Añadir a la recogida (s) Añadir a salvo
  1. Ingeniería
  2. Informática
  3. Bases de datos

Data Diode

Anuncio 
Data
Diode
Segmentación y protección de redes OT a
través de diodo de datos. Acceso unidireccional
seguro a información de procesos industriales y de
infraestructuras.
1. INTRODUCCIÓN
Los diodos de datos surgen entre los años 80 y 90 en los sectores de defensa y banca
principalmente, como mecanismo de protección de redes y sistemas que manejaban
información confidencial. Actualmente, este tipo de tecnología también se está aplicando
en entornos OT con el propósito de asegurar la disponibilidad de los sistemas de control.
La aparición de diferentes APTs, ha hecho que este tipo de solución se extienda cada vez
más en los entornos OT. Actualmente las redes de control o de operaciones (OT) y las
redes que conectan los sistemas transaccionales (IT) suelen estar integradas. Esto es
debido a que ambos entornos necesitan compartir información entre ellos, en tiempo real
en muchas ocasiones, y además, a que se suele requerir que esta información así como
algunas aplicaciones de supervisión y control de proceso, sean accesibles desde el
exterior de la planta.
Esto hace necesario dispositivos de segmentación como el diodo de datos,
que permitan esta integración de forma segura
www.ciberseguridadlogitek.com · [email protected]
1
Data
Diode
El diodo es utilizado para proteger secretos, asegurando
confidencialidad de la información en entornos de alta seguridad.
principalmente
la
También es utilizado para proteger activos, fortificando entornos industriales y de
infraestructuras críticas.
www.ciberseguridadlogitek.com · [email protected]
2
Data
Diode
2. CONCEPTO DE DIODO DE DATOS
EL DIODO DE DATOS ES UN DISPOSITIVO HARDWARE (NO EXISTE FIRMWARE
COMO EL CASO DE LOS FIREWALLS) QUE SEPARA/PROTEGE DOS REDES
ASEGURANDO LA UNIDIRECCIONALIDAD EN EL FLUJO DE INFORMACIÓN. ES
DECIR, ASEGURA QUE LA INFORMACIÓN DE UNA RED LLEGUE A OTRA RED
(PERO NO VICEVERSA). DESDE UN PUNTO DE VISTA DE ARQUITECTURA, ESTE
TIPO DE DISPOSITIVOS SE DESPLIEGAN PARA SUSTITUIR A LA TRADICIONAL
DMZ (ZONA DESMILITARIZADA)



Una de las grandes ventajas que proporciona el diodo de datos, es su
facilidad de gestión.
Una vez que ha sido desplegado, no se requiere una gestión y un
mantenimiento exhaustivo como en el caso de los firewalls.
El principal inconveniente es que si se requieren escenarios
bidireccionales, el diodo no debería plantearse inicialmente como
opción.
www.ciberseguridadlogitek.com · [email protected]
3
Data
Diode
El diodo de datos se compone del hardware que asegura la unidireccionalidad en el
tránsito de información (a través de transceptores de fibra óptica) y de dos servidores
(denominados proxies). Estos incorporan aplicaciones específicas para transmitir
unidireccionalmente información que se maneja en infraestructuras críticas y en entornos
industriales sobre protocolos como Modbus u OPC, o que se almacena sobre bases de
datos industriales como OSIsoft PI o Wonderware Historian.
Cada proxy mantiene comunicaciones bidireccionales entre él y las redes IT y OT
respectivamente, sin embargo entre ellos, a través del diodo, la comunicación es
unidireccional. La clave del diodo de datos es ésta, es capaz de interpretar protocolos
bidireccionales (típico, TCP, que requiere el handshaking de tres vías), “romperlos” y
convertirlos en unidireccionales (entre los proxies y el hardware del diodo) y luego
presentarlos en la red no comprometida de nuevo como bidireccionales.
www.ciberseguridadlogitek.com · [email protected]
4
Data
Diode
3. EL DIODO DE DATOS DE FOX IT
El diodo de datos de FOX IT ha obtenido las siguientes certificaciones: Common Criteria
EAL 7+ (Netherlands Scheme), Common Criteria EAL 4+ (Norwegian Scheme),NATO
(Secret), NATO Green Scheme Evaluated, NL-NCSA (Secret), BSI (Secret) y NERC-CIP
Compliance Vendor.
Los proxies pueden configurarse utilizando los siguientes sistemas operativos:
www.ciberseguridadlogitek.com · [email protected]
5
Data
Diode
4. APLICACIONES DISPONIBLES EN LOS PROXIES
La clave del diodo de datos de FOX IT es el software que permite “replicar la información”
entre los proxies a través del diodo.
FOX IT Data Diode dispone de los siguientes: Applications, Advanced Applications y
Replicators.
Según se requiera, se podrán utilizar para proteger secretos y/o proteger activos.
www.ciberseguridadlogitek.com · [email protected]
6
Data
Diode
5. APLICACIONES TÍPICAS PARA ENTORNOS OT
FILE TRANSFER
MODBUS REPLICATOR
www.ciberseguridadlogitek.com · [email protected]
7
Data
Diode
OSI SOFT PI REPLICATOR
OPC UA REPLICATOR
www.ciberseguridadlogitek.com · [email protected]
8
Data
Diode
6. CUALIFICACIÓN DE CONFIGURACIÓN DE DIODO DE DATOS
Con el objetivo de facilitar la configuración del Diodo de Datos, se ha desarrollado el
siguiente formulario de cualificación.
Si está interesado en conocer el orden de magnitud del coste de la solución Data Diode
FOX IT, puede contestar a las siguientes preguntas y enviar sus respuestas en un correo
electrónico a la siguiente dirección: [email protected]
Le remitiremos una cotización en el menor tiempo posible.
1. ¿Necesita el sistema algunas de las siguientes certificaciones?
 Common Criteria EAL 7+.
 NATO Secret (NS).
 NATO Green Scheme Evaluated.
 NL-NCSA (Secret).
 BSI (Secret).
 NERC-CIP Compliance Vendor.
2. ¿Es necesario que el hardware de diodo de datos incorpore aislamiento TEMPEST?
De ser así, ¿qué estándar debe cumplir: NATO SDIP-27 Level A, NATO SDIP-27 Level
B, BSI German Zone 1-3 u otro tipo de estándar nacional o sectorial?
3. La arquitectura basada en el diodo de datos necesita dos servidores dedicados que
actúen como proxies entre las redes (comprometida y no comprometida). ¿Qué
sistema operativo desea utilizar en estos servidores, OpenBSD, Linux o Windows?
4. ¿Necesita que se le suministren estos servidores para hacer de proxy a ambos lados
del diodo o ya dispone de equipos que puedan realizar esta función?
5. Sólo en el caso en el que necesite que se le suministren estos servidores, señale si se
requiere alguna de estas características (siempre en ambos servidores):




Comunicación redundante por fibra óptica entre los servidores y el diodo de datos
para garantizar la tolerancia a fallos.
Aislamiento TEMPEST.
Fuente de alimentación redundante.
RAID1 de discos duros por hardware.
www.ciberseguridadlogitek.com · [email protected]
9
Data
Diode
6. ¿Qué tipo de protocolos/servidores/aplicaciones de la siguiente lista se desea replicar
entre las redes? Atención, no se suministran licencias, sólo la posibilidad de
replicación.








CIFS/SMB
FTP-SSL (FTP/s)
FTP-SSH (sFTP)
TCP
UDP
SMTP (Email)
Syslog/SNMP
NTP










Base de datos Oracle
Base de datos MS SQL Server
Base de datos MySQL
Impresión remota (impresoras 3D, de códigos de barras)
Microsoft WSUS Forwarding (Windows Server Update Services)
Antivirus (Symantec, McAfee y otros vendedores)
Feeds RSS replicator
Modbus replicator
OPC UA replicator
OSIsoft PI Server replicator
7. En caso de responder afirmativamente a la respuesta 7, ¿qué tipo de información se
quiere enviar de la Red IT a la red IC SCI?
8. ¿Es necesaria una extensión de garantía para cubrir 3, 4 ó 5 años del diodo de datos
y/o de los servidores si estos se han suministrado? (la garantía por defecto es de 1
año).
Dr. Fernando Sevillano | [email protected] | Industrial Cybersecurity Manager
www.ciberseguridadlogitek.com · [email protected]
10
Documentos relacionados
Para exponer
Para exponer
guia de trabajo semana del 4 al 8 de agosto
guia de trabajo semana del 4 al 8 de agosto
objeto de aprendizaje
objeto de aprendizaje
7. BARRIDO EN CONTINUA. CIRCUITO CON DIODO POLARIZADO
7. BARRIDO EN CONTINUA. CIRCUITO CON DIODO POLARIZADO
Descargar
Anuncio
Anuncio