Firewall Industrial DPI

El firewall industrial TOFINO Xenon de Hirschmann es un dispositivo que se ubica entre el SCADA/HMI y el PLC/RTU protegiendo y asegurando la disponibilidad y la integridad de los equipos de control y por tanto del proceso.

Principales componentes

Security  Appliance

Es el dispositivo hardware (firewall) que se instala físicamente entre el HMI y el PLC. Cada dispositivo lleva su propio firmware al que se asocian diferentes LSM (Loadable Security Modules)

Loadable Security Modules

Son los diferentes módulos software (firmware) que se instalan en cada uno de los SA en el momento de ser solicitados, dependiendo de las necesidades funcionales. Se dividen en básicos, el utilizado para parametrizar los SA a través de la red y los denominados Enforcers.

Básicos

• El módulo de Firewall es imprescindible para realizar las reglas de segmentación a nivel MAC e IP. Compara el tráfico que fluye entre dispositivos teniendo en cuenta las reglas definidas.
  • Por defecto se bloquea todo el tráfico que no esté específicamente autorizado.
• El módulo Event Logger permite a los SA (Security Appliance) almacenar hasta 4MB de eventos en formato CEF (Common Event Format).
  • Son accesibles a través del puerto USB o bien exportables a cualquier servidor Syslog.

Parametrización vía red

• El módulo NetConnect permite realizar los procesos de carga, validación y verificación de ficheros de configuración de reglas a través de la red. Habitualmente, la configuración se realiza off-line a través de llaves USB.

Enforcers

• El módulo Modbus TCP Enforcer segmenta tráfico que no sea conforme al “estandar” Modbus (segmentando sobre todos los componentes Modbus TCP/IP: MBAP header contents, packet size, payload size, register/coil address range), permite definir reglas teniendo en cuenta un rango de direcciones de “register” y “coils” y permite definir reglas de segmentación por Function Codes. Por ejemplo: Una regla que no permita a un maestro ejecutar las “function codes” 05 “write cole” y 06 “write register” sobre un esclavo.
• El módulo OPC Enforcer autentica cliente y servidor OPC, comprueba que el protocolo utilizado es OPC y permite que el tráfico fluya sólo entre el puerto asignado por el servidor OPC para realizar comunicaciones seguras entre clientes y servidores. Además, permite acotar el tiempo que debe utilizarse para realizar la transmisión de datos.
• El módulo Ethernet/IP Enforcer segmenta tráfico que no sea conforme con el protocolo EtherNet/IP CIP Class 3 asociado a los dispositivos ControlLogix y basado en los ODVA Standards. Permite como en el caso del enforcer de Modbus, realizar reglas de lectura y escritura.

Tofino Configurator

El Tofino Configurator es la consola que permite configurar la topología de red y llevar a cabo la gestión integral de la seguridad del proyecto. Entre sus principales funciones destacan:

• Facilitar la gestión del proyecto a través de un entorno gráfico sencillo y amigable.
• Permitir la autenticación múltiple de acceso a los proyectos (autenticando mediante la license key, user/administrator o usuario Windows).
• Realizar la creación de plantillas (activos, SA, redes…), incluyendo la funcionalidad “copy-paste” de proyectos.
• Crear las reglas de segmentación (estándares, especiales, rating y enforcers).
• Ejecutar las reglas en diferentes modos: pasivo, test y operación.
• Llevar a cabo la configuración logs de eventos.
• Cargar las configuraciones vía USB o a través de la red (utilizando en este último caso el NetConnect).
• Validar y verificar las configuraciones realizadas.
• Gestionar las versiones de las configuraciones a través de un audit log.