Upload
truongthuy
View
230
Download
2
Embed Size (px)
Citation preview
www.ciberseguridadlogitek.com · [email protected] 1
Data Diode
Segmentación y protección de redes OT a
través de diodo de datos. Acceso unidireccional
seguro a información de procesos industriales y de
infraestructuras.
1. INTRODUCCIÓN
Los diodos de datos surgen entre los años 80 y 90 en los sectores de defensa y banca
principalmente, como mecanismo de protección de redes y sistemas que manejaban
información confidencial. Actualmente, este tipo de tecnología también se está aplicando
en entornos OT con el propósito de asegurar la disponibilidad de los sistemas de control.
La aparición de diferentes APTs, ha hecho que este tipo de solución se extienda cada vez
más en los entornos OT. Actualmente las redes de control o de operaciones (OT) y las
redes que conectan los sistemas transaccionales (IT) suelen estar integradas. Esto es
debido a que ambos entornos necesitan compartir información entre ellos, en tiempo real
en muchas ocasiones, y además, a que se suele requerir que esta información así como
algunas aplicaciones de supervisión y control de proceso, sean accesibles desde el
exterior de la planta.
Esto hace necesario dispositivos de segmentación como el diodo de datos,
que permitan esta integración de forma segura
www.ciberseguridadlogitek.com · [email protected] 2
Data Diode
El diodo es utilizado para proteger secretos, asegurando principalmente la
confidencialidad de la información en entornos de alta seguridad.
También es utilizado para proteger activos, fortificando entornos industriales y de
infraestructuras críticas.
www.ciberseguridadlogitek.com · [email protected] 3
Data Diode
2. CONCEPTO DE DIODO DE DATOS
EL DIODO DE DATOS ES UN DISPOSITIVO HARDWARE (NO EXISTE FIRMWARE
COMO EL CASO DE LOS FIREWALLS) QUE SEPARA/PROTEGE DOS REDES
ASEGURANDO LA UNIDIRECCIONALIDAD EN EL FLUJO DE INFORMACIÓN. ES
DECIR, ASEGURA QUE LA INFORMACIÓN DE UNA RED LLEGUE A OTRA RED
(PERO NO VICEVERSA). DESDE UN PUNTO DE VISTA DE ARQUITECTURA, ESTE
TIPO DE DISPOSITIVOS SE DESPLIEGAN PARA SUSTITUIR A LA TRADICIONAL
DMZ (ZONA DESMILITARIZADA)
Una de las grandes ventajas que proporciona el diodo de datos, es su
facilidad de gestión.
Una vez que ha sido desplegado, no se requiere una gestión y un
mantenimiento exhaustivo como en el caso de los firewalls.
El principal inconveniente es que si se requieren escenarios
bidireccionales, el diodo no debería plantearse inicialmente como
opción.
www.ciberseguridadlogitek.com · [email protected] 4
Data Diode
El diodo de datos se compone del hardware que asegura la unidireccionalidad en el
tránsito de información (a través de transceptores de fibra óptica) y de dos servidores
(denominados proxies). Estos incorporan aplicaciones específicas para transmitir
unidireccionalmente información que se maneja en infraestructuras críticas y en entornos
industriales sobre protocolos como Modbus u OPC, o que se almacena sobre bases de
datos industriales como OSIsoft PI o Wonderware Historian.
Cada proxy mantiene comunicaciones bidireccionales entre él y las redes IT y OT
respectivamente, sin embargo entre ellos, a través del diodo, la comunicación es
unidireccional. La clave del diodo de datos es ésta, es capaz de interpretar protocolos
bidireccionales (típico, TCP, que requiere el handshaking de tres vías), “romperlos” y
convertirlos en unidireccionales (entre los proxies y el hardware del diodo) y luego
presentarlos en la red no comprometida de nuevo como bidireccionales.
www.ciberseguridadlogitek.com · [email protected] 5
Data Diode
3. EL DIODO DE DATOS DE FOX IT
El diodo de datos de FOX IT ha obtenido las siguientes certificaciones: Common Criteria
EAL 7+ (Netherlands Scheme), Common Criteria EAL 4+ (Norwegian Scheme),NATO
(Secret), NATO Green Scheme Evaluated, NL-NCSA (Secret), BSI (Secret) y NERC-CIP
Compliance Vendor.
Los proxies pueden configurarse utilizando los siguientes sistemas operativos:
www.ciberseguridadlogitek.com · [email protected] 6
Data Diode
4. APLICACIONES DISPONIBLES EN LOS PROXIES
La clave del diodo de datos de FOX IT es el software que permite “replicar la información”
entre los proxies a través del diodo.
FOX IT Data Diode dispone de los siguientes: Applications, Advanced Applications y
Replicators.
Según se requiera, se podrán utilizar para proteger secretos y/o proteger activos.
www.ciberseguridadlogitek.com · [email protected] 7
Data Diode
5. APLICACIONES TÍPICAS PARA ENTORNOS OT
FILE TRANSFER
MODBUS REPLICATOR
www.ciberseguridadlogitek.com · [email protected] 8
Data Diode
OSI SOFT PI REPLICATOR
OPC UA REPLICATOR
www.ciberseguridadlogitek.com · [email protected] 9
Data Diode
6. CUALIFICACIÓN DE CONFIGURACIÓN DE DIODO DE DATOS
Con el objetivo de facilitar la configuración del Diodo de Datos, se ha desarrollado el
siguiente formulario de cualificación.
Si está interesado en conocer el orden de magnitud del coste de la solución Data Diode
FOX IT, puede contestar a las siguientes preguntas y enviar sus respuestas en un correo
electrónico a la siguiente dirección: [email protected]
Le remitiremos una cotización en el menor tiempo posible.
1. ¿Necesita el sistema algunas de las siguientes certificaciones?
Common Criteria EAL 7+. NATO Secret (NS). NATO Green Scheme Evaluated. NL-NCSA (Secret). BSI (Secret). NERC-CIP Compliance Vendor.
2. ¿Es necesario que el hardware de diodo de datos incorpore aislamiento TEMPEST?
De ser así, ¿qué estándar debe cumplir: NATO SDIP-27 Level A, NATO SDIP-27 Level B, BSI German Zone 1-3 u otro tipo de estándar nacional o sectorial?
3. La arquitectura basada en el diodo de datos necesita dos servidores dedicados que actúen como proxies entre las redes (comprometida y no comprometida). ¿Qué sistema operativo desea utilizar en estos servidores, OpenBSD, Linux o Windows?
4. ¿Necesita que se le suministren estos servidores para hacer de proxy a ambos lados del diodo o ya dispone de equipos que puedan realizar esta función?
5. Sólo en el caso en el que necesite que se le suministren estos servidores, señale si se requiere alguna de estas características (siempre en ambos servidores):
Comunicación redundante por fibra óptica entre los servidores y el diodo de datos para garantizar la tolerancia a fallos.
Aislamiento TEMPEST. Fuente de alimentación redundante. RAID1 de discos duros por hardware.
www.ciberseguridadlogitek.com · [email protected] 10
Data Diode
6. ¿Qué tipo de protocolos/servidores/aplicaciones de la siguiente lista se desea replicar entre las redes? Atención, no se suministran licencias, sólo la posibilidad de replicación.
CIFS/SMB FTP-SSL (FTP/s) FTP-SSH (sFTP) TCP UDP SMTP (Email) Syslog/SNMP NTP
Base de datos Oracle Base de datos MS SQL Server Base de datos MySQL Impresión remota (impresoras 3D, de códigos de barras) Microsoft WSUS Forwarding (Windows Server Update Services) Antivirus (Symantec, McAfee y otros vendedores) Feeds RSS replicator Modbus replicator OPC UA replicator OSIsoft PI Server replicator
7. En caso de responder afirmativamente a la respuesta 7, ¿qué tipo de información se quiere enviar de la Red IT a la red IC SCI?
8. ¿Es necesaria una extensión de garantía para cubrir 3, 4 ó 5 años del diodo de datos y/o de los servidores si estos se han suministrado? (la garantía por defecto es de 1 año).
Dr. Fernando Sevillano | [email protected] | Industrial Cybersecurity Manager