Experiência na Configuração de Firewalls e Cibersegurança em Ambientes Industriais
Um artigo detalhado sobre a configuração de firewalls em ambientes industriais, abordando a importância da segurança, as melhores práticas e os desafios enfrentados na prática. O autor compartilha sua experiência na implementação de sistemas de segurança em ambientes de automação industrial, destacando a necessidade de uma abordagem proativa e contínua para proteger esses sistemas críticos.
MundiX News·30 de abril de 2026·11 min de leitura·👁 2 views
Experiência na Configuração de Firewalls e Cibersegurança em Ambientes Industriais
Olá, Habr! Meu nome é Artyom Chuykov, sou engenheiro da Innostage, a primeira integradora de serviços e soluções de segurança digital testada em cibersegurança. Trabalho com a implementação de firewalls em empresas industriais e hoje quero compartilhar minha experiência prática.
Não é segredo para ninguém que os invasores estão constantemente tentando atacar nossas fronteiras cibernéticas. Um ataque bem-sucedido a uma rede de escritório leva a vazamentos de dados, discos criptografados, perda de dinheiro e reputação. Via de regra, tais danos podem ser compensados: restaurar dados, restaurar a infraestrutura para um estado de funcionamento, desculpar-se com clientes e contrapartes.
No entanto, um ataque bem-sucedido a sistemas automatizados de controle de processos tecnológicos é uma história completamente diferente. São cidades sem energia, produções paralisadas, potenciais desastres tecnológicos. Imagine, por exemplo, uma usina nuclear que pode ser controlada por invasores que obtiveram acesso ilegítimo.
É por isso que a implementação de sistemas de segurança da informação permite combater eficazmente tais ameaças.
Para instalações de infraestrutura de informação crítica, a implementação de um sistema de segurança da informação não é apenas uma recomendação, mas um requisito regulatório - FSTEC, FSB, bem como padrões como GOST R ISO/IEC 27001 e outros.
Um firewall é um dos principais componentes de um complexo de segurança de rede. Ele é usado para filtrar o tráfego e detectar intrusões na rede da empresa. A configuração competente do firewall permite identificar e prevenir ataques de cibercriminosos em tempo hábil.
Hoje, falarei sobre as abordagens gerais para configurar firewalls e como essas abordagens às vezes se parecem nas condições reais de operação.
Hardening do Firewall. Proteja o próprio Firewall
Sua organização decidiu implementar um firewall. Aqui está ele - totalmente seu, novo e brilhante, está na caixa (e de preferência - dois) e esperando para ser desempacotado e implementado em operação industrial. Enquanto estiver desligado, certamente está protegido contra hackers. Mas vamos tentar garantir sua proteção mesmo depois de ligá-lo e, o mais importante, depois de conectá-lo à rede.
Robôs não precisam de sono ou descanso: eles estão constantemente tentando encontrar pontos fracos no equipamento de rede. É bom se o firewall fornecer filtragem em uma rede interna condicionalmente segura - então haverá menos ataques. No entanto, excluí-los completamente, infelizmente, é impossível.
Há algum tempo, ouvi uma lenda de que as redes de sistemas de controle de supervisão e aquisição de dados (SCADA) são seguras, pois são separadas da rede corporativa e da Internet por uma chamada lacuna de ar. Este é um engano perigoso. As pessoas tendem a mostrar uma inventividade surpreendente quando se trata de violar proibições e restrições de acesso à Internet.
É especialmente perigoso quando essa inventividade é aprimorada pelo pensamento de engenharia de um especialista em sistemas de controle de supervisão e aquisição de dados (SCADA). Eu pessoalmente vi um laptop que foi conectado a uma rede SCADA por uma interface e, via Wi-Fi, a um telefone com acesso à Internet. Para minimizar esses riscos, o primeiro passo sempre começa com uma base confiável - ou seja, com o estado correto do próprio firewall.
Passo um.
Carregamos no nosso firewall o último firmware estável (e não o último por número de série). Informações sobre a estabilidade do firmware podem ser obtidas estudando chats temáticos, onde colegas podem compartilhar gratuitamente a experiência acumulada. Alguns desses chats são muito úteis. Nas versões atuais do firmware, além de adicionar recursos úteis e remover bugs inúteis, são aplicadas correções para vulnerabilidades conhecidas, o que dificulta sua exploração maliciosa.
Passo dois.
Desativamos tudo desnecessário, desatualizado e não utilizado. Por exemplo, HTTP, Telnet, SNMP v1 -v2. Se o uso de serviços inseguros ainda for necessário, limitamos o acesso a eles apenas de determinados recursos e, no SNMP, alteramos o identificador (comunidade) definido por padrão.
Uma vez me fizeram uma pergunta: “Como rastrear se houve tentativas de conexão via telnet?” Deixaremos fora de cena com que finalidade isso é necessário: se perguntaram - então, é necessário. Telnet não apenas não foi ativado naquele dispositivo, mas, em princípio, não era suportado por ele. Criei uma regra de negação no firewall para a porta TCP 23 e ativei o log - após isso, as tentativas de conexão começaram a ser registradas.
Passo três.
Limitamos o acesso à interface de gerenciamento: “apenas de determinadas fontes”. Em nenhum caso deve haver qualquer acesso da Rede.
Então, desativamos serviços desnecessários, desativamos protocolos de criptografia inseguros e desatualizados. A próxima na fila é a proteção por senha. Senhas, é claro, são boas, mas a autenticação por chaves/certificados é muito mais segura. Se for possível usar um segundo fator, você deve usá-lo.
Recomendo vivamente desativar a conta padrão. Parece uma coisa banal, mas encontrei um firewall no qual era impossível alterar o login da conta padrão, reduzir seus privilégios ou mesmo configurar o bloqueio se a senha fosse inserida incorretamente.
Recomendo tornar as contas pessoais, identificáveis de forma inequívoca - para que fique claro que é Ivanov I.I. Após a transferência de acesso de um contratado, é necessário alterar todas as senhas.
Na minha opinião, o uso de autenticação centralizada, com toda a sua conveniência, acarreta uma potencial vulnerabilidade. A comprometimento do armazenamento central de credenciais pode levar à comprometimento de todos os dispositivos na rede. Nesta questão, é necessário encontrar um equilíbrio entre segurança e capacidade de gerenciamento.
Vou dar um exemplo. Na época em que as empresas estrangeiras ainda trabalhavam aqui, por decisão volitiva “de cima”, foram criadas contas com privilégios elevados e um período de validade de senha de 12 horas. A senha deve conter pelo menos 12 caracteres, incluindo números, letras e caracteres especiais. Por um lado, é seguro, por outro, o administrador não consegue memorizar todas as senhas fisicamente. Como resultado, a senha foi fotografada no telefone, scripts caseiros foram escritos para inseri-la automaticamente e assim por diante. Como resultado, o fortalecimento formal da proteção levou ao aparecimento de novas ameaças potenciais de comprometimento.
Lembro que garantir a segurança é uma atividade sistemática, via de regra, os clientes têm um SIEM, para onde enviamos logs de nossos firewalls. Se não houver SIEM, podemos instalá-lo. Sincronizamos o tempo com o servidor NTP do cliente.
Houve um caso em que descobrimos por acidente que um dos clusters de firewall estava fora de serviço. O nó foi substituído sob garantia - tudo terminou bem. É necessário fazer backup regular das configurações - foi isso que nos ajudou a restaurar o nó que falhou. Também é necessário monitorar a integridade dos arquivos no próprio firewall: os invasores fizeram alterações em arquivos críticos?
Parece que fizemos tudo certo: atualizamos, limitamos o acesso, configuramos backups, controlamos a integridade. E neste momento, geralmente há uma sensação de que o sistema está totalmente protegido.
Mas, na prática, o protocolo IPv6 é frequentemente esquecido. No IPv4, tudo está corretamente desativado e filtrado, e o IPv6 permanece sem atenção. Ao mesmo tempo, os endereços locais do canal são atribuídos automaticamente e o protocolo continua a funcionar.
Às vezes, me pedem para desativar completamente o IPv6 no firewall. No entanto, mesmo que eu o desative no firewall, ele não desaparecerá em nenhum outro dispositivo da rede. Portanto, no nível do kernel do sistema operacional, deixo o IPv6 ativado, mas proíbo inequivocamente a interação da rede por meio desse protocolo por meio de firewalls e transfiro os logs apropriados para o SIEM - talvez eles sejam usados em regras de correlação.
Dependendo do equipamento utilizado, você pode configurar adicionalmente a proteção contra ataques DoS, limitar o acesso ao próprio firewall por meio do firewall de rede integrado e implementar outros mecanismos de proteção. Em última análise, a segurança do dispositivo está em suas mãos.
Conectando um Firewall a um Sistema de Controle de Supervisão e Aquisição de Dados (SCADA)
Ao discutir a segurança cibernética de uma instalação industrial, inevitavelmente tocamos no tema do sistema de controle de supervisão e aquisição de dados (SCADA). SCADA é um Sistema de Controle e Supervisão de Processos Automatizado. Com a ajuda do sistema de segurança da informação, limparemos este sistema.
O esquema clássico de construção de um sistema de controle de supervisão e aquisição de dados (SCADA) contém três níveis:
Nível Inferior (Nível de Campo / Field Level):
Componentes: sensores, transdutores de medição, atuadores (válvulas, motores, acionamentos).
Funções: interação direta com o processo tecnológico, coleta de dados primários, conversão de quantidades físicas em sinais, execução de comandos de controle.
Funções: processamento de dados recebidos do nível inferior, implementação de algoritmos de controle, emissão de ações de controle para atuadores.
Nível Superior (Nível de Supervisão do Operador / Supervisory Level):
Componentes: interface homem-máquina (IHM), estações de trabalho do operador (ARM), servidores, sistemas SCADA.
Funções: visualização do processo tecnológico, controle de despacho, arquivamento de dados, geração de relatórios, sinalização de situações de emergência.
O sistema de controle de supervisão e aquisição de dados (SCADA) não gosta de tempo de inatividade e falhas. Portanto, todos os nós e elementos-chave são duplicados, redundantes e a rede local. A sensibilidade do sistema de controle de supervisão e aquisição de dados (SCADA) a interrupções na rede, o alto custo dos erros levam ao fato de que a rede local junto com todo o equipamento pode simplesmente ser duplicada.
Exemplo. PRP (Protocolo de Redundância Paralela - protocolo de redundância paralela) é um protocolo de rede (padrão IEC 62439-3) que fornece redundância perfeita para redes Ethernet com tempo de recuperação zero. Ele duplica pacotes e os transmite simultaneamente por meio de duas redes independentes (LAN A e LAN B).
Dependendo da construção da redundância das redes SCADA, aparecem nuances para a implementação do firewall; o firewall separa o nível de Controladores (PLC) do nível superior; SCADA e o nível SCADA da Rede da empresa.
O sistema de controle de supervisão e aquisição de dados (SCADA) é conservador, redes planas são frequentemente encontradas, que são um único domínio de broadcast. Fazer alterações no esquema de inclusão existente é extremamente difícil, mas as seguintes opções para conectar o firewall são possíveis:
Monitoramento de tráfego - o tráfego espelhado (mirroring, SPAN) é enviado para o firewall da porta do switch, em tal configuração, a análise de tráfego é realizada, por exemplo, por um sistema de detecção de intrusão.
Esquemas de inclusão de ponte (L2). Ao usar um esquema de inclusão de ponte, a filtragem de tráfego é possível por meio de firewalls sem fazer alterações na rede plana existente do domínio de broadcast. É necessário resolver o problema de tolerância a falhas. Como já disse, se a redundância total da segunda rede local for usada na rede SCADA, você pode colocar 2 firewalls, um para cada rede, e sincronizar as configurações entre eles.
Também é possível usar o firewall como um servidor proxy. Uma solução exótica, mais adequada para redes corporativas, e não tecnológicas.
No segundo nível, você pode usar vários esquemas de redundância, incluindo STP, mas o suporte do próprio firewall é necessário. Mas este é um dispositivo L3, e tal uso é mais um compromisso do que uma solução definitiva.
Vamos passar para o uso de firewalls no nível L3. Em primeiro lugar, o firewall deve ser conectado ao switch. Usamos um esquema de gateway de canal duplo, dual-homed, com conexão a uma pilha de switches.
O firewall pode ser conectado a portas de acesso separadas do switch, e um esquema router-on-stick pode ser montado.
Nesse modo, o tráfego já será roteado por meio dele. Podemos incluí-lo no núcleo da rede, terminando as VLANs nele. Podemos usá-lo como um gateway para transferir tráfego do núcleo da rede, como a fantasia, a necessidade de produção e os requisitos do regulador nos dizem. Podemos distribuir rotas dinamicamente, registrar estaticamente. Felizmente, muitos firewalls modernos têm a funcionalidade de um roteador.
Novamente, darei um exemplo da minha própria prática. Cheguei ao objeto e, no local, descobri que o OSPF é usado para interagir com a rede da empresa. Não havia outros detalhes naquele momento. “Bem, vamos configurar agora”, digo eu. Os parâmetros são transmitidos para mim: área 0, stub. E aqui fica claro que a versão do software no firewall não sabe stub, OSPF - sem problemas, não há stub. Tive que concordar e recarregar o software para uma versão mais recente, mas não é fato que seja uma versão mais estável. De alguma forma, consegui a tempo até o final da viagem de negócios.
E, claro, precisamos fazer backup do nosso firewall. Para redundância, usamos algo da família NHRP (Next Hop Resolution Protocols - protocolo de determinação do próximo salto), por exemplo, VRRP e sincronização de configurações. Via de regra, usamos o modo Active-Passive - ativo-passivo. Nesse modo, o tráfego passa pelo nó ativo, se necessário, ele muda para o nó de backup.
Configuramos o roteamento, deixamos o tráfego passar pelo firewall pela regra Any-Any, que permite que qualquer tráfego passe (doravante Any-Any). Todos os sistemas funcionaram, desligamos! Agora configuramos as regras do firewall. Ativamos o log. Sem regras amplas, como Origem - Destino - todas as portas. E ainda mais Any-Any.
Tudo bem, os dados saíram de nós, por enquanto entre PLC e Scada. Como os firewalls controlam os estados, o tráfego retorna dentro das sessões abertas. Também sincronizamos as sessões entre os firewalls. Caso contrário, será inconveniente se a conexão for interrompida durante a comutação e você tiver que se reconectar tudo de novo.
Recentemente, fiquei surpreso ao saber que as sessões em firewalls são criadas para os protocolos UDP e ICMP com base em timeouts para receber tráfego de resposta. Viva e aprenda.
Mas e se for necessário acesso do segmento protegido? E como ser, se for necessário fornecer acesso a um recurso dentro do sistema de controle de supervisão e aquisição de dados (SCADA)?
Não deve haver interações diretas com o segmento protegido, apenas com o uso de servidores intermediários localizados no segmento DMZ:
DMZ (Zona Desmilitarizada) é um segmento isolado de uma rede de computadores, colocado entre a rede local (no nosso caso, SCADA) e a rede externa (no nosso caso, a rede comercial de transferência de dados, o sistema MES). A DMZ contém serviços publicamente disponíveis (no caso do sistema de controle de supervisão e aquisição de dados (SCADA), por exemplo, o gateway OPC DA), fornecendo acesso a eles de fora, mas ao mesmo tempo os isola de dados internos e confidenciais, protegendo a rede de ataques. Todas as interações com o sistema SCADA são realizadas por meio de servidores DMZ conectados ao firewall na fronteira SCADA e KSPD. É desejável que estes sejam firewalls separados e de um fabricante diferente do instalado na fronteira SCADA - PLC. As regras de interação entre os servidores DMZ e o segmento protegido e DMZ e a rede externa também devem ser criadas com base no princípio do mínimo necessário.
Então, as regras foram configuradas, a DMZ foi criada, ativamos o sistema de detecção de intrusão.
O sistema de detecção de intrusão (SDI) também deve ser configurado pontualmente, apenas verificando os serviços necessários nas interfaces necessárias.
Muitos firewalls suportam a inspeção profunda de protocolos industriais, informando sobre ações indesejadas ou bloqueando-as. Por exemplo, você pode proibir o comando de desligamento do dispositivo se o comando vier da rede externa.
Como passar nos testes de aceitação e não enlouquecer?
Não sei, ainda não consegui. Falando sério, a aceitação é um evento muito responsável, que deve ser abordado com toda a responsabilidade. Via de regra, a entrega ocorre na presença de uma comissão, perguntas são feitas que vão muito além do programa de metodologia de teste. Certa vez, entreguei um firewall ao cliente por 4 horas. Acontece que a comissão descobre deficiências que não foram previstas no termo de referência. Se forem possíveis, vamos ao encontro e tentamos eliminá-los. Se isso for tecnicamente impossível, uma solicitação é necessariamente escrita ao fornecedor e esperamos que seja eliminada na próxima versão.
Meus momentos favoritos da aceitação:
Bloqueio da conta de administrador por força bruta de senha. Tudo, com sucesso, bloqueado. E agora estamos esperando 10 minutos até que o bloqueio caia.
Desconexão da sessão por inatividade. Aqui nós apenas sentamos e esperamos até que a sessão caia.
Eu gosto de escanear o firewall com nmap e mostrar os acionamentos do sistema de detecção de intrusão (SDI).
E, claro, tolerância a falhas. Vamos puxar todos os fios do nó principal? E vamos. Funciona, o tráfego está indo. Inserimos de volta - o tráfego retorna ao nó principal, tudo bem. Super, então puxamos a energia dele...
Uma vez, o nó não voltou da reinicialização da energia... E, graças a Deus, foram testes de fábrica em uma grande cidade acessível ao transporte, e não em algum lugar onde você só pode chegar de rena, e mesmo assim depois que a neve cai. Tudo bem com aquele nó, foi para a garantia e voltou.
de qualquer forma, obrigado aos recebedores, eles destacam os erros que foram cometidos por desatenção. Eles não permitem que o trabalho de garantir a segurança cibernética desapareça devido a erros e erros de digitação.
Conclusão
Eu falei brevemente sobre nossa prática no campo da segurança cibernética de sistemas industriais. Claro, muito ficou fora de cena. Cada sistema implementado, cada objeto e cada incidente merecem uma conversa separada.
A principal ideia que eu queria transmitir: segurança não é uma configuração única e não é um “carrapato” no relatório. É um processo que requer atenção aos detalhes, bom senso e controle constante. Mesmo as ferramentas de proteção mais modernas não funcionam sozinhas, são eficazes apenas com a operação adequada.
Espero que minha experiência tenha sido útil para você e, possivelmente, permitirá que você tenha uma nova visão sobre algumas coisas familiares.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Experiência na Configuração de Firewalls e Cibersegurança em Ambientes Industriais
Olá, Habr! Meu nome é Artyom Chuykov, sou engenheiro da Innostage, a primeira integradora de serviços e soluções de segurança digital testada em cibersegurança. Trabalho com a implementação de firewalls em empresas industriais e hoje quero compartilhar minha experiência prática.
Não é segredo para ninguém que os invasores estão constantemente tentando atacar nossas fronteiras cibernéticas. Um ataque bem-sucedido a uma rede de escritório leva a vazamentos de dados, discos criptografados, perda de dinheiro e reputação. Via de regra, tais danos podem ser compensados: restaurar dados, restaurar a infraestrutura para um estado de funcionamento, desculpar-se com clientes e contrapartes.
No entanto, um ataque bem-sucedido a sistemas automatizados de controle de processos tecnológicos é uma história completamente diferente. São cidades sem energia, produções paralisadas, potenciais desastres tecnológicos. Imagine, por exemplo, uma usina nuclear que pode ser controlada por invasores que obtiveram acesso ilegítimo.
É por isso que a implementação de sistemas de segurança da informação permite combater eficazmente tais ameaças.
Para instalações de infraestrutura de informação crítica, a implementação de um sistema de segurança da informação não é apenas uma recomendação, mas um requisito regulatório - FSTEC, FSB, bem como padrões como GOST R ISO/IEC 27001 e outros.
Um firewall é um dos principais componentes de um complexo de segurança de rede. Ele é usado para filtrar o tráfego e detectar intrusões na rede da empresa. A configuração competente do firewall permite identificar e prevenir ataques de cibercriminosos em tempo hábil.
Hoje, falarei sobre as abordagens gerais para configurar firewalls e como essas abordagens às vezes se parecem nas condições reais de operação.
Hardening do Firewall. Proteja o próprio Firewall
Sua organização decidiu implementar um firewall. Aqui está ele - totalmente seu, novo e brilhante, está na caixa (e de preferência - dois) e esperando para ser desempacotado e implementado em operação industrial. Enquanto estiver desligado, certamente está protegido contra hackers. Mas vamos tentar garantir sua proteção mesmo depois de ligá-lo e, o mais importante, depois de conectá-lo à rede.
Robôs não precisam de sono ou descanso: eles estão constantemente tentando encontrar pontos fracos no equipamento de rede. É bom se o firewall fornecer filtragem em uma rede interna condicionalmente segura - então haverá menos ataques. No entanto, excluí-los completamente, infelizmente, é impossível.
Há algum tempo, ouvi uma lenda de que as redes de sistemas de controle de supervisão e aquisição de dados (SCADA) são seguras, pois são separadas da rede corporativa e da Internet por uma chamada lacuna de ar. Este é um engano perigoso. As pessoas tendem a mostrar uma inventividade surpreendente quando se trata de violar proibições e restrições de acesso à Internet.
É especialmente perigoso quando essa inventividade é aprimorada pelo pensamento de engenharia de um especialista em sistemas de controle de supervisão e aquisição de dados (SCADA). Eu pessoalmente vi um laptop que foi conectado a uma rede SCADA por uma interface e, via Wi-Fi, a um telefone com acesso à Internet. Para minimizar esses riscos, o primeiro passo sempre começa com uma base confiável - ou seja, com o estado correto do próprio firewall.
Passo um.
Carregamos no nosso firewall o último firmware estável (e não o último por número de série). Informações sobre a estabilidade do firmware podem ser obtidas estudando chats temáticos, onde colegas podem compartilhar gratuitamente a experiência acumulada. Alguns desses chats são muito úteis. Nas versões atuais do firmware, além de adicionar recursos úteis e remover bugs inúteis, são aplicadas correções para vulnerabilidades conhecidas, o que dificulta sua exploração maliciosa.
Passo dois.
Desativamos tudo desnecessário, desatualizado e não utilizado. Por exemplo, HTTP, Telnet, SNMP v1 -v2. Se o uso de serviços inseguros ainda for necessário, limitamos o acesso a eles apenas de determinados recursos e, no SNMP, alteramos o identificador (comunidade) definido por padrão.
Uma vez me fizeram uma pergunta: “Como rastrear se houve tentativas de conexão via telnet?” Deixaremos fora de cena com que finalidade isso é necessário: se perguntaram - então, é necessário. Telnet não apenas não foi ativado naquele dispositivo, mas, em princípio, não era suportado por ele. Criei uma regra de negação no firewall para a porta TCP 23 e ativei o log - após isso, as tentativas de conexão começaram a ser registradas.
Passo três.
Limitamos o acesso à interface de gerenciamento: “apenas de determinadas fontes”. Em nenhum caso deve haver qualquer acesso da Rede.
Então, desativamos serviços desnecessários, desativamos protocolos de criptografia inseguros e desatualizados. A próxima na fila é a proteção por senha. Senhas, é claro, são boas, mas a autenticação por chaves/certificados é muito mais segura. Se for possível usar um segundo fator, você deve usá-lo.
Recomendo vivamente desativar a conta padrão. Parece uma coisa banal, mas encontrei um firewall no qual era impossível alterar o login da conta padrão, reduzir seus privilégios ou mesmo configurar o bloqueio se a senha fosse inserida incorretamente.
Recomendo tornar as contas pessoais, identificáveis de forma inequívoca - para que fique claro que é Ivanov I.I. Após a transferência de acesso de um contratado, é necessário alterar todas as senhas.
Na minha opinião, o uso de autenticação centralizada, com toda a sua conveniência, acarreta uma potencial vulnerabilidade. A comprometimento do armazenamento central de credenciais pode levar à comprometimento de todos os dispositivos na rede. Nesta questão, é necessário encontrar um equilíbrio entre segurança e capacidade de gerenciamento.
Vou dar um exemplo. Na época em que as empresas estrangeiras ainda trabalhavam aqui, por decisão volitiva “de cima”, foram criadas contas com privilégios elevados e um período de validade de senha de 12 horas. A senha deve conter pelo menos 12 caracteres, incluindo números, letras e caracteres especiais. Por um lado, é seguro, por outro, o administrador não consegue memorizar todas as senhas fisicamente. Como resultado, a senha foi fotografada no telefone, scripts caseiros foram escritos para inseri-la automaticamente e assim por diante. Como resultado, o fortalecimento formal da proteção levou ao aparecimento de novas ameaças potenciais de comprometimento.
Lembro que garantir a segurança é uma atividade sistemática, via de regra, os clientes têm um SIEM, para onde enviamos logs de nossos firewalls. Se não houver SIEM, podemos instalá-lo. Sincronizamos o tempo com o servidor NTP do cliente.
Houve um caso em que descobrimos por acidente que um dos clusters de firewall estava fora de serviço. O nó foi substituído sob garantia - tudo terminou bem. É necessário fazer backup regular das configurações - foi isso que nos ajudou a restaurar o nó que falhou. Também é necessário monitorar a integridade dos arquivos no próprio firewall: os invasores fizeram alterações em arquivos críticos?
Parece que fizemos tudo certo: atualizamos, limitamos o acesso, configuramos backups, controlamos a integridade. E neste momento, geralmente há uma sensação de que o sistema está totalmente protegido.
Mas, na prática, o protocolo IPv6 é frequentemente esquecido. No IPv4, tudo está corretamente desativado e filtrado, e o IPv6 permanece sem atenção. Ao mesmo tempo, os endereços locais do canal são atribuídos automaticamente e o protocolo continua a funcionar.
Às vezes, me pedem para desativar completamente o IPv6 no firewall. No entanto, mesmo que eu o desative no firewall, ele não desaparecerá em nenhum outro dispositivo da rede. Portanto, no nível do kernel do sistema operacional, deixo o IPv6 ativado, mas proíbo inequivocamente a interação da rede por meio desse protocolo por meio de firewalls e transfiro os logs apropriados para o SIEM - talvez eles sejam usados em regras de correlação.
Dependendo do equipamento utilizado, você pode configurar adicionalmente a proteção contra ataques DoS, limitar o acesso ao próprio firewall por meio do firewall de rede integrado e implementar outros mecanismos de proteção. Em última análise, a segurança do dispositivo está em suas mãos.
Conectando um Firewall a um Sistema de Controle de Supervisão e Aquisição de Dados (SCADA)
Ao discutir a segurança cibernética de uma instalação industrial, inevitavelmente tocamos no tema do sistema de controle de supervisão e aquisição de dados (SCADA). SCADA é um Sistema de Controle e Supervisão de Processos Automatizado. Com a ajuda do sistema de segurança da informação, limparemos este sistema.
O esquema clássico de construção de um sistema de controle de supervisão e aquisição de dados (SCADA) contém três níveis:
Nível Inferior (Nível de Campo / Field Level):
Componentes: sensores, transdutores de medição, atuadores (válvulas, motores, acionamentos).
Funções: interação direta com o processo tecnológico, coleta de dados primários, conversão de quantidades físicas em sinais, execução de comandos de controle.
Funções: processamento de dados recebidos do nível inferior, implementação de algoritmos de controle, emissão de ações de controle para atuadores.
Nível Superior (Nível de Supervisão do Operador / Supervisory Level):
Componentes: interface homem-máquina (IHM), estações de trabalho do operador (ARM), servidores, sistemas SCADA.
Funções: visualização do processo tecnológico, controle de despacho, arquivamento de dados, geração de relatórios, sinalização de situações de emergência.
O sistema de controle de supervisão e aquisição de dados (SCADA) não gosta de tempo de inatividade e falhas. Portanto, todos os nós e elementos-chave são duplicados, redundantes e a rede local. A sensibilidade do sistema de controle de supervisão e aquisição de dados (SCADA) a interrupções na rede, o alto custo dos erros levam ao fato de que a rede local junto com todo o equipamento pode simplesmente ser duplicada.
Exemplo. PRP (Protocolo de Redundância Paralela - protocolo de redundância paralela) é um protocolo de rede (padrão IEC 62439-3) que fornece redundância perfeita para redes Ethernet com tempo de recuperação zero. Ele duplica pacotes e os transmite simultaneamente por meio de duas redes independentes (LAN A e LAN B).
Dependendo da construção da redundância das redes SCADA, aparecem nuances para a implementação do firewall; o firewall separa o nível de Controladores (PLC) do nível superior; SCADA e o nível SCADA da Rede da empresa.
O sistema de controle de supervisão e aquisição de dados (SCADA) é conservador, redes planas são frequentemente encontradas, que são um único domínio de broadcast. Fazer alterações no esquema de inclusão existente é extremamente difícil, mas as seguintes opções para conectar o firewall são possíveis:
Monitoramento de tráfego - o tráfego espelhado (mirroring, SPAN) é enviado para o firewall da porta do switch, em tal configuração, a análise de tráfego é realizada, por exemplo, por um sistema de detecção de intrusão.
Esquemas de inclusão de ponte (L2). Ao usar um esquema de inclusão de ponte, a filtragem de tráfego é possível por meio de firewalls sem fazer alterações na rede plana existente do domínio de broadcast. É necessário resolver o problema de tolerância a falhas. Como já disse, se a redundância total da segunda rede local for usada na rede SCADA, você pode colocar 2 firewalls, um para cada rede, e sincronizar as configurações entre eles.
Também é possível usar o firewall como um servidor proxy. Uma solução exótica, mais adequada para redes corporativas, e não tecnológicas.
No segundo nível, você pode usar vários esquemas de redundância, incluindo STP, mas o suporte do próprio firewall é necessário. Mas este é um dispositivo L3, e tal uso é mais um compromisso do que uma solução definitiva.
Vamos passar para o uso de firewalls no nível L3. Em primeiro lugar, o firewall deve ser conectado ao switch. Usamos um esquema de gateway de canal duplo, dual-homed, com conexão a uma pilha de switches.
O firewall pode ser conectado a portas de acesso separadas do switch, e um esquema router-on-stick pode ser montado.
Nesse modo, o tráfego já será roteado por meio dele. Podemos incluí-lo no núcleo da rede, terminando as VLANs nele. Podemos usá-lo como um gateway para transferir tráfego do núcleo da rede, como a fantasia, a necessidade de produção e os requisitos do regulador nos dizem. Podemos distribuir rotas dinamicamente, registrar estaticamente. Felizmente, muitos firewalls modernos têm a funcionalidade de um roteador.
Novamente, darei um exemplo da minha própria prática. Cheguei ao objeto e, no local, descobri que o OSPF é usado para interagir com a rede da empresa. Não havia outros detalhes naquele momento. “Bem, vamos configurar agora”, digo eu. Os parâmetros são transmitidos para mim: área 0, stub. E aqui fica claro que a versão do software no firewall não sabe stub, OSPF - sem problemas, não há stub. Tive que concordar e recarregar o software para uma versão mais recente, mas não é fato que seja uma versão mais estável. De alguma forma, consegui a tempo até o final da viagem de negócios.
E, claro, precisamos fazer backup do nosso firewall. Para redundância, usamos algo da família NHRP (Next Hop Resolution Protocols - protocolo de determinação do próximo salto), por exemplo, VRRP e sincronização de configurações. Via de regra, usamos o modo Active-Passive - ativo-passivo. Nesse modo, o tráfego passa pelo nó ativo, se necessário, ele muda para o nó de backup.
Configuramos o roteamento, deixamos o tráfego passar pelo firewall pela regra Any-Any, que permite que qualquer tráfego passe (doravante Any-Any). Todos os sistemas funcionaram, desligamos! Agora configuramos as regras do firewall. Ativamos o log. Sem regras amplas, como Origem - Destino - todas as portas. E ainda mais Any-Any.
Tudo bem, os dados saíram de nós, por enquanto entre PLC e Scada. Como os firewalls controlam os estados, o tráfego retorna dentro das sessões abertas. Também sincronizamos as sessões entre os firewalls. Caso contrário, será inconveniente se a conexão for interrompida durante a comutação e você tiver que se reconectar tudo de novo.
Recentemente, fiquei surpreso ao saber que as sessões em firewalls são criadas para os protocolos UDP e ICMP com base em timeouts para receber tráfego de resposta. Viva e aprenda.
Mas e se for necessário acesso do segmento protegido? E como ser, se for necessário fornecer acesso a um recurso dentro do sistema de controle de supervisão e aquisição de dados (SCADA)?
Não deve haver interações diretas com o segmento protegido, apenas com o uso de servidores intermediários localizados no segmento DMZ:
DMZ (Zona Desmilitarizada) é um segmento isolado de uma rede de computadores, colocado entre a rede local (no nosso caso, SCADA) e a rede externa (no nosso caso, a rede comercial de transferência de dados, o sistema MES). A DMZ contém serviços publicamente disponíveis (no caso do sistema de controle de supervisão e aquisição de dados (SCADA), por exemplo, o gateway OPC DA), fornecendo acesso a eles de fora, mas ao mesmo tempo os isola de dados internos e confidenciais, protegendo a rede de ataques. Todas as interações com o sistema SCADA são realizadas por meio de servidores DMZ conectados ao firewall na fronteira SCADA e KSPD. É desejável que estes sejam firewalls separados e de um fabricante diferente do instalado na fronteira SCADA - PLC. As regras de interação entre os servidores DMZ e o segmento protegido e DMZ e a rede externa também devem ser criadas com base no princípio do mínimo necessário.
Então, as regras foram configuradas, a DMZ foi criada, ativamos o sistema de detecção de intrusão.
O sistema de detecção de intrusão (SDI) também deve ser configurado pontualmente, apenas verificando os serviços necessários nas interfaces necessárias.
Muitos firewalls suportam a inspeção profunda de protocolos industriais, informando sobre ações indesejadas ou bloqueando-as. Por exemplo, você pode proibir o comando de desligamento do dispositivo se o comando vier da rede externa.
Como passar nos testes de aceitação e não enlouquecer?
Não sei, ainda não consegui. Falando sério, a aceitação é um evento muito responsável, que deve ser abordado com toda a responsabilidade. Via de regra, a entrega ocorre na presença de uma comissão, perguntas são feitas que vão muito além do programa de metodologia de teste. Certa vez, entreguei um firewall ao cliente por 4 horas. Acontece que a comissão descobre deficiências que não foram previstas no termo de referência. Se forem possíveis, vamos ao encontro e tentamos eliminá-los. Se isso for tecnicamente impossível, uma solicitação é necessariamente escrita ao fornecedor e esperamos que seja eliminada na próxima versão.
Meus momentos favoritos da aceitação:
Bloqueio da conta de administrador por força bruta de senha. Tudo, com sucesso, bloqueado. E agora estamos esperando 10 minutos até que o bloqueio caia.
Desconexão da sessão por inatividade. Aqui nós apenas sentamos e esperamos até que a sessão caia.
Eu gosto de escanear o firewall com nmap e mostrar os acionamentos do sistema de detecção de intrusão (SDI).
E, claro, tolerância a falhas. Vamos puxar todos os fios do nó principal? E vamos. Funciona, o tráfego está indo. Inserimos de volta - o tráfego retorna ao nó principal, tudo bem. Super, então puxamos a energia dele...
Uma vez, o nó não voltou da reinicialização da energia... E, graças a Deus, foram testes de fábrica em uma grande cidade acessível ao transporte, e não em algum lugar onde você só pode chegar de rena, e mesmo assim depois que a neve cai. Tudo bem com aquele nó, foi para a garantia e voltou.
de qualquer forma, obrigado aos recebedores, eles destacam os erros que foram cometidos por desatenção. Eles não permitem que o trabalho de garantir a segurança cibernética desapareça devido a erros e erros de digitação.
Conclusão
Eu falei brevemente sobre nossa prática no campo da segurança cibernética de sistemas industriais. Claro, muito ficou fora de cena. Cada sistema implementado, cada objeto e cada incidente merecem uma conversa separada.
A principal ideia que eu queria transmitir: segurança não é uma configuração única e não é um “carrapato” no relatório. É um processo que requer atenção aos detalhes, bom senso e controle constante. Mesmo as ferramentas de proteção mais modernas não funcionam sozinhas, são eficazes apenas com a operação adequada.
Espero que minha experiência tenha sido útil para você e, possivelmente, permitirá que você tenha uma nova visão sobre algumas coisas familiares.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
