El modelo de Purdue 🧱🔥

Al turrón...

¿Qué es el modelo de Purdue?

El Modelo de Purdue es un modelo que se usa en comunicaciones industriales para su diseño y segmentación.

Se segmenta en 5 niveles para el aumento de la seguridad, ya que los niveles están bien definidos.

¿Qué es la segmentación en redes?

La base de la segmentación es que los dispositivos dentro de cada capa sólo pueden comunicarse con los dispositivos dentro de su misma capa o con los de la capa inmediatamente superior.

Con esta segmentación conseguimos dos cosas principalmente:

• ✅ Las implementaciones de firewall fuertes y simples separan cada capa y dan un grandísimo grado de protección contra ataques a la red.
• ✅ En segundo lugar, el tráfico entre capas se vuelve muy simple y predecible lo que permite que el análisis y la detección de anomalías sean mucho más efectivas.

Nivel 0 - capa de sensores y actuadores

Es la capa física, donde lo que importa es el medio o los dispositivos de campo y se transmiten señales, que pueden ser tanto analógicas como digitales, con las particularidades que ello implica.

Entrarían aquí, por ejemplo: sensores de movimiento,sensores de temperatura, sensores de niveles, sensores magnéticos, actuadores, etc.

Nivel 1; capa de proceso

En esta capa se encontrarían los PLC (Programmable Logic Controller), los RTU (Remote Terminal Unit, microprocesador capaz de adquirirseñales de campo y actuar en consecuencia) y los DCS (Distributed Control System).

Nivel 2; capa de control

Nivel de los HMI/SCADA, que recolecta toda la información de los PLC y/o RTU distribuidos de manera automática, donde nos encontrarnos con el protocolo TCP/IP.

Es el interfaz que utilizan, por ejemplo, los operadores de planta.

Nivel 3; capa de operación y control

Nivel cuyo objetivo no es la evaluación del proceso en sí mismo, si no la de su eficiencia a partir de la información recibida.

Es importante decir, que en este nivel estarían todos los servidores que operan en OT.

Digo esto porque es común encontrar que todos los servidores están en la parte de IT y es un error.

Me he encontrado con técnicos que relacionan OT sólo con PLC´s, maquinaria... e IT con servidores, directorios activos...

DMZ

La DMZ (zona desmilitarizada) es la capa que utiliza la industria de la seguridad informática para alojar servicios y aplicaciones de una organización que deben ser accesibles desde Internet, mientras se mantiene la seguridad de la red interna.

Existen diferentes soluciones y/o productos y/o servicios que se utilizan para implementar una DMZ, manteniendo la seguridad de la red en general como firewalls de red, sistemas de detección de intrusiones, herramientas de monitoreo y gestión de seguridad...

La DMZ será la capa de obligado paso para la comunicación entre OT e IT.

Nivel 4/5; capa corporativa

Realmente esta capa está fuera de la red OT, pero se integra en este modelo por ser un consumidor del resto de datos.

¿Cómo segmentar las VLAN en OT correctamente?

⛔ Como no se debe hacer, una sola VLAN

En la mayoría de las fábricas, se comenzó con poca maquinaria y esa poca maquinaria se integró en una sola VLAN.

A medida que iban llegando nuevas máquinas o sensores se iban añadiendo a esa misma VLAN, por rapidez y comodidad.

Pero llega un momento en el que te das cuenta que debes segmentar, ya sea por eficiencia, rapidez, seguridad...

No es correcto, por ejemplo, segmentar en varias VLAN de igual tamaño y repartir los equipo sin criterio.

Hay ciertos parámetros que se deben respetar para hacerlo correctamente.

✅ Como sí se debe segmentar

Uno de los parámetros más importantes a tener en cuenta para segmentar es el multicast.

Una norma básica es que el multicast no debe pasar de una VLAN a otra.

El motivo de que el multicast no pase de una VLAN a otra es porque si tienes un emisor de multicast y tienes equipos en distintas VLAN, va a haber equipos que dejarán de funcionar.

Si quieres saber lo que es una red multicast ve aquí👈

Vale, pero... ¿cómo decidimos qué sensores o instrumentos van en una VLAN o en otra?

Más o menos, a ojo, un buen técnico sabe qué instrumento se comunica con quien, pero no debemos dejar esta segmentación sólo al buen ojo del técnico, debemos de apoyarnos en softwares que nos ayuden.

Hay varios fabricantes que tienen este tipo de software, es decir, un software que te dice quién se comunica con quien.

En base a la información arrojada por el software eres tú el que decides cómo hacer la segmentación.

¿Qué es una red multicast 🤔?

Las redes multicast son una forma de transmitir información a un grupo de receptores de manera simultánea, eficiente y escalable.

A diferencia de la transmisión unicast, en la que la información se envía a un único receptor, y de la transmisión broadcast, en la que la información se envía a todos los dispositivos conectados a la red, la transmisión multicast permite que un solo flujo de datos sea enviado a múltiples destinatarios.

En una red multicast, el emisor envía el flujo de datos a una dirección multicast específica, que representa un grupo de receptores interesados en recibir esa información.

Los routers en la red utilizan el protocolo de enrutamiento multicast para determinar el camino óptimo hacia el grupo de destinatarios y enviar el flujo de datos sólo a los dispositivos interesados en recibirlo.

Las redes multicast son ampliamente utilizadas en aplicaciones de transmisión en tiempo real, como videoconferencias, transmisiones de eventos deportivos en línea y streaming de video y audio.

Al permitir que un solo flujo de datos se transmita a múltiples destinatarios al mismo tiempo, las redes multicast reducen la carga en la red y mejoran la calidad de la transmisión al evitar la duplicación de paquetes de datos.

¿Está desfasado el modelo de Purdue?

Los nuevos dispositivos IoT están modificando el modelo de Purdue, ya que hay dispositivos que están en la capa 0 que se pueden comunicar con un servidor en la capa 4 o incluso en la nube, todo ello de forma inalámbrica.

Habrá que estar pendiente cómo evoluciona esto 🧐

Hasta luego 🖖