lunes, 8 de junio de 2015

Tu PLC, el mejor cortafuegos

Los que trabajáis en proyectos que requieren comunicaciones con estaciones remotas a través de Internet, es probable que en alguna ocasión os hayáis encontrado con un sinsentido como el siguiente: “Necesito que me entregues la información de las estaciones en mi centro de procesamiento de datos, pero no te voy a dar ningún tipo de acceso a mi red corporativa”.

A priori suena tan absurdo como que te pidan una tortilla de patatas, pero te indiquen que son alérgicos a las patatas e intolerantes al huevo. No obstante, el primero de los casos tiene razón de ser por motivos de seguridad y tarde o temprano nos daremos de bruces con una tesitura como esa. 

En el post de hoy os haré una sencilla propuesta que os puede ser de utilidad en algunos casos y que por simple es extremadamente sencilla de implementar. 

Por muy segura que sea la solución que ofertemos, utilizando el mejor de los firewall, VPN, etc. siempre os sobrevolará la sombra de la duda ante los ojos del responsable de IT. Allí donde exista un punto de conexión con su red, habrá una potencial brecha de seguridad. Solución, prever una red independiente para las remotas y no conectar esta directamente con su red corporativa. Esto lo conseguiremos utilizando un intermediario que tome los datos de las remotas a través de internet (con un ADSL dedicado por ejemplo) y los sirva a la Intranet como un miembro de la LAN sin acceso al exterior. El equipo que os propongo para realizar esa labor sería un autómata programable y la pinta que tendría una configuración así sería la siguiente.


En el ejemplo se muestra un PLC al que conectamos vía 2 puertos RS232 sendas pasarelas del tipo FPWEB2 de Panasonic. Cada una de ellas estaría configurada de forma independiente, enlazando la primera con la red de las remotas y la segunda con la Intranet. Sería por programa de autómata como moveríamos las variables implicadas entre las dos redes usando funciones convencionales de lectura y escritura de los puertos. Al tratarse de una ejecución sobre un hardware que nada tiene que ver con elementos informáticos o de red, el aislamiento ante ataques orientados a este tipo de equipos es total y la brecha de seguridad inexistente. También se podría utilizar como único elemento un PLC si este dispone de 2 puertos Ethernet y estos están efectivamente aislados. Esto por ejemplo lo podríamos encontrar en el autómata FP7 de Panasonic.


Evidentemente este tipo de solución solo tiene sentido si la información que queremos compartir puede ser desgranada en variables que un autómata programable pueda manejar. 

Como veis, la solución una vez explicada, resulta extremadamente simple e incluso obvia. Así que os invito a tenerla en cuenta por si alguna vez os es de utilidad. 

Saludos.

No hay comentarios:

Publicar un comentario

cookieassistant.com