Introducción
La integración de firewalls en los Sistemas de Control Industrial (ICS) puede ser una tarea compleja para cualquier profesional de seguridad IT. El reto consiste en equilibrar medidas de seguridad sólidas con la necesidad de mantener un tráfico ICS fluido e ininterrumpido. Un error puede provocar interrupciones operativas y tiempos de inactividad significativos. Este artículo explora estrategias eficaces para desplegar firewalls sin comprometer el flujo crítico del tráfico ICS, garantizando tanto la visibilidad de red como la seguridad.
Comprensión de los desafíos
Antes de abordar las estrategias de despliegue, es necesario entender los desafíos particulares de los entornos ICS:
- Operaciones en tiempo real: los sistemas ICS suelen controlar procesos en tiempo real donde los retardos pueden afectar a la seguridad y la eficiencia.
- Diversidad de protocolos: muchos entornos ICS utilizan una combinación de protocolos heredados y modernos, lo que genera problemas de compatibilidad.
- Disponibilidad por encima de la seguridad: históricamente, los ICS han priorizado el tiempo de actividad y la disponibilidad sobre las medidas de seguridad estrictas.
- Visibilidad de red: lograr una visibilidad completa del tráfico de red es fundamental para monitorizar y proteger los entornos ICS.
Consideraciones clave para el despliegue de firewalls en ICS
1. Mapeo exhaustivo de la red
Un conocimiento profundo de la topología de red es imprescindible. Esto implica:
- Identificación de activos críticos: mapear todos los activos críticos y sus rutas de comunicación.
- Identificación de protocolos: documentar todos los protocolos en uso, incluidos los heredados que puedan requerir un tratamiento especial.
- Patrones de tráfico: comprender los patrones de tráfico normales para distinguir entre tráfico legítimo y potencialmente malicioso.
2. Elección del firewall adecuado
Seleccionar la tecnología de firewall apropiada es fundamental. Considere lo siguiente:
- Firewalls con reconocimiento de protocolos: opte por firewalls que admitan inspección profunda de paquetes y puedan reconocer protocolos industriales como Modbus, DNP3 y OPC UA. Tenga en cuenta que la inspección profunda de paquetes solo funciona mientras estos protocolos circulan en texto plano. A medida que OT adopta el cifrado, el firewall pierde esa visibilidad, mientras que un proxy que termina la sesión la mantiene (más sobre esto a continuación).
- Escalabilidad y rendimiento: asegúrese de que el firewall pueda gestionar el volumen de datos sin introducir latencia.
- Capacidades de integración: el firewall debe integrarse sin problemas con las herramientas y marcos de seguridad ICS existentes.
3. Ubicación estratégica del firewall
Una ubicación eficaz del firewall puede mejorar significativamente la seguridad sin interrumpir el flujo de tráfico:
- Protección perimetral: despliegue firewalls en el perímetro de la red para filtrar el tráfico entrante y saliente.
- Segmentación interna: utilice firewalls para crear zonas seguras dentro de la red, protegiendo las áreas sensibles del acceso no autorizado.
- Redundancia y conmutación por error: implemente rutas redundantes y mecanismos de conmutación por error para mantener la conectividad durante el mantenimiento o fallo del firewall.
Proxy o firewall: dos formas de controlar el tráfico OT
Un firewall y un proxy resuelven problemas relacionados de maneras distintas, y en OT la diferencia es significativa. Un firewall toma una decisión de permitir o denegar un paquete a medida que pasa entre dos puntos, basándose en el origen, el destino, el puerto y, con inspección profunda de paquetes sobre cifrado heredado, el protocolo. El paquete sigue viajando directamente del cliente al activo. Un proxy termina la conexión, autoriza la sesión completa y luego abre una conexión separada hacia el activo. Nada llega al dispositivo hasta que el proxy decide que debe hacerlo.
Ese paso adicional es lo que hace que un proxy sea tan valioso en entornos industriales:
- Ocultamiento: el activo nunca queda expuesto directamente. Los clientes se conectan al proxy, por lo que el PLC, HMI o el historiador permanece invisible para los escáneres y atacantes en la red.
- Mayor visibilidad: dado que el proxy termina la sesión, ve el intercambio completo en la capa de aplicación, los comandos y las cargas útiles, no solo las cabeceras de los paquetes. Y a diferencia de la inspección profunda de paquetes de un firewall, que queda ciega en el momento en que el tráfico se cifra, un proxy mantiene esa visibilidad porque es un extremo de la sesión, no un observador externo.
- Aplicación de identidad: el proxy autentica al usuario antes de que la sesión llegue al activo, aplicando MFA a nivel de red y acceso por usuario incluso a dispositivos que no tienen ningún concepto de cuentas.
- Cifrado: el proxy puede envolver protocolos heredados en texto plano como Modbus y DNP3 en TLS entre el cliente y él mismo, y luego reenviarlos de forma nativa al activo. El dispositivo no necesita admitir cifrado en absoluto.
La razón por la que esto importa es sencilla: un proxy permite desplegar controles de seguridad en los activos que no pueden alojarlos por sí mismos. La mayoría de los equipos OT no pueden ejecutar un agente, no pueden aplicar MFA y no pueden hablar TLS. Un proxy proporciona esos controles en el límite frente al dispositivo, de modo que un controlador heredado obtiene identidad, cifrado y auditoría sin ningún cambio en el activo.
Por eso un firewall no es la herramienta principal adecuada para OT. Los firewalls son útiles en IT general, donde los endpoints pueden defenderse por sí mismos y el cifrado ya es la norma. OT es lo contrario: redes planas, protocolos en texto plano y activos que no pueden alojar ni un solo control propio. En ese contexto, un proxy es la mejor opción para visibilidad, control y protección.
Access Gate de Trout es el appliance que hace esto práctico a escala. Ejecuta proxies OT en toda la planta y proporciona los servicios que esos activos necesitan para operar de forma segura, DNS, sincronización de tiempo, acceso remoto y compartición de archivos, de modo que los equipos que nunca fueron diseñados para conectarse en red de forma segura pueden hacerlo sin quedar expuestos.
Buenas prácticas para minimizar las interrupciones
1. Realizar una evaluación de riesgos
Antes del despliegue, lleve a cabo una evaluación de riesgos exhaustiva para identificar vulnerabilidades potenciales y priorizar las áreas de implementación del firewall. Esto se alinea con los requisitos de gestión de riesgos de NIST 800-171 y CMMC.
2. Pruebas piloto
Despliegue firewalls en un entorno de prueba para evaluar su impacto en el tráfico ICS. Monitorice:
- Efectos de latencia: asegúrese de que las operaciones en tiempo real no se vean afectadas.
- Problemas de compatibilidad: verifique el manejo de protocolos y la interoperabilidad con los sistemas existentes.
3. Despliegue gradual
Implemente los firewalls por fases para minimizar las interrupciones:
- Comience por las áreas no críticas: inicie el despliegue en las partes menos críticas de la red.
- Monitorice y ajuste: supervise continuamente el rendimiento de la red y realice los ajustes necesarios.
- Amplíe el despliegue: extienda gradualmente la cobertura del firewall a las áreas más críticas.
4. Monitorización y registro continuos
- Monitorización en tiempo real: utilice herramientas de monitorización de red para mantener visibilidad sobre los patrones de tráfico y detectar anomalías.
- Gestión de registros: implemente mecanismos de registro robustos para rastrear la actividad del firewall y respaldar el cumplimiento de estándares como NIS2 y CMMC.
Mantenimiento de la visibilidad de red
Lograr visibilidad de red es fundamental para un despliegue eficaz del firewall. Considere el uso de:
- Análisis NetFlow: proporciona información sobre los flujos de tráfico y ayuda a identificar patrones anómalos.
- Inspección profunda de paquetes: permite examinar en detalle el contenido de los paquetes, garantizando que solo se permita el tráfico legítimo.
Conclusión
Comience con un despliegue de monitorización pasiva: capture una semana completa de tráfico en el segmento donde planea desplegar el firewall. Use esa captura para construir las reglas de lista de permitidos. Despliegue el firewall en modo solo monitorización primero, valide que ningún tráfico legítimo quedaría bloqueado y luego cambie a modo de aplicación. Esta secuencia elimina la causa más común de interrupciones ICS provocadas por firewalls: reglas que bloquean tráfico cuya existencia se desconocía.