del Fortigate para la comunicación con el FortiSwitch empleando el protocolo FortiLink. En nuestro caso serán enlaces por medio de dos SFP de fibra en ambos extremos. Podréis encontrar más información en estos dos enlaces, enlace 1 y enlace 2.

Por defecto el switch operará en modo “Local Management”.

Si decidimos gestionarlo desde el Firewall deberemos tener presente que la se borrará cualquier configuración existente.

Hecho esto, se nos generarán dos interfaces, dependiendo de las características habilitadas.

Para poder agregar el switch deberemos ir al apartado “WIFI & Switch Controller” y comprobar que el switch se ha detectado y autorizarlo. Una vez hecho el mismo se reiniciará. Según el modelo del switch, por defecto se definirán algunas interfaces de “Auto-discovery”. Podréis encontrar más información aquí.

En el siguiente apartado podremos crear las interfaces de cada una de las VLAN que necesitemos. En mi caso he creado la VLAN100.

A continuación, podremos asignar a cada puerto la correspondiente VLAN y configurar algunos otros parámetros adicionales relativos a PoE, STP, Status, etc.

El último apartado será lo relacionado a las Políticas de Seguridad, algo que nos es objeto por ahora, todo se andará.

Cabe mencionar que aunque veamos que las características de parametrización son menores podremos abrir un CLI desde el apartado “Managed FortiSwitch”.

No obstante, si lo deseásemos también podríamos acceder a la interfaz web. Para ello deberemos de configurar una ruta estática que apunte a la interfaz creada para el enlace Fortilink.

A partir de ahí, podremos acceder a él, no sin antes ser avisados de que este equipo está siendo gestionado por un Fortigate.

Así pues, lo que he querido mostrar hoy es la posibilidad de administrar desde un Firewall algunos parámetros de un switch y con ello ejercer un control sobre los puertos de éste desde éste sin tener la necesidad de acceder a él. Por ejemplo, ante una tarea de mantenimiento, por defecto, dejaremos deshabilitados los puertos que no se utilicen y habilitar uno en caso de ser necesario. Pero si en contreto se trata de una tarea ejercida por un personal externo a la organización como puede ser la ingeniería que construyó la citada maquinaria podríamos, crear una VLAN concreta, asignarla aun puerto del switch y que todo el tráfico pase por el firewall hacia los equipos autorizados, teniendo registro y control de lo que se realice. Aparte, someterlo a filtrado de capa 7, generando los logs pertinentes y registrando evidencias de lo que suceda.

Además, hemos de recordar que los equipos FortiGate también disponen de un controlador Wi-Fi con lo que de forma análoga podremos administrar puntos de acceso tal y como se muestra en la imagen siguiente.

Esto lo podríamos acompañar como puede ser el software FortiClient tal y como lo hablaba tiempo atrás en la entrada “Controlando a nuestros Proveedores, Parte I” y “Controlando a nuestros Proveedores, Parte II”.

Desde luego este es el aspecto más básico ya que podremos explotar algunas funcionalidades más que por ahora no hemos contemplado.

Un saludo, hasta la próxima!