1. No category

Construcción de un Firewall para redes
industriales con NetFPGA
Jhon Jairo Padilla Aguilar, PhD.
Sergio Garcia
Richard Ardila
Universidad Pontificia Bolivariana-Bucaramanga
Introducción
• Las redes de producción
industrial están compuestas por
Controladores, sensores,
actuadores, sistemas de
supervisión y control, etc.
• Todos estos elementos están
interconectados mediante redes
de datos entre ellos y también
con la red corporativa.
El problema: Acceso No autorizado
• Se partió de que las redes SCADA estarían aisladas físicamente
del resto de la red de la empresa. Por tanto, los atacantes no
podrían tener acceso físico.
• Sin embargo, ahora la planta de producción se encuentra
interconectada a una red compleja compuesta por diferentes
departamentos de la empresa. SE PUEDE ACCEDER DESDE
INTERNET!!!
Posibles ataques:
• Confidencialidad:
– Las redes industriales no soportan
cifrado (Encripción) de los datos
– Con programas gratuitos pueden
escucharse los mensajes y hacer
espionaje sobre la producción
Posibles ataques
• Disponibilidad:
– El atacante puede cambiar señales
de control y causar malos
funcionamientos de los
dispositivos, incluso sacarlos de
operación.
– El atacante puede hacerse pasar
por otro para lograr esto
(Clonación)
Ataques a la Integridad
• Integridad:
– También basado en la Clonación de
equipos
– Pueden cambiarse las condiciones de
operación y condiciones de alarma:
• Podría hacer que se dispare una alarma
cuando no debe
• Podría hacer que se apague una alarma
en rangos de señal que son peligrosos y
que el operador humano no se entere.
• Esto haría que se retrasen las acciones de
control para las alarmas en una
emergencia
Consecuencias:
– Pérdidas en la capacidad de producción
– Pérdidas financieras
– Pérdida de vidas
– Pérdidas ambientales
Soluciones
• Una de las posibles estrategias
para dar solución a estos
problemas es utilizar Firewalls
ANALISIS DE VULNERABILIDADES DE LA RED INDUSTRIAL
Software
Wireshark
Scapy
Tipo de ataque
Ataques
Sniffing (captura de paquetes)
Sniffing
Envió de paquetes con suplantación
Denegación de servicios DHCP
Pasivo
Pasivo y activo




Nmap
Pasivo

Escaneo de puertos y exploración de
la red
NetDiscover
Pasivo

Reconocimiento de direcciones IP
presentes en la red
Zenmap
Pasivo

Escaneo de puertos y exploración de
la red
Metasploit
Activo



Acceso remoto a dispositivos
Denegación de servicios
Explotación de vulnerabilidades de
los dispositivos
Macchanger
Ettercap
Activo
Activo


Suplantación de identidad
Man in the middle
Adicionalmente, se
pudieron hacer 2
ataques:
- Dar órdenes al
PLC desde el
computador
atacante
- Reprogramación
del PLC desde el
computador
atacante
Nuestra Solución
• Desarrollamos un Firewall para
redes Ethernet Industriales
• Utilizamos una tecnología para
desarrollo de Equipos Activos de
red conocida como NETFPGA
Se desarrolló un prototipo
• Probado en una red Industrial del laboratorio de redes
industriales de la UPB
RED INDUSTRIAL
ATACANTE
FIREWALL
RED
Ethernet
Industrial
PLC
Alternativa 1: Firewall con Linux
•
•
•
•
Es efectivo
Opera por software
Es más lento
Tiene las vulnerabilidades de un sistema Linux
Alternativa 2: Firewall por Hardware con
Marcador y filtrado de paquetes
• Utiliza la NetFPGA
• Las decisiones de filtrado son
tomadas por el hardware
• Los ataques son repelidos a nivel
hardware. No entran los
paquetes al Linux.
• Es mucho más rápido
• No se tienen las vulnerabilidades
del Linux
Alternativa 3: Uso de algoritmo Token Bucket
• Uno de las hipótesis que se
tenían era que el algoritmo Token
bucket podría servir para repeler
ataques.
• Se probaron ataques con NMAP
• Se probó un Token bucket
recortador y otro rechazador
• El recortador bloqueaba el
Firewall por que se sobrecarga el
buffer
• El rechazador elimina ciertos
paquetes y limita el ancho de
banda
Uso del Token Bucket rechazador
Neutralización del ataque
con NMAP con el Token
Bucket Rechazador
Conclusiones
• Un Firewall no puede proteger de ataques en sectores de la
red donde no se aplique.
• El Firewall no puede proteger de las amenazas a las que está
sometida la red por parte de usuarios permitidos en el uso
interno.
• El Firewall no protege de los fallos de seguridad de los servicios
y protocolos cuyo tráfico esté permitido. Hay que configurar
correctamente y cuidar la seguridad de los servicios que se
publiquen en Internet.
Conclusiones
• Suponiendo un correcto uso del Firewall desarrollado, se encontró que protege de
los ataques descritos en la Tabla I.
• Por otro lado, se hicieron pruebas usando tanto Firewall por Software (usando el
comando iptables de Linux), como usando el hardware de la NetFPGA con el
algoritmo del Token Bucket y el algoritmo marcador. En ambos casos se obtuvo la
protección adecuada de la red.
• Sin embargo, es importante aclarar que al usar el Firewall por hardware, este no es
vulnerable a los ataques típicos que se le pueden hacer a un sistema operativo
tradicional, tal como Windows o Linux, lo cual agrega un nivel más alto de
protección de la red industrial.
Reconocimientos
• Los autores desean expresar sus agradecimientos al
Laboratorio de Automatización Industrial de la Escuela de
Ingenierías de la Universidad Pontificia Bolivariana, en especial
a la Ingeniera Leidy Olarte por su colaboración y disposición
para facilitar la red de pruebas.
• También expresamos nuestro agradecimiento a la Facultad de
Ingeniería Electrónica y su Laboratorio de redes de
Telecomunicaciones, quienes facilitaron los sistemas NetFPGA
y computadores de prueba.