Control de Aplicación en entornos ICS/SCADA, Parte I

Posted on por
Anuncios

Hace poco más de dos meses hablaba de la necesidad de utilizar NGFW (Next Generation Firewall) para securizar nuestros entornos industriales. En ese ejemplo empleaba Modbus como protocolo y el uso de la funcionalidad IPS (Intrusion Protection System) para frenar posibles ataques. El artículo lo podéis encontrar a continuación:

¿Por qué es necesario NGFW en entornos ICS/SCADA?

Si bien los fabricantes están incorporando características de seguridad en sus productos, la presencia de equipos que no disponen de ellas es, y seguirá siendo, muy amplia. Esto es debido a que el ciclo de vida de los mismos es mayor si lo comparamos contra entornos IT tradicionales. Esto da pie a que exista equipamiento “antiguo”, totalmente funcional, pero con vulnerabilidades susceptibles de ser explotadas. Esto es comprensible ya que en el momento de su diseño, la seguridad no era una necesidad. Sí, la funcionalidad y robustez, algo que se mantiene en la actualidad. A veces es posible corregirlas mediante actualizaciones, pero no siempre es así ya que el hardware puede ser parcial o totalmente incompatible según el modelo en cuestión. Entonces, bien sea porque no es necesario su reemplazo o técnicamente posible su actualización, la securización pasa por elementos o medidas externas. Y como no, los NGFW son una de ellas.

Otras de las funcionalidades que poseen los NGFW es el denominado “Control de Aplicación”. Esta permite identificar el software que circula por la red, interpretar la información contenida en los paquetes mediante “Deep Packet Inspection” y a partir de aquí, permitir, bloquear, monitorizar o poner en cuarentena el mismo. Esto facilita reconocer herramientas en entornos donde, en principio, no debiera darse esas comunicaciones y por tanto alertarnos de que algo anormal está sucediendo o, aún peor, una actividad hostil.

Si bien resulta necesario frenar cualquier actividad no autorizada o perjudicial para nuestras infraestructuras, mejor aún es poder identificarlas o frenarlas antes de que se produzcan. Situándonos en el papel de un atacante, antes de llevar a cabo cualquier acción han de darse fases como reconocimiento, identificación de equipos, redes, servicios, vulnerabilidades, etc. debiendo emplear herramientas con las que, de forma activa o pasiva, poder obtener dicha información. Por tanto, si somos capaces de detectarlas, no sólo estaremos previniendo una actividad inusual sino además, que algo o alguien pueda estar dando los primeros pasos antes de llevar a cabo una acción mayor. Y como no, si esto se produce, identificar qué es lo que ha fallado o es necesario corregir.

Por poner un ejemplo, propongo el siguiente escenario:

Arquitectura_APP_CONTROL_01

Escribir una leyenda

En la red 192.168.0.0/24 tendremos un PLC (en este caso un Siemens S7-300 emulado con la aplicación Snap7) con IP 192.168.0.65 el cual es accesible desde una Workstation 192.168.0.100/24 destinada a labores propias del entorno. Por otro lado, tenemos una red 10.10.10.0/24 donde ubicamos una DMZ, y en ella, un servidor SCADA con IP 10.10.10.101/24. Por último, la Red de Oficinas bajo un direccionamiento 192.168.1.0/24, donde a priori no debiera haber ningún tipo de software de Control.

Como NGFWs he empleado un Fortinet FortiWifi 60D, el cual tiene instalada una versión FortiOS 5.4.2. Cabe recordar que en esta versión hay que habilitar las firmas “Industrial” ya que por defecto no vienen activadas.

En la siguiente imagen vemos una captura del Software Step7 de Siemens desde la Workstation que citaba anteriormente.

Para el “Firewall Separación IT-OT” de los entornos de Oficinas y de Control, hemos creado el siguiente perfil de “Application Control”. Aquí bloqueamos todo tipo de aplicaciones, no debe darse ninguna comunicación desde un lado a otro.

Sin embargo, ya dentro del entorno OT, en “Firewall Segmentación OT-OT”, sí que permiten las aplicaciones “Industrial” y “Network Services”. Esto es:

Si queremos ser más estrictos podríamos bloquear una categoría completa y permitir a su vez que aplicaciones incluidas dentro de ésta, se ejecuten. Esto es, monitorizar la actividad de estos dos últimos y sin embargo denegar una acción concreta. Esto se consigue mediante la opción “Application Overrides”, cuya configuración prevalecerá sobre la definida de un modo más global.  En la imagen siguiente podemos ver que aunque monitoricemos el tráfico, vamos a impedir especificamente la acción de Bloquear la CPU del PLC mediante el protocolo S7 de Siemens.

También podríamos hacer lo propio definiendo un filtro, “Filter Overrides”. Por ejemplo todas las comunicaciones “Cliente-Servidor bloquearlas independientemente de qué categoría estén.

A partir de aquí será configurar las reglas en el Firewall según sean nuestros direccionamientos, interfaces y servicios de igual manera que lo sería en un Firewall tradicional. Es decir, podemos definir que desde un origen a un destino y bajo un mismo puerto sólo se puedan llevar a cabo tareas específicas de ese protocolo.

Hasta aquí una presentación de los que es y para qué se utiliza el “Control de Aplicaciones” dentro de un NGFW del fabricante Fortinet. En la próxima veremos algunos ejemplos y la funcionalidad de esta característica.

Un saludo a todos, nos vemos en la siguiente y no te olvides que puedes seguirnos también en @enredandoconred .

Un saludo.

Edorta.

Publicaciones CERTSI e INCIBE sobre Ciberseguridad Industrial, actualizado 18/04/17.

Posted on por
Responder
Anuncios

Tanto INCIBE (Instituto Nacional de Ciberseguridad de España) como CERTSI (CERT de Seguridad e Industria) publican a menudo en sus respectivas Webs noticias, guías y artículos sobre distintas temáticas teniendo como telón de fondo la seguridad. Para esta ocasión he ordenado las referentes a Ciberseguriad Industrial, que recopilan un buen número de investigaciones, incidentes, análisis, e informes, sobre distintas temáticas.  Sin duda constituye un conjunto de referencias para el aprendizaje de todo profesional que esté o quiera desempeñarse en securización de estos entornos. Espero que os guste y sobre todo os resulte útil.

Un saludo!

Guías:

  1. Protocolos y Seguridad en SCI.
  2. Identificación y reporte de incidentes de seguridad para operadores estratégicos: Guía básica de protección de Infraestructuras Críticas.
  3. El Puesto del Operador: Guía básica de protección de Infraestructuras Críticas.
  4. Guía de Seguridad de Protocolos Industriales – Smart Grid

 Artículos:

  1. Insider, las dos caras del empleado.
  2. Amenazas emergentes en entornos industriales.
  3. Honeypots Industriales.
  4. Gestionar el riesgo de los proveedores como propio.
  5. Seguridad en protocolos industriales – Smart Grid
  6. Criptografía para reforzar la ciberseguridad en entornos industriales.
  7. Características y seguridad en PROFINET.
  8. Analizadores de red en Sistemas de Control.
  9. Seguridad Industrial 2016 en cifras.
  10. ¿Nuevo ciberataque a la red eléctrica de Ucrania?
  11. Inventario de activos y gestión de la seguridad SCI.
  12. Líneas de actuación del Esquema Nacional de Seguridad Industrial.
  13. Protocolos Industriales: Herramientas de Seguridad.
  14. ¿Tu empresa es segura? Medir es el primer paso para conseguirlo.
  15. Atrapando sombras en la industria.
  16. Cyber Kill Chain en Sistemas de Control Industrial.
  17. DDOS de actualidad: IoT y los DNS de Dyn.
  18. Seguridad en BlueTooth: Fortalezas y debilidades.
  19. ZigBee en el laboratorio.
  20. Thinking in Big (Data) y la seguridad industrial.
  21. Seguridad desde abajo: dispositivos finales a escena.
  22. Familia de malware en la industria.
  23. Protegiéndose de BlackEnergy: Detectando anomalías.
  24. Seguridad en Comunicaciones ZigBee.
  25. BlackEnergy y los Sistemas Críticos.
  26. Desmontando Modbus.
  27. Safety y security: juntos pero no revueltos.
  28. BMS: Edificios inteligentes, ¿y seguros?
  29. Seguridad industrial 2015 en cifras.
  30. Un SCADA en la ciudad.
  31. Aplicando seguridad en WirelessHart.
  32. Sistemas de control de software libre.
  33. Arquitecturas de seguridad en la nube para la industria.
  34. Las aplicaciones de control se hacen mayores.
  35. Mi SCADA en las nubes.
  36. Evolucionando la comunicación en la industria.
  37. La Ciberseguridad en la Industria 4.0.
  38. Divide y vencerás: Segmentación al rescate.
  39. Monitorización de amenazas en SCADA.
  40. Evolucionando la infraestructura de red en SCI.
  41. Bug Bounties en SCI: Vulnerabilidades en busca y captura.
  42. El consumo eléctrico bajo control.
  43. Buenas prácticas de configuración en la red inteligente.
  44. Disciplina militar en Control Industrial: OPSEC.
  45. Auditorias en sistemas de control.
  46. Amenazas en los Sistemas de Control Industrial.
  47. Certificaciones de seguridad en sistemas de control.
  48. La evolución de los dispositivos en los sistemas de control industrial.
  49. Estándares de ciberseguridad en las redes inteligentes.
  50. BYOD en entornos industriales.
  51. IEC 62443: Evolución de la ISA 99.
  52. La seguridad de los coches inteligentes a examen.
  53. La ciberseguridad en las subestaciones y el estándar IEC 61850.
  54. Herramientas TI que evolucionan para TO.
  55. La evolución del software en los sistemas de control industrial.
  56. Diferencias entre TI y TO.
  57. Normativas de seguridad en sistemas de control.
  58. Identificación de sistemas de control industrial.
  59. Problemática de los antivirus en entornos industriales.
  60. Seguridad en Protocolos de Sistemas de Control Industrial.
  61. Del Air Gap a la Segmentación en ICS.
  62. Guía de seguridad de Sistemas de Control Industrial.
  63. La problemática de la ciberseguridad para los profesionales de los sistemas de control industrial.
  64. Protegiendo Infraestructuras Críticas: no es suficiente con medidas IT.
  65. Hacia una evaluación eficaz de la seguridad en ICS.

Otras Guías de interés:

  1. Guía de Pentest: Recolección de información (Information Gathering).
  2. Guía sobre análisis de tráfico con Wireshark.
  3. Guia de Seguridad en servicios DNS
  4. Ciber-Resiliencia: Aproximación a un marco de medición.
  5. Detección de APTs.

 

EuskalHack Security Congress II

Posted on por
Anuncios

Allá por junio del año pasado escribí una crónica de lo que fue el primer Congreso de Seguridad del País Vasco, el «EuskalHack Security Congress». Este año, la asociación se ha puesto manos a la obra para no sólo organizar el segundo sino además, traer consigo algunas novedades para consolidarse como un evento obligado para investigadores, profesionales, amantes o interesados en estos temas.

Si bien algunos de los ponentes del 2016 repiten en esta edición, habrá muchos nuevos tanto a  nivel nacional como internacional y que seguro van a hacer las delicias de todos los que estemos allí. Los primeros en confirmarse fueron Halvar Flake, Alex Ionescu, Steve Lord y Joxean Koret, a los que han seguido Javier Marcos, Pedro Candel, Andoni Valverde, David Sancho, Pedro Sánches, Félix Brezo, Yaiza Rubio, Mikel Iturbe, Borja Martínez, Josep Albors, Eloi Sanfelix y Cristofaro Mune. 

Si bien la mayoría de ellos se desempeñan como profesionales en empresas como CounterCraft, Telefónica, TrendMicro, ESET, Riscure, Innotec, entre otros, también hay profesores e investigadores como por ejemplo de la Universidad de Mondragón.

Como miembro de la Asociación, puedo decir con conocimiento de causa que la elección de los ponentes ha sido muy dura, dejándonos con mal sabor de boca  dejar fuera de agenda otros con excelentes propuestas a la par que interesantes. A los que no podrán estar, cualquier agradecimiento es poco por querer compartir con nosotros sus trabajos y hacer crecer este evento.

Otras de las novedades será la impartición de 3 «Trainings» para los días previos. Los mismos serán:

  1. Hacking IPv6 Networks v4.0
  2. Bug hunting bootcamp Discovering 0day
  3. OSINT Tools and Techniques: A Practical Approach

Sin duda una gran oportunidad para formarse y ampliar conocimientos en estas materias.

El evento además cuenta con descuentos para los asistentes tanto en alojamiento como en transporte. Gesto que es de agradecer teniendo en cuenta aquellos que vienen de lejos  y que, como muchos, no se quieren perder la oportunidad de ver a estos «cracks» dando a conocer el resultado de la inversión de tantas horas de lecturas, práctica e investigación.

Todo esto, y más, lo podéis encontrar en la Web del Congreso . De más está decir que el aforo es limitado y que el precio de las entradas incrementará a medida que estemos más sobre la fecha. Dicho sea de paso, incluyen la comida para ambos días.

Por último agradecer a patrocinadores y colaboradores que con sus aportaciones económicas y contribuciones, hacen posible que este proyecto salga adelante. Sin duda se ha hecho mucho trabajo, pero queda otro tanto por hacer. Sin embargo estamos seguros que la recompensa será el mismo nivel de satisfacción y gratitud en todos los asistentes que se animen a venir y comprobarlo por ellos mismos. No te quedes con las ganas y disfruta con nosotros de Hacking, Pentesting, Reversing, Ciberseguridad Industrial, Exploiting en un lugar de excepción. Y es que, aunque San Sebastián sea nuestro «Centro de Operaciones», Euskadi también está deseando darte la bienvenida.

Nos vemos el 23 y 24 de junio!

Un saludo.

Edorta