Inicio / Blog / Acceso seguro a SCI: arquitectura de red para accesos externos

Acceso seguro a SCI: arquitectura de red para accesos externos

Publicado el 27/09/2018, por INCIBE
Acceso seguro a SCI: arquitectura de red para accesos externos

En el artículo Acceso seguro a los SCI: doble factor y accesos externos ya se han dado una serie de recomendaciones y buenas prácticas para incluir un doble factor de autenticación para los accesos desde el exterior. En este caso, nos centraremos en mostrar cómo reforzar la arquitectura de red para dichos accesos y en ver cuáles son los elementos necesarios para conseguirlo.

La arquitectura y red industriales

Para tratar los accesos desde el exterior se va a tomar como arquitectura de referencia la presentada por la ISA-95, donde se definen 5 niveles para las empresas industriales. Además, nos apoyaremos en la norma IEC 62443 donde se recopilan una serie de buenas prácticas sobre cómo deberían definirse las zonas y cuáles son los conductos que comunican dichas zonas.

Los 5 niveles que se presentan en la normativa ISA-95 son los siguientes:

  • Nivel 4: Actividades relacionadas con el negocio, necesarias en una organización industrial.
  • Nivel 3: Gestión de las actividades y flujo de trabajo necesario para producir.
  • Nivel 2: Funciones de monitorización y supervisión de procesos.
  • Nivel 1: Actividades implicadas en el control y manipulación de procesos físicos.
  • Nivel 0: Procesos físicos propiamente dichos.

- Pirámide de niveles ISA 95 -

Una vez se han identificado los activos adecuados para la red, es importante ubicarlos y configurarlos de forma segura siguiendo las políticas internas de la compañía. A la hora de definir una buena segmentación, es necesario considerar los protocolos implicados y sus limitaciones. Además, la segmentación como tal aporta cierto nivel de seguridad respecto a las posibles intrusiones dentro de la red.

Una arquitectura de red debe tener elementos y mecanismos de ciberseguridad que proporcionen protección. Es lógico que uno de estos elementos sean los cortafuegos, los cuales son responsables de separar elementos de diferente criticidad y, en función de donde se encuentren en la red, aplicarán medidas más o menos restrictivas. Por otro lado, los switches también son elementos necesarios en la red y deben de estar correctamente configurados, incluyendo un soporte para VLAN en donde sea necesario para complementar la tarea de segmentación realizada por los cortafuegos. Otros elementos útiles dentro del a red podrían ser los IPS (Sistema de Prevención de Intrusos) e IDS (Sistema de Detección de Intrusos), elementos que detectarían anomalías en el tráfico e incluso podrían llegar a bloquearlo en el caso de que fuera necesario.

Después de identificar los activos adecuados y los elementos de red orientados a ofrecer servicios de ciberseguridad, hemos de definir las zonas y conductos donde deberán ser colocados. En esta ocasión nos centraremos exclusivamente en las zonas implicadas para un acceso externo.

Arquitectura de red para acceso externo

Para que se entiendan adecuadamente los conceptos planteados en este artículo se va tomar como ejemplo la casuística siguiente: “Un empleado del fabricante A necesita actualizar, desde su oficina y de forma remota, el software de la remota (RTU) vendida a la empresa B”.

Una buena práctica a nivel de política interna, y antes de realizar cualquier actuación desde el exterior hacia los sistemas TO, debería ser la petición de una solicitud de actuación por parte del fabricante o de quien requiera dicho acceso. En esta solicitud se deberá indicar tanto el motivo como quién realizará dicha actuación, reflejando también cuál será la ventana de actuación.

Supondremos que la conexión entre la oficina del fabricante y el cortafuegos perimetral de la empresa B se realizará mediante una conexión VPN, configurada para solicitar doble factor de autenticación. Además, esta conexión se deberá configurar con los parámetros de seguridad recomendables, así como el uso de algoritmos de cifrado fuertes. El usuario y contraseña utilizados deberán cumplir la política de contraseñas seguras de la compañía.

Una vez conectado a la VPN, el cortafuegos será el responsable de permitir el acceso a una máquina de salto específica para dicho uso y este acceso se gestionará en función del usuario que haya accedido. La máquina de salto deberá estar debidamente bastionada y los usuarios que accedan a ella deberán tener los mínimos privilegios posibles.

Además, en caso de que fuera necesaria la instalación de software de terceros en la máquina de salto, será responsabilidad de este tercero proporcionar todos los aplicativos necesarios para poder llevar a cabo el mantenimiento remoto, los cuales deberían ser instalados única y exclusivamente por los responsables de sistemas de la infraestructura y nunca por un externo.

La ubicación más adecuada para esta máquina de salto tendría que ser una red de intercambio (DMZ) debidamente aislada, de forma que, incluso lógicamente, se encuentre separada del resto de la infraestructura. Si fuera posible, se tendrían tantas máquinas de salto, normalmente en formato virtual, como proveedores requieran acceso, y dichas máquinas tendrían acceso exclusivo a los dispositivos de su propiedad. Véase, en el escenario propuesto, el fabricante A solo deberá acceder desde la máquina de salto A a las RTU del fabricante A y en ningún caso deberá tener acceso o visibilidad a los dispositivos de otro fabricante.

Todos estos accesos a equipos internos de la empresa deberían estar configurados para mostrar un mensaje de alerta con la información oportuna de la compañía y las condiciones de prestación del servicio (disclaimers informativos o de responsabilidad habitualmente) que deben ser cubiertas por el usuario.

Una vez terminada la actuación sobre el dispositivo implicado o el tiempo de esta haya excedido, la sesión en la máquina de salto deberá ser suspendida y la conexión de la VPN deberá ser cerrada. Evidentemente, dependiendo de la criticidad de la actuación, lo cual se conocerá de antemano gracias a la solicitud, se debe poder configurar que la máquina de salto no finalice de forma abrupta, sino que pregunte y deje extender el tiempo de sesión.

- Conexión remota segura a los sistemas de control -

Soluciones de código abierto

Actualmente existen muchas soluciones comerciales en el mercado, las cuales, en mayor o menor medida, cubren las expectativas y necesidades de prácticamente cualquier compañía. Estas soluciones pueden ser tanto para desplegar un cortafuegos físico o virtual, como para un sistema de monitorización para la correlación de logs y eventos o incluso para la virtualización de servicios.

Sin embargo, existen soluciones de código abierto que pueden cubrir parte de los requisitos de la organización. Por ejemplo, para el despliegue de un servicio VPN, la solución OpenVPN podría ser muy interesante ya que es una herramienta de software libre que ofrece conectividad punto-a-punto, utiliza el protocolo SSL para la capa de cifrado y VPN para la creación de la red virtual. Existen otras soluciones libres como Openswan u OpenConnect por ejemplo. A nivel de cortafuegos y router, la distribución pfSense es una de las más utilizadas por la comunidad y cuenta con multitud de módulos disponibles para aumentar sus capacidades (ej. OpenVPN, Snort o Squid). En lo que a virtualización y gestión de máquinas virtuales se refiere, deberíamos mirar con detalle soluciones como Xen Project o KVM por ejemplo.

Esto es solo una muestra de las muchas soluciones tecnológicas de código abierto que existen en la comunidad, las cuales se debería de tener en cuenta como alternativa a las soluciones comerciales, sin desmerecer ninguna de ellas.

Conclusiones

Conseguir la seguridad absoluta en una red es imposible, pero existen muchas maneras de aumentarla, por lo que hay que ser conscientes de cuáles son las zonas con mayor exposición y riesgo, como en este caso lo son los accesos externos, para focalizar las soluciones en esos puntos. Por ello, se han de analizar todas las combinaciones existentes con el fin de aproximarse lo máximo posible a esos diagramas propuestos en las normativas y estándares de referencia.

Los accesos seguros son una capa más de la estrategia de defensa en profundidad, y no solo debe de existir seguridad en esa capa sino también en los demás niveles e ir en concordancia de los procedimientos y políticas internas.

Finalmente, no solo las soluciones comerciales son las únicas existentes en el mercado, sino que es posible conseguir sinergias entre las soluciones comerciales y las de código abierto desarrolladas por la comunidad.