DPI por sus siglas en inglés (Deep Packet Inspection) es un procesamiento de los paquetes de datos de tal manera que los puede inspeccionar a profundidad, tanto para control como para ciberseguridad.
Control de dos ICS’s.
Recordemos que los códigos de función de los ICS’s se comunican con protocolos industriales tales como Modbus/TCP, Ethernet/IP/ OmronFins, Profinet, entre otros. Los códigos de función de los ICS’s viajan dentro del paquete de datos TCP/IP en el bloque denominado “data Payload”.
Si nosotros queremos controlar quien o qué equipo puede modificar los parámetros de los ICS’s, se puede realizar un filtrado de los códigos de función leyendo el “Data Payload” y traduciéndolo desde el protocolo industrial. Esto es posible con un firewall con DPI del protocolo que deseamos proteger. Un firewall convencional con DPI que no cuenta con el filtrado en el protocolo requerido, no realizará la funcionalidad que deseamos, simplemente no entenderá los códigos de función.
Los firewalls con DPI industriales pueden venir con diferentes funcionalidades dependiendo del fabricante. Por ejemplo, algunas marcas solo bloquean códigos de función de escritura y dejan pasar tráfico de lectura. Los más avanzados permiten filtrar por código de función y varios protocolos industriales a la vez. Deberás pensar en implementar DPI para controla quien realiza los cambios en tus ICS’s, no es la regla, pero los becarios o los usuarios menos experimentados pueden cometer errores, y es mejor estar protegidos.
DPI y la Ciberseguridad
El uso de firewalls con DPI es una herramienta esencial hoy en día. Recordemos que el framework IEC62443 recomienda el uso de zonas y conduits para la comunicación y aislamiento de equipos ICS en nuestra red industrial.
Además de controlar el tipo de códigos de función, tal como lo expuse anteriormente, debemos controlar la procedencia de los paquetes, es decir, qué equipo de la red está enviando paquetes a nuestros ICS’s o zonas en concreto, validar que son los autorizados, y enviar solo la información requerida.
El uso del DPI nos brinda además otra capa de seguridad en la técnica de protección llamada “defense in depth”, recordemos entre más capas de protección tengamos en nuestra red, más difícil será que tengamos incidentes intencionados o no intencionados.
Conclusión
- Controlar el flujo de códigos de función pueden ahorrar paros de línea y malas configuraciones en nuestros ICS’s
- Usar DPI a lo largo de nuestra red es una medida casi obligatoria para prevenir intrusiones e incidentes indeseados.
Te podemos ayudar, contamos con cursos de capacitación presencial y en forma remota.
Contáctanos para cualquier duda o ayuda que requieras.
Artículo escrito por Pedro Bernardo Montero, director de CSI y consultor Senior. Síguelo en LinkedIn
ISA99 / IEC62443