www.ciberseguridadlogitek.com · info@ciberseguridadlogitek.com 1

Data Diode

Segmentación y protección de redes OT a

través de diodo de datos. Acceso unidireccional

seguro a información de procesos industriales y de

infraestructuras.

1. INTRODUCCIÓN

Los diodos de datos surgen entre los años 80 y 90 en los sectores de defensa y banca

principalmente, como mecanismo de protección de redes y sistemas que manejaban

información confidencial. Actualmente, este tipo de tecnología también se está aplicando

en entornos OT con el propósito de asegurar la disponibilidad de los sistemas de control.

La aparición de diferentes APTs, ha hecho que este tipo de solución se extienda cada vez

más en los entornos OT. Actualmente las redes de control o de operaciones (OT) y las

redes que conectan los sistemas transaccionales (IT) suelen estar integradas. Esto es

debido a que ambos entornos necesitan compartir información entre ellos, en tiempo real

en muchas ocasiones, y además, a que se suele requerir que esta información así como

algunas aplicaciones de supervisión y control de proceso, sean accesibles desde el

exterior de la planta.

Esto hace necesario dispositivos de segmentación como el diodo de datos,

que permitan esta integración de forma segura

www.ciberseguridadlogitek.com · info@ciberseguridadlogitek.com 2

Data Diode

El diodo es utilizado para proteger secretos, asegurando principalmente la

confidencialidad de la información en entornos de alta seguridad.

También es utilizado para proteger activos, fortificando entornos industriales y de

infraestructuras críticas.

www.ciberseguridadlogitek.com · info@ciberseguridadlogitek.com 3

Data Diode

2. CONCEPTO DE DIODO DE DATOS

EL DIODO DE DATOS ES UN DISPOSITIVO HARDWARE (NO EXISTE FIRMWARE

COMO EL CASO DE LOS FIREWALLS) QUE SEPARA/PROTEGE DOS REDES

ASEGURANDO LA UNIDIRECCIONALIDAD EN EL FLUJO DE INFORMACIÓN. ES

DECIR, ASEGURA QUE LA INFORMACIÓN DE UNA RED LLEGUE A OTRA RED

(PERO NO VICEVERSA). DESDE UN PUNTO DE VISTA DE ARQUITECTURA, ESTE

TIPO DE DISPOSITIVOS SE DESPLIEGAN PARA SUSTITUIR A LA TRADICIONAL

DMZ (ZONA DESMILITARIZADA)

Una de las grandes ventajas que proporciona el diodo de datos, es su

facilidad de gestión.

Una vez que ha sido desplegado, no se requiere una gestión y un

mantenimiento exhaustivo como en el caso de los firewalls.

El principal inconveniente es que si se requieren escenarios

bidireccionales, el diodo no debería plantearse inicialmente como

opción.

www.ciberseguridadlogitek.com · info@ciberseguridadlogitek.com 4

Data Diode

El diodo de datos se compone del hardware que asegura la unidireccionalidad en el

tránsito de información (a través de transceptores de fibra óptica) y de dos servidores

(denominados proxies). Estos incorporan aplicaciones específicas para transmitir

unidireccionalmente información que se maneja en infraestructuras críticas y en entornos

industriales sobre protocolos como Modbus u OPC, o que se almacena sobre bases de

datos industriales como OSIsoft PI o Wonderware Historian.

Cada proxy mantiene comunicaciones bidireccionales entre él y las redes IT y OT

respectivamente, sin embargo entre ellos, a través del diodo, la comunicación es

unidireccional. La clave del diodo de datos es ésta, es capaz de interpretar protocolos

bidireccionales (típico, TCP, que requiere el handshaking de tres vías), “romperlos” y

convertirlos en unidireccionales (entre los proxies y el hardware del diodo) y luego

presentarlos en la red no comprometida de nuevo como bidireccionales.

www.ciberseguridadlogitek.com · info@ciberseguridadlogitek.com 5

Data Diode

3. EL DIODO DE DATOS DE FOX IT

El diodo de datos de FOX IT ha obtenido las siguientes certificaciones: Common Criteria

EAL 7+ (Netherlands Scheme), Common Criteria EAL 4+ (Norwegian Scheme),NATO

(Secret), NATO Green Scheme Evaluated, NL-NCSA (Secret), BSI (Secret) y NERC-CIP

Compliance Vendor.

Los proxies pueden configurarse utilizando los siguientes sistemas operativos:

www.ciberseguridadlogitek.com · info@ciberseguridadlogitek.com 6

Data Diode

4. APLICACIONES DISPONIBLES EN LOS PROXIES

La clave del diodo de datos de FOX IT es el software que permite “replicar la información”

entre los proxies a través del diodo.

FOX IT Data Diode dispone de los siguientes: Applications, Advanced Applications y

Replicators.

Según se requiera, se podrán utilizar para proteger secretos y/o proteger activos.

www.ciberseguridadlogitek.com · info@ciberseguridadlogitek.com 7

Data Diode

5. APLICACIONES TÍPICAS PARA ENTORNOS OT

FILE TRANSFER

MODBUS REPLICATOR

www.ciberseguridadlogitek.com · info@ciberseguridadlogitek.com 8

Data Diode

OSI SOFT PI REPLICATOR

OPC UA REPLICATOR

www.ciberseguridadlogitek.com · info@ciberseguridadlogitek.com 9

Data Diode

6. CUALIFICACIÓN DE CONFIGURACIÓN DE DIODO DE DATOS

Con el objetivo de facilitar la configuración del Diodo de Datos, se ha desarrollado el

siguiente formulario de cualificación.

Si está interesado en conocer el orden de magnitud del coste de la solución Data Diode

FOX IT, puede contestar a las siguientes preguntas y enviar sus respuestas en un correo

electrónico a la siguiente dirección: info@ciberseguridadlogitek.com

Le remitiremos una cotización en el menor tiempo posible.

1. ¿Necesita el sistema algunas de las siguientes certificaciones?

Common Criteria EAL 7+. NATO Secret (NS). NATO Green Scheme Evaluated. NL-NCSA (Secret). BSI (Secret). NERC-CIP Compliance Vendor.

2. ¿Es necesario que el hardware de diodo de datos incorpore aislamiento TEMPEST?

De ser así, ¿qué estándar debe cumplir: NATO SDIP-27 Level A, NATO SDIP-27 Level B, BSI German Zone 1-3 u otro tipo de estándar nacional o sectorial?

3. La arquitectura basada en el diodo de datos necesita dos servidores dedicados que actúen como proxies entre las redes (comprometida y no comprometida). ¿Qué sistema operativo desea utilizar en estos servidores, OpenBSD, Linux o Windows?

4. ¿Necesita que se le suministren estos servidores para hacer de proxy a ambos lados del diodo o ya dispone de equipos que puedan realizar esta función?

5. Sólo en el caso en el que necesite que se le suministren estos servidores, señale si se requiere alguna de estas características (siempre en ambos servidores):

Comunicación redundante por fibra óptica entre los servidores y el diodo de datos para garantizar la tolerancia a fallos.

Aislamiento TEMPEST. Fuente de alimentación redundante. RAID1 de discos duros por hardware.

www.ciberseguridadlogitek.com · info@ciberseguridadlogitek.com 10

Data Diode

6. ¿Qué tipo de protocolos/servidores/aplicaciones de la siguiente lista se desea replicar entre las redes? Atención, no se suministran licencias, sólo la posibilidad de replicación.

CIFS/SMB FTP-SSL (FTP/s) FTP-SSH (sFTP) TCP UDP SMTP (Email) Syslog/SNMP NTP

Base de datos Oracle Base de datos MS SQL Server Base de datos MySQL Impresión remota (impresoras 3D, de códigos de barras) Microsoft WSUS Forwarding (Windows Server Update Services) Antivirus (Symantec, McAfee y otros vendedores) Feeds RSS replicator Modbus replicator OPC UA replicator OSIsoft PI Server replicator

7. En caso de responder afirmativamente a la respuesta 7, ¿qué tipo de información se quiere enviar de la Red IT a la red IC SCI?

8. ¿Es necesaria una extensión de garantía para cubrir 3, 4 ó 5 años del diodo de datos y/o de los servidores si estos se han suministrado? (la garantía por defecto es de 1 año).

Dr. Fernando Sevillano | fernando.sevillano@logitek.es | Industrial Cybersecurity Manager