ES2655651T3 - Separador de protocolo y método de comunicación correspondiente - Google Patents

Separador de protocolo y método de comunicación correspondiente Download PDF

Info

Publication number
ES2655651T3
ES2655651T3 ES15165257.5T ES15165257T ES2655651T3 ES 2655651 T3 ES2655651 T3 ES 2655651T3 ES 15165257 T ES15165257 T ES 15165257T ES 2655651 T3 ES2655651 T3 ES 2655651T3
Authority
ES
Spain
Prior art keywords
protocol
node
separator
query
response
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES15165257.5T
Other languages
English (en)
Inventor
Lior Frenkel
Andrew Ginter
Tomer Maor
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Waterfall Security Solutions Ltd
Original Assignee
Waterfall Security Solutions Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Waterfall Security Solutions Ltd filed Critical Waterfall Security Solutions Ltd
Application granted granted Critical
Publication of ES2655651T3 publication Critical patent/ES2655651T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/07User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail characterised by the inclusion of specific contents
    • H04L51/18Commands or executable codes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Communication Control (AREA)

Abstract

Un separador de protocolo (34), que comprende: al menos un primer interfaz de comunicación (52), configurado para la comunicación digital con un primer nodo (32); al menos un segundo interfaz de comunicación (54), configurado para la comunicación digital con un segundo nodo (22); y al menos un procesador (50), acoplado entre el al menos un primer interfaz de comunicación y el al menos un segundo interfaz de comunicación, caracterizado porque el al menos un procesador está configurado, al recibir un mensaje desde uno de los nodos primero y segundo que se dirige al otro de los primero y segundo nodos de acuerdo con un protocolo de comunicación predefinido, para llevar a cabo las siguientes acciones: cuando el mensaje contiene un comando definido por el protocolo, para transmitir el comando al otro del primero y segundo nodos; cuando el mensaje contiene información del estado definida por el protocolo, para transmitir la información del estado al otro del primero y segundo nodos; cuando el mensaje contiene una respuesta a un comando definido por el protocolo, para descartar la respuesta; y cuando el mensaje contiene una consulta definida por el protocolo, para bloquear la consulta para que no llegue al otro del primero y segundo nodos.

Description

imagen1
DESCRIPCIÓN
Separador de protocolo y método de comunicación correspondiente
La presente invención se refiere en general a comunicaciones y control digitales, y particularmente a sistemas y métodos para comunicaciones seguras.
5 En una red informática que maneja datos sensibles, secciones de la red pueden estar conectadas por canales unidireccionales reforzados por hardware (también denominados enlaces de datos unidireccionales). El término "canal unidireccional reforzado por hardware" se utiliza en el contexto de la presente solicitud de patente y en las reivindicaciones para hacer referencia a un enlace de comunicación que está configurado físicamente para transportar señales en un sentido y no en el sentido opuesto. Los canales unidireccionales reforzados por hardware
10 pueden ser realizados, por ejemplo, usando sistemas Waterfall®, fabricados por Waterfall Security Solutions, Ltd. (Rosh HaAyin, Israel). El sistema Waterfall proporciona una conexión física unidireccional basada en comunicación de fibra óptica, utilizando un protocolo de transferencia patentado subyacente. Cuando un ordenador transmisor está conectado por un sistema Waterfall (u otro canal unidireccional reforzado por hardware) a un ordenador receptor, este puede recibir datos del ordenador transmisor pero no tiene medios físicos para enviar comunicaciones de
15 retorno al ordenador transmisor.
Los canales unidireccionales reforzados por hardware se pueden usar para evitar que los datos entren o salgan de una instalación protegida. Por ejemplo, los datos confidenciales a los que no se debe acceder desde sitios externos se pueden almacenar en un ordenador configurado para recibir datos a través de un canal unidireccional reforzado por hardware y no tiene un enlace saliente físico sobre qué datos podrían transmitirse a un sitio externo. Por otro
20 lado, en algunas aplicaciones, el operador de la instalación protegida puede estar preparado para permitir que los datos salgan de la instalación libremente a través de un canal unidireccional reforzado por hardware, al tiempo que impide que los datos ingresen a la instalación para desbaratar ataques de piratas informáticos y ciberterroristas.
En esta última categoría, por ejemplo, la Patente U.S. 7.649.452 describe la protección para controlar redes usando un enlace unidireccional. Como se describe en esta patente, un método para supervisar un proceso incluye recibir 25 una señal de un sensor que es indicativa de un atributo físico asociado con el proceso y transmitir los datos indicativos de la señal recibida a través de un enlace unidireccional. Los datos transmitidos recibidos desde el enlace unidireccional se utilizan en la supervisión del proceso. El método se describe en la patente, particularmente en el contexto de los sistemas SCADA (Supervisory Control And Data Acquisition). Un sistema SCADA recibe datos de supervisión de la instalación supervisada a través de un enlace unidireccional. El sistema SCADA no puede
30 transmitir ningún tipo de datos a la instalación supervisada (aunque se puede proporcionar una conexión separada de bucle abierto para este propósito), y por lo tanto no se puede usar como base para un ataque a la instalación.
Algunas funciones de red, como actualizaciones de bases de datos, requieren tradicionalmente intercambios bidireccionales de comunicación. Redes seguras de ordenadores que utilizan canales unidireccionales pueden por lo tanto necesitar ser adaptadas para realizar estas funciones en ausencia de comunicación bidireccional. La Patente 35 U.S. 8.352.450 describe la actualización de bases de datos que están protegidas por un enlace unidireccional. La patente describe un sistema y un método para desencadenar actualizaciones de bases de datos a través de un enlace unidireccional que implica detectar los cambios realizados en una base de datos de referencia y transmitir un mensaje de actualización de la base de datos a través de un enlace unidireccional para que los cambios se repliquen en una base de datos distante. El mensaje de actualización de la base de datos puede ser de forma de un archivo o
40 paquete de datos correspondiente a los cambios en la base de datos de referencia.
Las realizaciones de la presente invención proporcionan aparatos y métodos para proteger automáticamente los intercambios de comunicación bidireccionales.
Por lo tanto, se proporciona, de acuerdo con una realización de la presente invención, un aparato de comunicación, que incluye al menos un primer interfaz de comunicación, configurado para comunicaciones digitales con un primer 45 nodo y al menos un segundo interfaz de comunicación, configurado para la comunicación digital con un segundo nodo. Al menos un procesador está acoplado entre el al menos un primer interfaz de comunicación y el al menos un segundo interfaz de comunicación, y está configurado para, al recibir un mensaje de uno de los nodos primero y segundo que se dirige al otro del primer y segundos nodos, para llevar a cabo las siguientes acciones: cuando el mensaje contiene un comando, transmitir el comando al otro del primer y segundo nodo; cuando el mensaje contiene
50 información del estado, transmitir la información del estado al otro del primer y segundo nodos; cuando el mensaje contiene una respuesta a un comando, descartar la respuesta; y cuando el mensaje contiene una consulta, bloquear la consulta para que no llegue al otro primer y segundo nodo.
En una realización descrita, el primer nodo está englobado en una red protegida, y el al menos un procesador está configurado, para al recibir la consulta del segundo nodo, transmitir una respuesta al segundo nodo que rechaza la
55 consulta.
En algunas realizaciones, el al menos un primer interfaz de comunicación incluye un primer canal unidireccional reforzado por hardware desde el al menos un procesador al primer nodo y un segundo canal unidireccional reforzado por hardware desde el primer nodo al al menos un procesador.
imagen2
En una realización, el aparato incluye al menos un servidor de replicación, que está acoplado al menos al primer separador de protocolo y está configurado para recibir y mantener una réplica de datos transmitidos por el segundo nodo a través del segundo separador de protocolo y usar la réplica para responder a las consultas del primer nodo con respecto a los datos, en los que se configura el primer separador de protocolo, al recibir consultas dirigidas al
5 segundo nodo desde el primer nodo, para reenviar las consultas al servidor de replicación y para reenviar las respuestas a las consultas desde el servidor de replicación al primer nodo.
El procesador está configurado opcionalmente, cuando el mensaje contiene una respuesta a un comando, para procesar la respuesta antes de descartarla.
Se proporciona adicionalmente, de acuerdo con una realización de la presente invención, un método para la
10 comunicación, que incluye acoplar un separador de protocolo en una ruta de comunicación entre un primer nodo y un segundo nodo. Al recibir un mensaje en el separador de protocolo desde uno de los nodos primero y segundo que se dirige al otro de los nodos primero y segundo, se llevan a cabo las siguientes acciones: cuando el mensaje contiene un comando, transmite el comando al otro de los nodos primero y segundo; cuando el mensaje contiene información del estado, transmite la información del estado al otro de los nodos primero y segundo; cuando el
15 mensaje contiene una respuesta a un comando, descarta la respuesta; y cuando el mensaje contiene una consulta, bloquea la consulta para que no llegue al otro de los nodos primero y segundo.
La presente invención se comprenderá más completamente a partir de la siguiente descripción detallada de las realizaciones de la misma, tomada junto con los dibujos en los que:
La figura 1 es un diagrama de bloques que ilustra esquemáticamente un sistema de supervisión y control de una 20 instalación segura, de acuerdo con una realización de la presente invención;
La figura 2 es un diagrama de bloques que muestra esquemáticamente los elementos de un separador de protocolo, de acuerdo con una realización de la presente invención;
La figura 3 es un diagrama de bloques que muestra esquemáticamente los elementos de un canal unidireccional reforzado por hardware utilizado en un separador de protocolo, de acuerdo con una realización de la presente
25 invención;
La figura 4 es un diagrama de flujo que ilustra esquemáticamente un método para la gestión de mensajes, de acuerdo con una realización de la presente invención;
La figura 5 es un diagrama de bloques que muestra esquemáticamente los elementos de un separador de protocolo, de acuerdo con otra realización de la presente invención; y
30 La figura 6 es un diagrama de bloques que ilustra esquemáticamente un sistema que comprende un par de separadores de protocolo, de acuerdo con una realización de la presente invención.
Aunque los canales unidireccionales reforzados por hardware son efectivos para mejorar la seguridad de la comunicación, la mayoría de los protocolos de comunicación son bidireccionales. Por ejemplo, los protocolos de acceso a bases de datos relacionales permiten a los usuarios o aplicaciones emitir consultas, solicitudes, a las que
35 la base de datos responde con los datos que coinciden con la consulta. Los protocolos de control industrial permiten a los usuarios o aplicaciones emitir comandos para controlar dispositivos con el fin de realizar acciones tales como arrancar motores o abrir válvulas, a los cuales los dispositivos de control responden con información del estado indicando si se pudo realizar la acción solicitada.
Hay una serie de riesgos asociados con permitir comunicaciones bidireccionales dentro y fuera de las instalaciones
40 protegidas. Uno de los riesgos es que si el malware se ha introducido de alguna manera en la red protegida (posiblemente por colaboración interna), las comunicaciones de vuelta a la red protegida podrían usarse para desencadenar un ataque. Por ejemplo, el malware podría hacer que un ordenador en la instalación reconozca una cierta cadena comunicada de vuelta a la red protegida como un comando para iniciar alguna acción dañina. Otro riesgo es que un atacante pueda usar el canal de comunicaciones en la instalación para causar condiciones
45 inseguras o no fiables en la red protegida, por medio de un ataque de desbordamiento de memoria temporal intermedia, por ejemplo. Tal ataque podría usarse para introducir malware de control a distancia en la red protegida y proporcionar a un atacante los medios para explorar y sabotear de forma interactiva la red protegida.
Las realizaciones de la presente invención que se describen a continuación en este documento abordan estos riesgos al permitir ciertos intercambios de comunicación bidireccionales específicos con una red protegida, mientras 50 que se inhibe la introducción y operación de malware de control a distancia en la red protegida. Estas realizaciones están construidas alrededor de un separador de protocolo, que se puede interponer entre una red protegida y una red externa y está configurado para admitir un cierto protocolo o protocolos bidireccionales. El separador finaliza los flujos de mensajes que llegan desde ambas redes, y aplica una novedosa lógica de decisión para pasar, bloquear o responder de otra manera a los contenidos de diferentes tipos de mensajes predefinidos proporcionados por el
55 protocolo.
imagen3
En algunas realizaciones, el separador de protocolo se presenta en un aparato que incluye al menos dos interfaces de comunicación, configurados para comunicaciones digitales: un conectado a un nodo en la red protegida, por ejemplo, y el otro a un nodo que puede estar en la red exterior. Un procesador acoplado entre estos interfaces de comunicaciones recibe mensajes dirigidos entre estos nodos, y dependiendo del tipo de mensaje lleva a cabo las
5 siguientes acciones:
Cuando el mensaje contiene un comando de un nodo, el separador transmite el comando al otro nodo.
Del mismo modo, cuando el mensaje contiene información del estado, el separador transmite la información del estado al otro nodo.
• Cuando el mensaje contiene una respuesta a un comando, el separador descarta la respuesta (aunque el 10 procesador puede procesar opcionalmente la respuesta antes de descartarla).
• Cuando el mensaje contiene una consulta, el separador bloquea la consulta, aunque en algunos casos puede responder al nodo transmisor que la consulta ha sido rechazada.
En efecto, el separador divide la conexión bidireccional entre los nodos en dos conexiones independientes unidireccionales, separadas. En consecuencia, incluso si una pieza de malware se incrustó en la secuencia de 15 comunicaciones transmitida a la red protegida (a través del separador o de otra forma), y el malware logró poner en peligro uno de los ordenadores dentro de la red protegida, el separador frustrará los intentos del atacante de explotar el malware. Debido a que bloquea las respuestas y consultas de los comandos, el separador evita que el malware encuentre una ruta de regreso a la red externa para informar de los resultados al control a distancia atacante. Como resultado, el atacante con toda probabilidad no podrá propagar el malware aún más en la red protegida y, por lo
20 tanto, se evitará que cause daños graves y duraderos. (Por supuesto, una información maliciosa dentro de la red protegida podría ayudar al atacante en este aspecto, pero la protección contra los ataques internos queda más allá del alcance de las realizaciones descritas).
Los separadores de acuerdo con las realizaciones de la presente invención se pueden desplegar en una variedad de configuraciones. En muchas aplicaciones, es útil que al menos uno de los interfaces de comunicación del separador
25 comprenda un par de canales unidireccionales reforzados por hardware, por ejemplo, un canal hacia dentro y el otro canal hacia fuera de la red protegida. Alternativamente, en algunas aplicaciones, el separador de protocolo se puede usar efectivamente junto con los interfaces bidireccionales convencionales, sin ningún canal unidireccional reforzado por hardware.
Además o alternativamente, un separador de protocolo puede usarse junto con un servidor de replicación, que recibe
30 y mantiene una réplica de los datos transmitidos por uno de los nodos (normalmente el nodo en la red protegida) al separador, y puede utilizar esta réplica para responder a las consultas con respecto a los datos. Al recibir consultas del otro nodo, el separador puede reenviar estas consultas al servidor de replicación para su respuesta. El separador luego reenvía las respuestas a las consultas del servidor de replicación al nodo solicitante.
En algunas realizaciones, pueden usarse un par de separadores de protocolo para la seguridad mejorada entre un
35 par de nodos finales. Cada uno de los separadores está acoplado para transmitir y recibir comunicaciones digitales hacia y desde un nodo final respectivo. Los dos separadores están típicamente conectados entre sí por un par de canales unidireccionales reforzados por hardware, orientados para direcciones de transmisión opuestas.
Aunque las realizaciones descritas a continuación se refieren, a modo de ejemplo, a ciertos tipos específicos de redes, aplicaciones y protocolos, los principios de la presente invención no están de ninguna manera limitados a 40 estos escenarios de ejemplo y pueden aplicarse de manera similar a otras aplicaciones de comunicación adecuadas.
La figura 1 es un diagrama de bloques que ilustra esquemáticamente un sistema 20 para la supervisión y control seguros de acuerdo con una realización de la presente invención. En este ejemplo, el sistema 20 se usa para supervisar y controlar un sistema de control industrial en una estación de control de una instalación 22, tal como una estación de transmisión y conmutación de una instalación de energía eléctrica. Aunque, por razones de simplicidad, 45 solo se muestra una única estación 22 en la figura 1, en la práctica en las instalaciones operan generalmente muchas de tales estaciones. La estación 22 típicamente comprende elementos operacionales, tales como conmutadores 24, que conectan y desconectan conexiones de potencia. En muchos sistemas reales, las estaciones 22 son desatendidas, y los conmutadores 24 son controlados a distancia por estaciones de transmisión de comandos, tales como por ejemplo, un terminal de control 32, El terminal 32 se comunica con la estación 22 a través
50 de una red 30, que puede comprender cualquier red cableada o inalámbrica adecuada, o una combinación de tales redes, incluyendo redes públicas, como Internet.
En un escenario típico, el terminal 32 puede ser parte de un centro de control del organismo de supervisión del equilibrio eléctrico del sector. Dichos centros de control intercambian habitualmente información con instalaciones en la geografía del organismo de supervisión del equilibrio utilizando el Protocolo de Comunicación del Control Inter 55 Centros. (ICCP). Las instalaciones, tal como la estación 22, envían la información del estado del organismo de supervisión del equilibrio varias veces por minuto, describiendo la magnitud y el estado de las cargas eléctricas, de los generadores eléctricos y de las líneas de transmisión eléctrica. El organismo de supervisión del equilibrio envía
imagen4
rutinariamente comandos de vuelta a estas instalaciones usando el protocolo ICCP, comandos que indican que las instalaciones deberían producir más potencia o menos potencia, o aumentar o reducir los flujos de potencia a través de ciertas líneas de transmisión.
Aunque el ejemplo descrito se refiere, a modo de ilustración, a una instalación de energía eléctrica, los principios de
5 la presente invención no están limitados a este contexto operativo en particular. Por el contrario, los aparatos y métodos que se describen a continuación se pueden aplicar a las instalaciones de otros tipos (como los servicios públicos de gas o agua, por ejemplo), así como en entornos industriales y prácticamente cualquier otra aplicación en la que se requiera un control estricto ejercido sobre comandos que pueden ser introducidos en una instalación protegida. La estación 22 es solo un ejemplo de dicha instalación, que se presenta aquí con el fin de aclarar la
10 explicación. Aunque ciertas realizaciones de la presente invención se describen a continuación, sin limitación, con respecto a los elementos del sistema 20, los principios de estas realizaciones y las técnicas que incorporan se pueden aplicar de manera similar a otros entornos operativos en los que se debe proteger una instalación de la entrada de datos no deseados y accesos no autorizados.
Por ejemplo, las estaciones de bombeo en los oleoductos a menudo se comunican con un sistema SCADA central
15 utilizando el protocolo de comunicaciones bidireccional Modbus®. El sistema SCADA recopila rutinariamente la información del estado de la estación de bombeo a través del protocolo Modbus, y ocasionalmente envía comandos a la subestación, como "abrir una válvula "o" arrancar una bomba".
Como otro ejemplo, una planta química puede enviar rutinariamente datos de los sistemas de la planta a las aplicaciones y usuarios corporativos, describiendo el uso del equipo, las necesidades de piezas de repuesto y otra
20 información del estado, mientras ocasionalmente requiere la introducción de comandos desde aquellas redes corporativas en forma de recetas de control. Las recetas de control describen los productos químicos y las cantidades que la planta necesita fabricar inmediatamente para cumplir con los cambios en los pedidos de los clientes.
Volviendo ahora a la figura 1, la estación 22 está diseñada típicamente como una instalación cerrada y segura,
25 protegida físicamente contra la entrada no autorizada. Un monitor 26, dentro de una red protegida 36 en la estación 22, envía comandos a los conmutadores 24 y supervisa el funcionamiento de los conmutadores y otros componentes de la estación. Típicamente, el monitor 26 comprende un controlador, que está conectado a múltiples sensores y actuadores, que se distribuyen a través de la estación 22 e informan a través de la red interna segura al controlador, como se describe, por ejemplo, en la Patente antes mencionada U.S. 7.649.452. El monitor 26 sirve como un nodo
30 de comunicación para mostrar la información del estado recopilada de los sensores y actuadores y para recibir comandos desde la red 30.
El monitor 26 en la estación 22 recibe y transmite mensajes desde y hacia la red 30 a través de un separador de protocolo 34, cuya estructura y funcionamiento se describen adicionalmente a continuación. El separador 34 se comunica con la red 30 a través de un enlace bidireccional y, por lo tanto, transmite y recibe mensajes hacia y desde
35 el terminal 32. El separador transmite comandos entrantes al monitor 26 a través de una conexión entrante unidireccional 40 y recibe información saliente del estado y otros mensajes del monitor 26 a través de una conexión unidireccional de salida 42. El monitor 26 típicamente no recibe entradas de la red 30 o cualquier otra red externa que no sea a través del separador 34, que normalmente reside en la estación 22 y, por lo tanto, está protegido de la manipulación física y eléctrica.
40 Como se explicó anteriormente, el terminal 32 se comunica con el monitor 26 usando un protocolo de comunicación predefinido, como ICCP, Modbus, IEC 60870-5 (u otros protocolos compatibles con SCADA) o DNP3 (el Protocolo de Red Distribuida, utilizado entre componentes en sistemas de automatización de procesos). Cada uno de estos protocolos define ciertos comandos, consultas, respuestas y formatos de mensajes de información del estado. El separador 34 está diseñado y/o programado para reconocer el protocolo o protocolos soportados por el monitor 26,
45 para terminar mensajes (es decir, para servir como un punto final de protocolo) transmitidos entre el terminal 32 y el monitor 26, y para pasar a su través o bloquear diferentes tipos de mensajes de acuerdo con la lógica de gestión de mensajes predefinida, como se describe más adelante a continuación.
La figura 2 es un diagrama de bloques que muestra esquemáticamente detalles del separador de protocolo 34, de acuerdo con una realización de la presente invención. El separador 34 comprende un procesador de protocolo 50 50 con los interfaces 52 y 54 a la red pública 30 y a la red protegida 36, respectivamente. El procesador 50 puede comprender un microprocesador programable de propósito general, que está programado en software para llevar a cabo las funciones de proceso descritas en este documento. Este software puede almacenarse de forma no transitoria, en medios interpretables por ordenador, tales como medios de memoria ópticos, magnéticos o electrónicos. Alternativa o adicionalmente, al menos algunas de las funciones del procesador 50 pueden ser
55 realizadas en lógica cableada o programable.
El interfaz 54 comprende al menos un par de canales unidireccionales reforzados por hardware: un canal de entrada unidireccional reforzado por hardware 56, que transporta las comunicaciones solamente desde el procesador 50 a la red protegida 36, y un canal de salida unidireccional reforzado por hardware 58, que transporta las comunicaciones solo desde la red protegida 36 al procesador 50. Los canales 56 y 58 (a los que se hace referencia en la figura, en aras de la brevedad, como enlaces unidireccionales) se configuran típicamente en hardware para ser físicamente capaces de transmitir datos solo en un solo sentido. Tales canales pueden comprender, por ejemplo, Unidirectional Security Gateways producido por Waterfall Security Solutions Ltd., como se mencionó anteriormente. Opcionalmente, el interfaz 54 puede comprender dos (o más) canales paralelos redundantes en cada sentido, de
imagen5
5 entrada y de salida, y puede transmitir datos por ambos canales en paralelo para asegurar una recepción fiable.
Aunque el separador 34 se muestra y describe aquí como que comprende un único procesador 50, con un interfaz 52 o 54 a cada una de las redes 30 y 36, respectivamente, en realizaciones alternativas (no mostradas en las figuras), el separador puede comprender múltiples procesadores, que pueden estar acoplados a múltiples interfaces en uno o ambos de los lados "públicos" y "protegidos" del separador. En otras realizaciones alternativas (no
10 mostradas en las figuras), algunas o todas las funciones del procesador de protocolo 50, un agente de recepción 66 y/o un agente de transmisión 60 (ambos mostrados en la figura 3) pueden ser realizados en el mismo procesador.
La figura 3 es un diagrama de bloques que muestra esquemáticamente elementos de los canales unidireccionales reforzados por hardware 56, 58 utilizados en el separador 34 de protocolo, de acuerdo con una realización de la presente invención. Un agente de transmisión 60, típicamente realizado en software en un procesador anfitrión, 15 recibe las comunicaciones entrantes y convierte las comunicaciones en un formato de datos apropiado para la transmisión mediante un transmisor unidireccional 62. La conversión puede implicar la modificación de las comunicaciones entrantes, o la extracción o derivación de cierta información de las comunicaciones entrantes, descartando las comunicaciones entrantes, y reenviando algunas o todas las comunicaciones transformadas o la información extraída al transmisor unidireccional 62. El transmisor 62 típicamente comprende un transmisor de fibra 20 óptica, que transmite las comunicaciones sobre un cable de fibra óptica corto a un receptor 64. Como los canales 56 y 58 comprenden cada uno solamente el transmisor único 62 en un extremo del cable de fibra óptica y el receptor único 64 en el otro extremo, los canales son físicamente capaces de transportar las comunicaciones solo en el único sentido designado para el cual están configurados. Un agente de recepción 66, también típicamente realizado en software, recibe los datos del receptor 64 y convierte los datos en el formato de comunicación apropiado
25 (típicamente el normal) para la salida. El agente transmisor 60 y el agente receptor 66 pueden funcionar en el mismo procesador o (para mayor seguridad) en procesadores separados.
La figura 4 es un diagrama de flujo que ilustra esquemáticamente un método para la gestión de los mensajes, llevada a cabo por el separador de protocolo 34, de acuerdo con una realización de la presente invención. El método se describe aquí, en aras de la claridad, con referencia a las configuraciones de sistema y de hardware que se
30 muestran en las figuras 1 y 2, pero los principios del método pueden realizarse de manera similar para comunicaciones seguras en otras configuraciones.
El método de la figura 4 se inicia cuando el separador 34 recibe un mensaje, a través de cualquiera de los interfaces 52 y 54, en una etapa de recepción de mensajes 70. El mensaje típicamente tiene la forma de un paquete de datos, que contiene el mensaje como su contenido útil, de acuerdo con un formato de protocolo conocido predefinido. El
35 procesador 50 analiza el formato para determinar el tipo de mensaje y gestiona el mensaje en consecuencia. En aras de la claridad, la lógica de gestión de los mensajes se presenta en la figura 4 como una progresión en serie entre diferentes tipos de mensaje, cada uno activando su propia decisión, pero en la práctica, algunos o todos los componentes de decisión pueden gestionarse en una sola etapa.
El procesador 50 comprueba si el mensaje comprende un comando, en una etapa de comprobación de comandos
40 72. Si es así, el separador 34 pasa el contenido del mensaje a su destino a través del agente de transmisión 60 del canal unidireccional reforzado por hardware 56, en una etapa de transmisión de mensajes 74 De lo contrario, el procesador verifica si el mensaje contiene información del estado, típicamente relacionada con una condición o evento dado, en una etapa de verificación del estado 76, y si es así, de modo semejante pasa el contenido del mensaje a través de la etapa 74.
45 El procesador 50 puede pasar el contenido del mensaje en la etapa 74 de varias maneras diferentes:
El procesador simplemente puede reenviar los mensajes originales.
El procesador solo puede reenviar los contenidos de datos de los mensajes, tales como los contenidos útiles.
El procesador puede reenviar la semántica del mensaje, es decir, puede, por ejemplo, extraer el significado de los
mensajes, representar ese significado en estructuras de datos apropiadas, serializar las estructuras de datos y luego 50 enviar esas estructuras de datos serializadas sobre el canal 56.
Las referencias en la presente descripción y en las reivindicaciones para transmitir un comando o información entre nodos deben entenderse que abarcan todas y cada una de estas formas diferentes de pasar los contenidos de los mensajes.
Si el mensaje no es ni un comando ni un mensaje de estado, el procesador 50 verifica si el mensaje contiene una
55 respuesta a un comando, en una etapa de verificación de respuestas 78. Si es así, el procesador descarta el mensaje, en una etapa de descarte 80, aunque el procesador puede procesar opcionalmente el mensaje antes de descartarlo.
imagen6
De lo contrario, el procesador comprueba si el mensaje comprende una consulta, en una etapa de comprobación de consultas 82. Si es así, el separador 34 bloquea la consulta, en una etapa de bloqueo 84. Bloquear la consulta puede tomar diferentes formas en diferentes contextos. Por ejemplo, tras recibir una consulta de la red 30 a través del interfaz 52, el procesador 50 puede devolver una respuesta rechazando la consulta, también a través del interfaz
5 52, al remitente del mensaje. Por otro lado, al recibir una consulta de la red protegida 36, el procesador 50 puede simplemente descartar la consulta sin responder.
Cuando el mensaje recibido no pertenece a ninguno de los tipos reconocidos, el procesador 50 puede descartar el mensaje, o puede pasárselo a un supervisor humano o automatizado para su posterior evaluación, en una etapa de investigación 86. Alternativa o adicionalmente, el procesador puede rechazar el mensaje emitiendo un mensaje de
10 rechazo al remitente del mensaje. En general, el separador 34 se programará y configurará para pasar solo tipos de mensajes reconocidos entre las redes protegidas y públicas.
La figura 5 es un diagrama de bloques que muestra esquemáticamente elementos de un separador de protocolo 90, de acuerdo con otra realización de la presente invención. Esta realización aborda el problema de que no todos los protocolos de comunicaciones se pueden dividir eficazmente por el separador 34 en solitario. Por ejemplo, el
15 protocolo ODBC (Conectividad Abierta de Bases de Datos), que se usa comúnmente para consultar bases de datos relacionales, está fundamentalmente orientado hacia comandos/consultas y sus respuestas. Por lo tanto, el protocolo ODBC no puede ser soportado significativamente por un separador que simplemente descarte todas las respuestas a comandos y consultas.
Por lo tanto, además de comunicarse mediante los interfaces 52 y 54, el procesador de protocolo 50 en el separador
20 90 se comunica con un servidor de replicación 92. Este servidor 92 recibe y mantiene una réplica de los datos transmitidos por el monitor 26 dentro de la red 36, a través del interfaz 54, al procesador 50 El servidor 92 usa los datos replicados para responder a las consultas de la red 30 con respecto a los datos. Por lo tanto, en el separador 90, el procesador 50 continúa bloqueando las consultas dirigidas desde la red 30 a la red protegida 36; pero en lugar de rechazar o descartar estas consultas, el procesador 50 reenvía las consultas al servidor de replicación 92. El
25 servidor de replicación genera respuestas apropiadas, basadas en los datos replicados, y el procesador 50 reenvía estas respuestas a través del interfaz 52 a los solicitantes en la red 30.
La figura 6 es un diagrama de bloques que ilustra esquemáticamente un sistema 100 que comprende un par de separadores de protocolo 106, 108, de acuerdo con una realización adicional de la presente invención. En este sistema, el separador 106 está conectado para transmitir y recibir comunicaciones digitales hacia y desde un nodo 30 de punto final 102 (denominado NODO A), mientras que el separador 108 está conectado para transmitir y recibir comunicaciones digitales hacia y desde otro nodo de punto final 104 (denominado NODO B). Las comunicaciones entre cada uno de los separadores y el respectivo nodo de punto final pueden transportarse sobre un enlace bidireccional respectivo 110. Por otro lado, los separadores de protocolo 106 y 108 están ellos mismos interconectados mediante un canal unidireccional reforzado por hardware 112 desde el separador 106 al separador
35 108, y un segundo canal unidireccional reforzado por hardware 114 desde el separador 108 al separador 106.
Por lo tanto, en esta configuración, los separadores 106 y 108 sirven no solo como separadores de protocolo, sino también como combinadores de protocolo, permitiendo que los nodos 102 y 104 se comuniquen como si estuvieran conectados por un canal bidireccional. Los separadores 106 y 108, sin embargo, gestionan y filtran el tráfico del protocolo de una manera similar a la descrita anteriormente. El funcionamiento combinado de los separadores 106 y
40 108 en el sistema 100 puede por lo tanto ser útil en frustrar los intentos por parte de los atacantes de explotar las comunicaciones de protocolo entre los nodos 102 y 104 con fines involuntarios y maliciosos. Opcionalmente, uno o ambos separadores pueden ser conectados a un servidor de replicación, tal como el servidor 92 en la realización anterior.
Se apreciará que las realizaciones descritas anteriormente se citan a modo de ejemplo, y que la presente invención
45 no está limitada a lo que se ha mostrado y descrito particularmente anteriormente en este documento. Por el contrario, el alcance de la presente invención incluye ambas combinaciones y subcombinaciones de las diversas características descritas anteriormente, así como variaciones y modificaciones de las mismas que se les puedan ocurrir a los expertos en la materia al leer la descripción anterior y que no se describen en la técnica anterior.

Claims (9)

  1. imagen1
    REIVINDICACIONES
    1. Un separador de protocolo (34), que comprende:
    al menos un primer interfaz de comunicación (52), configurado para la comunicación digital con un primer nodo (32);
    al menos un segundo interfaz de comunicación (54), configurado para la comunicación digital con un segundo nodo 5 (22); y
    al menos un procesador (50), acoplado entre el al menos un primer interfaz de comunicación y el al menos un segundo interfaz de comunicación,
    caracterizado porque el al menos un procesador está configurado, al recibir un mensaje desde uno de los nodos primero y segundo que se dirige al otro de los primero y
    10 segundo nodos de acuerdo con un protocolo de comunicación predefinido, para llevar a cabo las siguientes acciones:
    cuando el mensaje contiene un comando definido por el protocolo, para transmitir el comando al otro del primero y segundo nodos;
    cuando el mensaje contiene información del estado definida por el protocolo, para transmitir la información del 15 estado al otro del primero y segundo nodos;
    cuando el mensaje contiene una respuesta a un comando definido por el protocolo, para descartar la respuesta; y
    cuando el mensaje contiene una consulta definida por el protocolo, para bloquear la consulta para que no llegue al otro del primero y segundo nodos.
  2. 2. El separador de protocolo de acuerdo con la reivindicación 1, en el que el primer nodo está contenido en una red
    20 protegida, y en el que el al menos un procesador está configurado, al recibir la consulta del segundo nodo, para transmitir una respuesta al segundo nodo que rechaza la consulta.
  3. 3. El separador de protocolo de acuerdo con la reivindicación 1 o 2, en el que al menos un primer interfaz de comunicación comprende un primer canal unidireccional reforzado por hardware desde el al menos un procesador al primer nodo y un segundo canal unidireccional reforzado por hardware desde el primer nodo al al menos un
    25 procesador.
  4. 4. El separador de protocolo de acuerdo con cualquiera de las reivindicaciones 1-3 y que comprende un servidor de replicación, acoplado al al menos un procesador y configurado para recibir y mantener una réplica de los datos transmitidos por el primer nodo a través del al menos un primer interfaz de comunicación y utilizar la réplica, para responder las consultas relativas a los datos,
    30 en el que el al menos un procesador está configurado, al recibir consultas dirigidas al primer nodo desde el segundo nodo, para reenviar las consultas al servidor de replicación y para reenviar las respuestas a las consultas desde el servidor de replicación al segundo nodo.
  5. 5. El separador de protocolo de acuerdo con cualquiera de las reivindicaciones 1-4, en el que el procesador está
    configurado, cuando el mensaje contiene una respuesta a un comando, para procesar la respuesta antes de 35 descartar la respuesta.
  6. 6. Un método de comunicación, que comprende:
    acoplar un separador de protocolo (34) en una ruta de comunicación entre un primer nodo (32) y un segundo nodo (22); y
    caracterizado porque al recibir un mensaje en el separador de protocolo de uno de los primero y segundo nodos que 40 se dirige al otro del primero y segundo nodos de acuerdo con un protocolo de comunicación predefinido, se llevan a cabo las siguientes acciones:
    cuando el mensaje contiene un comando definido por el protocolo, transmitir el comando al otro del primero y segundo nodos;
    cuando el mensaje contiene información del estado definida por el protocolo, transmitir la información del estado al 45 otro del primero y segundo nodos;
    cuando el mensaje contiene una respuesta a un comando definido por el protocolo, descartar la respuesta; y
    cuando el mensaje contiene una consulta definida por el protocolo, bloquear la consulta para que no llegue al otro del primero y segundo nodos.
    8
    imagen2
  7. 7.
    El método de acuerdo con la reivindicación 6, y que comprende, cuando el mensaje contiene una respuesta a un comando, procesar la respuesta antes de descartar la respuesta.
  8. 8.
    El método de acuerdo con la reivindicación 6 o 7, en el que el primer nodo está contenido en una red protegida, y
    en el que el bloqueo de la consulta comprende, al recibir la consulta del segundo nodo, transmitir una respuesta al 5 segundo nodo rechazando la consulta.
  9. 9. El método de acuerdo con cualquiera de las reivindicaciones 6 a 8, en el que acoplar el separador de protocolo comprende transportar las comunicaciones sobre un primer canal unidireccional reforzado por hardware desde el separador de protocolo al primer nodo y sobre un segundo canal unidireccional reforzado por hardware desde el primer nodo al separador de protocolo.
    10 10. El método de acuerdo con cualquiera de las reivindicaciones 6-9, y que comprende acoplar un servidor de replicación para recibir y mantener una réplica de los datos transmitidos por el primer nodo a través del separador de protocolo y usar la réplica, para responder a las consultas relativas a los datos,
    en el que bloquear la consulta comprende, al recibir una consulta dirigida al primer nodo desde el segundo nodo, reenviar la consulta desde el separador de protocolo al servidor de replicación y reenviar una respuesta a la consulta
    15 desde el servidor de replicación a través del separador de protocolo al segundo nodo.
    9
ES15165257.5T 2014-04-27 2015-04-27 Separador de protocolo y método de comunicación correspondiente Active ES2655651T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US14/262,748 US8891546B1 (en) 2014-04-27 2014-04-27 Protocol splitter
US201414262748 2014-04-27

Publications (1)

Publication Number Publication Date
ES2655651T3 true ES2655651T3 (es) 2018-02-21

Family

ID=51870184

Family Applications (1)

Application Number Title Priority Date Filing Date
ES15165257.5T Active ES2655651T3 (es) 2014-04-27 2015-04-27 Separador de protocolo y método de comunicación correspondiente

Country Status (5)

Country Link
US (1) US8891546B1 (es)
EP (2) EP3270572A1 (es)
ES (1) ES2655651T3 (es)
HU (1) HUE038027T2 (es)
IL (1) IL238475B (es)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2916511B1 (en) * 2014-03-07 2020-02-12 Airbus Opérations SAS High assurance security gateway interconnecting different domains
KR101593168B1 (ko) * 2014-09-11 2016-02-18 한국전자통신연구원 물리적 단방향 통신 장치 및 방법
EP3229437A1 (en) * 2016-04-07 2017-10-11 Walter Steven Rosenbaum Communication device and method for protecting a communication system against applying unauthorized code
US10721212B2 (en) * 2016-12-19 2020-07-21 General Electric Company Network policy update with operational technology
GB201802454D0 (en) * 2018-02-15 2018-04-04 Sec Dep For Foreign And Commonwealth Affairs Methods and devices for removing unwanted data from original data
US11539756B2 (en) 2020-10-23 2022-12-27 BlackBear (Taiwan) Industrial Networking Security Ltd. Switch device for one-way transmission
US11575652B2 (en) 2020-12-18 2023-02-07 BlackBear (Taiwan) Industrial Networking Security Ltd. Communication system and communication method for one-way transmission
US11496233B2 (en) 2020-12-23 2022-11-08 BlackBear (Taiwan) Industrial Networking Security Ltd. Communication system and communication method for one-way transmission
US11477048B2 (en) 2021-01-15 2022-10-18 BlackBear (Taiwan) Industrial Networking Security Ltd. Communication method for one-way transmission based on VLAN ID and switch device using the same
US11611409B2 (en) * 2021-06-14 2023-03-21 BlackBear (Taiwan) Industrial Networking Security Ltd. Communication system and communication method for reporting compromised state in one-way transmission
US20230185954A1 (en) * 2021-12-15 2023-06-15 Bank Of America Corporation Transmission of Sensitive Data in a Communication Network
US11991185B2 (en) 2022-02-14 2024-05-21 BlackBear (Taiwan) Industrial Networking Security Ltd. Method for secure data transmission and system using the same

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6853648B1 (en) * 1999-09-08 2005-02-08 Telefonaktiebolaget Lm Ericsson (Publ) Method, apparatus, and system for enabling communication between second generation and third generation packet data networks
US8250235B2 (en) * 2003-05-19 2012-08-21 Verizon Patent And Licensing Inc. Method and system for providing secure one-way transfer of data
US8352450B1 (en) * 2007-04-19 2013-01-08 Owl Computing Technologies, Inc. Database update through a one-way data link
US7649452B2 (en) 2007-06-29 2010-01-19 Waterfall Solutions Ltd. Protection of control networks using a one-way link
US7992209B1 (en) 2007-07-19 2011-08-02 Owl Computing Technologies, Inc. Bilateral communication using multiple one-way data links
US9306953B2 (en) * 2013-02-19 2016-04-05 Owl Computing Technologies, Inc. System and method for secure unidirectional transfer of commands to control equipment

Also Published As

Publication number Publication date
EP3270572A1 (en) 2018-01-17
HUE038027T2 (hu) 2018-09-28
EP2945350A2 (en) 2015-11-18
IL238475B (en) 2018-01-31
IL238475A0 (en) 2015-11-30
EP2945350A3 (en) 2016-02-17
EP2945350B1 (en) 2017-10-18
US8891546B1 (en) 2014-11-18

Similar Documents

Publication Publication Date Title
ES2655651T3 (es) Separador de protocolo y método de comunicación correspondiente
US10218741B2 (en) Immunizing network devices using a malware marker
EP3206356B1 (en) Controlling transmission security of industrial communications flow in a sdn architecture
JP6923265B2 (ja) プラントセキュリティシステムにおける構成可能なロバスト性エージェント
CN104683352B (zh) 一种具有双通道摆渡的工业通讯隔离网闸
US9584521B2 (en) Bi-directional communication over a one-way link
US9306953B2 (en) System and method for secure unidirectional transfer of commands to control equipment
US20140068712A1 (en) Remote control of secure installations
US10474613B1 (en) One-way data transfer device with onboard system detection
CN105610813B (zh) 一种移动通信网间蜜罐***及方法
KR101972469B1 (ko) 분리된 망 사이의 데이터 통신을 지원하는 장치 및 그 방법
EP3275157B1 (en) Bi-directional data security for supervisor control and data acquisition networks
EP3729773B1 (en) One-way data transfer device with onboard system detection
CN105577705B (zh) 针对iec60870-5-104协议的安全防护方法及***
KR20140117753A (ko) 제어시스템 프로토콜 상의 비정상 트래픽 탐지 방법
US11601472B2 (en) One-way transfer device with secure reverse channel
US9509717B2 (en) End point secured network
EP3206365B1 (en) A system and method for communication
KR102067186B1 (ko) 분리된 망 사이의 데이터 통신을 지원하는 장치 및 그 방법
KR101491084B1 (ko) 플랜트 제어 시스템 환경에서 보안 역할에 따른 중앙 제어망에서 지역 제어망으로의 망간 데이터 전송 방법
KR20200007060A (ko) 분리된 망 사이의 데이터 통신을 지원하는 장치 및 그 방법
Kesswani et al. Cyber Physical Systems and Smart Cities
CN105577704B (zh) 针对iec60870-5-101协议的安全防护方法及***
US20240195755A1 (en) Network Tapped Data Diode
US11954235B1 (en) One-way communication data diode on a chip