Preguntas para los Expertos: Cortafuegos Industriales

Para muchos ingenieros de control (incluyéndome a mí), el tema de la seguridad en redes puede ser difícil de entender. Muchos recursos están escritos para usuarios domésticos o de oficina, y las situaciones son tan variadas que no se pueden dar respuestas simples y garantizadas a las preguntas.

Para la consulta de hoy, tenía curiosidad sobre la presencia de cortafuegos en equipos de automatización. Esto me llevó a buscar explicaciones de un equipo que siempre ofrece excelentes aportes sobre el mundo de la informática: OnLogic. Planteé mis preguntas y me proporcionaron respuestas muy buenas.

 

Resumen de los cortafuegos

Antes de profundizar en las preguntas, una breve explicación sobre los cortafuegos podría ser útil, especialmente si este es un tema completamente nuevo para ti.

Esencialmente, un cortafuegos es un software que examina todo el tráfico conectado a una red (como tu conexión wifi o Ethernet) para decidir qué mensajes permitir y cuáles bloquear. Diferentes configuraciones de cortafuegos pueden dar lugar a redes ultra seguras donde prácticamente no se autoriza ningún tráfico, pero, por supuesto, es muy difícil acceder a los dispositivos para programarlos. En el extremo opuesto, una red simple y sin seguridad puede ser fácil de solucionar con cualquier portátil, pero esto puede conllevar grandes riesgos de ciberseguridad.

Generalmente puedes confiar en los dispositivos de tu red, pero realmente no deberías confiar en nada del mundo exterior (la web) a menos que pueda ser verificado.

 

Figura 1. El concepto básico de un cortafuegos.

 

Pero hay muchas más preguntas: ¿cómo funcionan los cortafuegos, cómo se configuran y dónde se almacenan? Para estas respuestas y más, recurrí a mis amigos de OnLogic para obtener la siguiente información.

 

1) ¿Existe alguna diferencia entre los cortafuegos para redes industriales y para redes domésticas/oficinas?

Un paquete de red TCP/IP u otro tiene el mismo formato, independientemente de su entorno. Sin embargo, cada entorno tiene ciertamente sus propias necesidades.

Una red doméstica a menudo requiere nada más que el cortafuegos incluido en un router de cable/DSL/fibra, que generalmente tiene reglas predeterminadas que se traducen aproximadamente en algo como: “deja que mi teléfono en mi wifi doméstico se conecte a internet y reciba respuestas y tráfico relacionado, pero no permitas que extraños en internet inicien conexiones con mi smart TV.”

Mientras tanto, una oficina pequeña o mediana puede tener un solo dispositivo cortafuegos que bloquee el tráfico inesperado, permitiendo que los empleados se conecten a servidores de archivos, impresoras y otros servicios de la empresa.

Una empresa global con múltiples oficinas, sitios de producción y centros de datos puede tener una segmentación mucho más avanzada e interconexiones VPN entre sitios, y alojar tanto sitios web públicos como privados. Para esas necesidades, se deben configurar múltiples cortafuegos para descartar el tráfico no deseado, pero permitiendo que todas las interacciones necesarias ocurran. Esto se hace mientras se registran eventos de red de sistemas de detección de intrusiones para auditorías y análisis, y otras funcionalidades avanzadas. La opción de cortafuegos elegida por cada uno de estos ejemplos podría (y probablemente debería) ser bastante diferente.

 

2) ¿Cómo evitan exactamente los cortafuegos el acceso a una red?

En su forma más básica, un cortafuegos es un dispositivo o aplicación de software que limita el flujo de tráfico de red. La forma en que se logra el filtrado depende del tipo de cortafuegos.

Un cortafuegos de red tradicional inspecciona las direcciones IP de origen y destino de los paquetes individuales, así como los números de puerto TCP o UDP, y luego consulta una configuración predefinida para determinar si el tráfico debe permitirse.

Un cortafuegos stateful más sofisticado, en lugar de considerar cada paquete aisladamente, considera los paquetes dentro del contexto de la conversación de red, leyendo paquetes antes y después para determinar si el tráfico es esperado y aceptable.

Un cortafuegos aún más sofisticado podría inspeccionar la lógica de la capa de aplicación en los propios paquetes. Un ejemplo sería un cortafuegos de aplicaciones web, a menudo llamado WAF, que inspecciona el tráfico HTTP en busca de patrones de explotación conocidos o datos inesperados en el cuerpo de la solicitud. Este tipo de cortafuegos puede ser muy potente y efectivo para proporcionar protección en situaciones donde filtrar solo por dirección IP o puerto no es suficiente para permitir el acceso necesario y mitigar el riesgo a un nivel aceptable.

Una tecnología similar pero ligeramente diferente sería un sistema de detección de intrusiones o sistema de prevención de intrusiones, típicamente abreviado IDS/IPS. Similar a un cortafuegos, un IDS/IPS inspecciona el tráfico de red, registros del sistema y otros datos disponibles. El IDS/IPS emplea diversas heurísticas o algoritmos de ‘aprendizaje’ para determinar si el tráfico es potencialmente amenazante y puede alertar a un equipo de seguridad o tomar acción directa (esa es la diferencia entre detección y prevención). En lugar de tener un conjunto rígido de reglas sobre lo que se permite y bloquea, los IDS/IPS suelen basarse en políticas actualizadas continuamente. Al igual que actualizar un antivirus, el conjunto de reglas de un IDS/IPS debe actualizarse regularmente para adelantarse a patrones de amenaza activos.

 

3) ¿Son bidireccionales, es decir, previenen el tráfico no autorizado tanto de entrada como de salida de la red?

¡Sí! Los cortafuegos pueden configurarse para inspeccionar el tráfico de entrada, de salida o ambos. Aunque tradicionalmente se piensa en los cortafuegos como dispositivos que previenen el acceso a una red o dispositivo, en el panorama moderno de amenazas, el filtrado de salida puede ser igual o incluso más crítico.

Los dispositivos en redes industriales tienden a tener flujos de red mucho más rígidamente definidos que en redes multipropósito para usuarios. En este caso, la seguridad puede mejorarse significativamente implementando un filtrado estricto de salida en el cortafuegos. Considera un dispositivo comprometido, por ejemplo, por un ataque a la cadena de suministro que haya inyectado malware en una actualización. Si el dispositivo está en una red con filtrado estricto de salida, puede que no pueda contactar con su servidor de comando y control, reduciendo significativamente la posibilidad de que se use para encadenar un compromiso mayor antes de ser descubierto y remediado.

 

4) ¿Dónde “vive” el cortafuegos; estaría en un controlador, switch, gateway o IPC?

Algunos controladores industriales (como los PLC) pueden estar comenzando a incorporar funciones de seguridad, pero la mayoría actualmente no tiene funcionalidad de cortafuegos y filtrado incorporada, priorizando en cambio la seguridad y el rendimiento.

Un switch de red puede tener alguna funcionalidad de cortafuegos, o “listas de control de acceso”, dependiendo del switch y sus capacidades en el modelo OSI (o modelo de interconexión de sistemas abiertos). Un dispositivo que funcione como gateway o router a menudo tendrá funcionalidad de cortafuegos, o incluso actuará como el cortafuegos principal.

Las arquitecturas de sistemas de control más simples pueden tener una red aislada compartida entre diferentes funciones, y esta no necesitaría un cortafuegos interno en absoluto. Pero más a menudo, cuando una red segmentada así se conecta a cualquier otra cosa, es cuando un cortafuegos probablemente entra en juego. Dicho esto, algunas arquitecturas de sistemas de control más complejas incluyen cortafuegos entre funciones separadas, por ejemplo, entre interfaces de operador y controladores, para proteger contra ciertos errores del operador o mal uso de la interfaz. También pueden existir simplemente para proteger las interfaces de red del controlador de tener que interactuar con paquetes de red inesperados, manteniendo su rendimiento enfocado en sus tareas previstas.

 

Figura 2. Una red aislada como este ejemplo podría no necesitar un cortafuegos interno, excepto para evitar tráfico excesivo entre dispositivos; un problema de eficiencia, no de seguridad.

 

En circunstancias donde un segmento de red industrial está físicamente conectado a otra red, como correos electrónicos de empleados u otros servicios, o a otro segmento de la arquitectura, el gateway entre esas redes a menudo sería un cortafuegos o un router que realiza funciones de cortafuegos.

 

5) ¿Los cortafuegos son piezas de software que se descargan e instalan, es decir, puede el usuario final de un controlador elegir cierto software de cortafuegos, o lo instala el fabricante?

Los cortafuegos vienen en muchas variedades, desde software para usuarios finales hasta software a nivel de sistema operativo, hasta dispositivos informáticos industriales diseñados específicamente para la inspección optimizada de paquetes de red.

Un ordenador personal con Microsoft Windows tiene un cortafuegos de software incorporado, y una red corporativa puede usar un dispositivo de Cisco, Palo Alto, Fortinet, etc. para proteger los entornos de la empresa. Las colecciones de paquetes de código abierto también pueden ser populares para proteger redes simples a complejas.

En entornos industriales, hay muchas opciones disponibles. Por ejemplo, una red que contiene PLC y HMIs podría estar segmentada físicamente por completo, donde otros dispositivos informáticos, incluso si están físicamente cerca, no podrían enviar tráfico a los dispositivos de automatización sin conectar físicamente otro cable, cuyo acceso suele estar bajo llave. Ese mismo entorno podría estar conectado a un dispositivo cortafuegos de red con reglas de denegar por defecto, con algunas reglas de permitir para ciertos dispositivos privilegiados que ajusten la configuración de los controladores de automatización, ya sea localmente o remotamente a través de una VPN.

 

6) ¿Cuánto control tiene el usuario final sobre la configuración y necesitan actualizarse con el tiempo?

Mientras que muchas opciones de cortafuegos intentan ser lo más amigables posible y mantener todo detrás de una interfaz sencilla, otras ofrecen control total sobre la inspección de paquetes de red, permitiendo un enfoque tan específico como bits concretos en un paquete de red siendo 0 o 1.

Típicamente, hasta complejidades avanzadas de red, un cortafuegos con opciones para inspección stateful de IP de origen/destino y puertos TCP o UDP de origen/destino puede ser suficiente.

En entornos donde el equipo y la topología cambian poco, las modificaciones a las reglas del cortafuegos pueden permanecer sin cambios durante largos períodos. Puede haber momentos en que se introduzca nuevo equipo o se incorpore un nuevo ingeniero, por ejemplo, que requiera cambios menores en la configuración del cortafuegos para asegurar el acceso necesario. Otros entornos pueden cambiar más rápidamente, con nuevos servicios introduciéndose comúnmente, cambios de personal o apertura de sitios, requiriendo ajustes más frecuentes.

Incluso si los cambios son poco frecuentes, se recomienda realizar auditorías regulares de las configuraciones del cortafuegos para asegurar que no se hayan concedido permisos accidentales que puedan resultar en un error o, peor aún, en una vulnerabilidad que pueda ser explotada en un ataque.

 

Cortafuegos en redes industriales

Este artículo es solo una breve visión general de algunas de las preguntas que rodean a los cortafuegos y la seguridad. Espero que sirva como una base sólida para desarrollar más habilidades en principios de redes seguras en el futuro.

 

Todas las imágenes usadas cortesía del autor