Unidirectional Security Gateways

La mayoría de ingenieros que nos dedicamos a proteger y a optimizar los sistemas y las redes, normalmente entendemos que la seguridad de la información está centrada en asegurar la información alojada en los sistemas y los datos que circulan por las redes, sin embargo olvidamos la protección de infraestructuras críticas basadas en sistemas SCADA. Para proteger cualquier entorno de producción estamos acostumbrados a instalar cortafuegos de fabricantes tan reconocidos como Fortinet, CheckPoint o Palo Alto para controlar la entrada y salida de datos del perímetro de la red, sin embargo cuando hablamos de entornos industriales los requerimientos y la criticidad no son los mismos que para entornos corporativos. En entornos de infraestructuras críticas como sistemas de gestión de aguas, refinerías o plantas nucleares podemos estar hablando de cortafuegos unidireccionales de fabricantes como Waterfall, Nexor o Ksec.

Un cortafuegos unidireccional es un dispositivo que permite el tráfico de red en un sólo sentido, garantizando físicamente que no va a pasar tráfico en sentido contrario. Con este tipo de dispositivos podemos proteger entornos de alta criticidad que por requerimientos del negocio deben estar conectados a la red, ya sea para monitorizar remotamente sistemas de infraestructuras críticas o para evitar fugas de información confidencial. Podríamos realizar el símil con cableado de fibra óptica si tan solo enchufamos el conector de envío (TX) o recepción (RX) en el transceptor GBIC, aislando y evitando físicamente el tráfico de un sentido.

A continuación podemos ver un esquema de un ejemplo de despliegue de este tipo de sistema de seguridad:

Como podemos ver en el esquema anterior, este tipo de despliegue requiere dos cortafuegos unidireccionales: el equipo transmisor (TX) contiene un láser y el equipo receptor (RX) que contiene el receptor óptico. De esta manera la comunicación tan solo fluye en un sentido mediante diodos de datos. Además serán necesarios servidores o agentes conectores en ambos extremos de la red que soporten los servicios que corren por la red como por ejemplo agentes de sincronización de bases de datos, reenvío de eventos o compartición de ficheros e impresoras.

Otra arquitectura, otra forma de proteger los activos y otra posibilidad de proteger las infraestructuras críticas que nos proporcionan servicios tan necesarios como la luz y el agua, que utilizamos todos los días sin preguntarnos si mañana también tendremos estos servicios imprescindibles.

Un saludo y recuerda, lo primero que te venga a la cabeza ¡escríbelo en un comentario!