ES2921212T3 - Sistema de protección y procedimiento para el filtrado de un tráfico de datos - Google Patents

Sistema de protección y procedimiento para el filtrado de un tráfico de datos Download PDF

Info

Publication number
ES2921212T3
ES2921212T3 ES19204902T ES19204902T ES2921212T3 ES 2921212 T3 ES2921212 T3 ES 2921212T3 ES 19204902 T ES19204902 T ES 19204902T ES 19204902 T ES19204902 T ES 19204902T ES 2921212 T3 ES2921212 T3 ES 2921212T3
Authority
ES
Spain
Prior art keywords
network
protection system
rule set
data traffic
additional
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES19204902T
Other languages
English (en)
Inventor
Rainer Falk
Christina Otto
Heiko Patzlaff
Martin Wimmer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Application granted granted Critical
Publication of ES2921212T3 publication Critical patent/ES2921212T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0813Configuration setting characterised by the conditions triggering a change of settings
    • H04L41/0816Configuration setting characterised by the conditions triggering a change of settings the condition being an adaptation, e.g. in response to network events
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Circuits Of Receivers In General (AREA)
  • Emergency Protection Circuit Devices (AREA)

Abstract

La invención se refiere a un sistema de seguridad (100) y un procedimiento para filtrar un tráfico de datos entre una primera red (NW1) y una segunda red (NW2), por el cual se organiza el sistema de seguridad (100) entre la primera y la segunda red. El sistema de seguridad (100) incluye un módulo administrativo (101) que está diseñado de esta manera dependiendo de un comando de control para activar un conjunto adicional de reglas (P2) para el sistema de seguridad para filtrar el tráfico de datos y mediante un comando de bloqueo y///// o al activar el conjunto adicional de reglas que restablecen a un conjunto de reglas (P1) activado originalmente del sistema de seguridad y una modificación del conjunto adicional de reglas. Además, el sistema de seguridad (100) incluye un módulo de filtro (102) que se configura de esta manera, el tráfico de datos entre la primera red (NW1) y la segunda red (NW2) de acuerdo con el conjunto de reglas activado originalmente (P1) y el conjunto adicional de reglas (P2) o o para filtrar solo de acuerdo con el conjunto adicional de reglas (P2) y permiten el tráfico de datos filtrados correspondientemente. (Traducción automática con Google Translate, sin valor legal)

Description

DESCRIPCIÓN
Sistema de protección y procedimiento para el filtrado de un tráfico de datos
La presente invención hace referencia a un sistema de protección y a un procedimiento implementado por ordenador para el filtrado de un tráfico de datos entre una primera red y una segunda red. Además, la invención está orientada a un producto de programa informático para realizar el procedimiento implementado por ordenador. Las intrusiones o ataques a un sistema TI o a un sistema de automatización basado en TI, es decir, accesos no autorizados para dañar un sistema de esa clase, pueden evitarse mediante un cortafuegos o una pasarela de seguridad. Los cortafuegos, según un conjunto de reglas configurado (policy en inglés) filtran el tráfico de datos. Además, mediante dispositivos o software adecuados pueden detectarse intrusiones, como por ejemplo mediante un sistema de detección de intrusión (de red) (abreviado: (N)IDS). Los cortafuegos pueden reconfigurarse en el caso de una intrusión, para limitar el tráfico de datos y, con ello, para detener la intrusión. No obstante, existe el riesgo de que un agresor o un usuario no capacitado de forma suficiente, anule o modifique esa restricción de un modo inadmisible. En la solicitud WO 2018/162176 A1 se muestra un dispositivo de pasarela para controlar una transmisión de datos entre redes de vehículos, en función de un estado del vehículo. La solicitud DE 102005051090 A1 hace referencia a la modificación de un filtro de paquetes mediante una unidad de configuración, en el caso de una modificación de los estados de la red.
Por ese motivo, el objeto de la presente invención consiste en limitar de forma fiable un tráfico de red, para dificultar un cambio no controlado de regreso a un conjunto de reglas configurado de forma original.
El objeto se soluciona mediante las medidas descritas en las reivindicaciones independientes. En las reivindicaciones dependientes se presentan perfeccionamientos ventajosos de la invención.
Según un primer aspecto, la invención hace referencia a un sistema de protección para el filtrado de un tráfico de datos entre una primera red y una segunda red, según un conjunto de reglas, donde el sistema de protección está dispuesto entre la primera y la segunda red, el cual presenta:
a) un módulo de gestión que está configurado para
- activar un conjunto de reglas adicional para el sistema de protección, en función de una orden de control, para el filtrado del tráfico de datos, y
- mediante una orden de bloqueo y/o en el caso de la activación del conjunto de reglas adicional, para impedir un restablecimiento de un conjunto de reglas activado de forma original del sistema de protección y una modificación del conjunto de reglas adicional,
b) un módulo de filtrado que, al estar activado el conjunto de reglas adicional, está configurado para filtrar el tráfico de datos entre la primera red y la segunda red según el conjunto de reglas activado de forma original y el conjunto de reglas adicional, o solamente según el conjunto de reglas adicional, y para permitir el tráfico de datos filtrado de modo correspondiente.
Un segundo aspecto de la invención hace referencia a un procedimiento implementado por ordenador para el filtrado de un tráfico de datos entre una primera red y una segunda red según un conjunto de reglas, mediante un sistema de protección dispuesto entre la primera red y la segunda red, el cual comprende las etapas del procedimiento:
- activación de un conjunto de reglas adicional para el sistema de protección para el filtrado del tráfico de datos en función de una orden de control,
- prevención de un restablecimiento de un conjunto de reglas activado de forma original del sistema de protección y de una modificación del conjunto de reglas adicional mediante una orden de bloqueo y/o en el caso de la activación del conjunto de reglas adicional,
- filtrado del tráfico de datos entre la primera red y la segunda red, al estar activado el conjunto de reglas adicional según el conjunto de reglas activado de forma original y el conjunto de reglas adicional, o solamente según el conjunto de reglas adicional, y
- admisión del tráfico de datos filtrado de modo correspondiente.
Una ventaja de la presente invención consiste en que un sistema de protección que puede configurarse de ese modo limita un tráfico de datos de modo fiable. En particular, el filtrado tiene lugar según al menos un conjunto de reglas que puede configurarse. Por ejemplo, en el caso de una intrusión detectada, por ejemplo mediante un programa malicioso, en una red puede activarse el conjunto de reglas adicional, y el sistema de protección puede configurarse de manera que el mismo filtre el tráfico de datos según el conjunto de reglas adicional y el conjunto de reglas original. De este modo, el tráfico de datos puede considerarse como fiable tanto según el conjunto de reglas original, como también según el conjunto de reglas adicional, para ser transferido desde el sistema de protección. Un agresor, por ejemplo un hacker, o un usuario, no puede cambiar con facilidad el conjunto de reglas adicional activado en el caso de una intrusión, o restablecer el sistema de protección, de modo inadmisible, al conjunto de reglas original.
El sistema de protección en particular puede comprender software y/o hardware. El sistema de protección en particular ha configurado previamente un conjunto de reglas original, según el cual el sistema de protección, en particular en el caso de un funcionamiento regular, filtra el tráfico de datos entre una primera y una segunda red. En función de una orden de control se configura un conjunto de reglas adicional, de manera que el módulo de filtrado filtra el tráfico de datos según el conjunto de reglas original y el adicional, o solamente según el conjunto de reglas adicional. De este modo, por una parte, cuando el conjunto de reglas adicional está activado, puede filtrarse según los dos conjuntos de reglas, es decir que se impone una conectiva lógica. En este caso, un tráfico de datos sólo es admisible cuando el mismo cumple con las condiciones de ambos conjuntos de reglas. Por otra parte, puede filtrarse según el conjunto de reglas original o, en caso de activarse el conjunto de reglas adicional, según el conjunto de reglas adicional.
En una forma de ejecución del sistema de protección, el conjunto de reglas adicional puede estar configurado para filtrar el tráfico de datos en base a criterios de filtrado que se diferencian, al menos de forma parcial, de los criterios de filtrado del conjunto de reglas activado de forma original.
El conjunto de reglas original y/o el conjunto de reglas adicional en particular pueden estar configurados de manera que se permita el tráfico de datos de forma bidireccional, entre la primera y la segunda red. Los criterios de filtrado del conjunto de reglas original y del conjunto de reglas adicional en particular pueden complementarse o superponerse de forma parcial. De este modo, el tráfico de datos, por ejemplo, puede limitarse más mediante el conjunto de reglas adicional. De manera alternativa, los criterios de filtrado del conjunto de reglas adicional pueden limitar menos el tráfico de datos y, al activarse el conjunto de reglas adicional, pueden permitir un tráfico de datos especificado.
En una forma de ejecución del sistema de protección, el conjunto de reglas adicional puede estar configurado para filtrar de forma más restrictiva el tráfico de datos filtrado mediante el conjunto de reglas activado de forma original. En particular, los criterios de filtrado del conjunto de reglas adicional pueden comprender los criterios de filtrado del conjunto de reglas original y, por ejemplo, presentar otros criterios de filtrado. De este modo puede implementarse un filtrado más restrictivo del tráfico de datos.
En una forma de ejecución del sistema de protección, el conjunto de reglas adicional puede estar configurado para permitir el tráfico de datos de forma unidireccional.
De este modo, puede implementarse una transmisión de datos sólo en una dirección, es decir, desde la primera red hacia la segunda red, así como desde la segunda red hacia la primera red. La implementación en particular puede estar basada/asistida mediante hardware.
En una forma de ejecución del sistema de protección, el módulo de gestión puede estar configurado para desactivar el conjunto de reglas adicional y para restablecer el sistema de protección al conjunto de reglas activado de forma original, cuando se cumple con al menos una de las siguientes condiciones:
- recepción de una orden de desactivación para el conjunto de reglas adicional,
- desactivación y/o reactivación del sistema de protección, y/o
- interrupción de al menos una conexión de comunicaciones del sistema de protección hacia la primera y/o la segunda red.
Con ello se logra que un restablecimiento del conjunto de reglas activado de forma original no tenga lugar de forma accidental o no autorizada, cuando el conjunto de reglas adicional, por ejemplo, está activado debido a una intrusión. El sistema de protección puede utilizarse nuevamente de forma regular mediante una desactivación del conjunto de reglas adicional, es decir que el filtrado tiene lugar según el conjunto de reglas original.
En una forma de ejecución del sistema de protección, el sistema de protección puede estar configurado para derivar la orden de control desde un aviso de alerta recibido de un dispositivo de detección de intrusiones, donde el dispositivo de detección de intrusiones está configurado en la primera red y/o en la segunda red, por fuera de la primera o la segunda red.
Un dispositivo de detección de intrusiones puede ser por ejemplo un sistema de detección de intrusión local. Un dispositivo de detección de intrusiones de esa clase, por ejemplo, puede encontrarse en una de las dos redes. De manera adicional o alternativa, un dispositivo de detección de intrusiones puede encontrarse en la nube junto con un dispositivo de análisis del tráfico de datos, por ejemplo un servicio de mantenimiento predictivo o un servicio de monitorización de la red.
En base a una intrusión detectada o supuesta, el dispositivo de detección de intrusiones puede emitir un aviso de alerta. La orden de control para la activación del conjunto de reglas adicional puede derivarse desde un aviso de alerta de esa clase. De este modo, el conjunto de reglas adicional puede configurarse en función de una intrusión detectada o supuesta.
En una forma de ejecución, el sistema de protección puede estar configurado para emitir la orden de control cuando después de un periodo predeterminado no se presenta un aviso positivo de un dispositivo de detección de intrusiones.
Por ejemplo, a intervalos de tiempo predeterminados, un dispositivo de detección de intrusiones puede transmitir un aviso positivo, sobre un estado de la red, al sistema de protección. Un aviso positivo, por ejemplo, puede comprender datos de registro que evidencian un estado de la red sin errores. El conjunto de reglas adicional, por ejemplo, puede activarse tan pronto como no se presente un aviso positivo de esa clase después de un periodo predeterminado.
Además, la invención hace referencia a un producto de programa informático que puede cargarse directamente en un ordenador programable, el cual comprende partes de código de programa que, al ejecutarse el programa mediante un ordenador, disponen al mismo a realizar las etapas de un procedimiento según la invención.
Un producto de programa informático puede proporcionarse o ponerse a disposición en una red por ejemplo en un medio de almacenamiento, como por ejemplo una tarjeta de memoria, memoria USB, CD-ROM, DVD, un medio de almacenamiento no volátil/permanente (en inglés Non-transitory storage Medium), o también en forma de un archivo que puede descargarse desde un servidor.
En los dibujos, a modo de ejemplo, se representan ejemplos de ejecución del sistema de protección según la invención y del procedimiento según la invención, y se explican con mayor detalle mediante la siguiente descripción. Muestran:
Figura 1 una representación esquemática de un sistema de protección según la invención para el filtrado de un tráfico de datos entre una primera red y una segunda red;
Figura 2 otra representación esquemática de un sistema de protección según la invención para el filtrado de un tráfico de datos entre una primera red y una segunda red;
Figura 3 otra representación esquemática de un sistema de protección según la invención para el filtrado de un tráfico de datos entre una primera red y una segunda red; y
Figura 4 un diagrama de flujo de un procedimiento según la invención para el filtrado de un tráfico de datos entre una primera red y una segunda red.
En todas las figuras, las partes que se corresponden unas a otras están provistas de los mismos símbolos de referencia.
En particular, los siguientes ejemplos de ejecución muestran solamente posibilidades de realización a modo de ejemplo, en particular de cómo podrían verse las realizaciones de esa clase de la teoría según la invención, ya que es imposible y tampoco es efectivo o necesario para la compresión de la invención enumerar todas esas posibilidades de realización.
Además, en particular para un experto (especializado), que conoce la/s reivindicación/reivindicaciones relativas al procedimiento, naturalmente son conocidas todas las posibilidades habituales en el estado del arte para la realización de la invención, de manera que en particular no se requiere una revelación separada en la descripción.
La figura 1 muestra un ejemplo de ejecución de un sistema de protección 100 según la invención, que está dispuesto entre una primera red NW1 y una segunda red NW2, en una representación en bloques. La primera red nW1 y la segunda red NW2 están conectadas una con otra mediante una conexión de comunicaciones inalámbrica o mediante cables, de manera que pueden intercambiarse datos entre las redes.
La primera red NW1, por ejemplo, puede ser una red de automatización que vincula unos con otros varios dispositivos de campo FD1, FD2. Los dispositivos de campo, por ejemplo, pueden ser dispositivos de control o dispositivos IIoT (en inglés, Industrial Internet of Things, abreviado: IIoT - Internet industrial de las cosas). Además, en la primera red NW1 puede estar integrado un dispositivo de detección de intrusiones IDS, como por ejemplo una herramienta de detección de intrusiones (en inglés Intrusion Detection System). El dispositivo de detección de intrusiones IDS preferentemente está configurado para detectar intrusiones en la primera red NW1 y para emitir un aviso de alerta correspondiente al sistema de protección 100.
La segunda red NW2 por ejemplo es una red abierta, como por ejemplo una red de oficina, una red de telefonía móvil o la Internet. El sistema de protección 100 está configurado para filtrar el tráfico de datos entre la primera red NW1 y la segunda red NW2 según criterios de filtrado predeterminados, y eventualmente para limitarlo. El sistema de protección 100 por ejemplo puede ser un cortafuegos, una pasarela IoT o una solución de seguridad Cross-Domain-Security (seguridad de dominio cruzado). Los criterios de filtrado predeterminados están definidos en un conjunto de reglas P_act configurado en el sistema de protección 100. Un conjunto de reglas también puede denominarse como policy (política de seguridad informática).
El sistema de protección 100 presenta al menos un módulo de gestión 101 y un módulo de filtrado 102. Además, el sistema de protección 100 puede comprender al menos un procesador. El módulo de gestión 101 está configurado para activar un conjunto de reglas adicional P2 con respecto al conjunto de reglas P1 configurado de forma original, en función de una orden de control recibida. El módulo de gestión 101 está acoplado al módulo de filtrado 102. El módulo de gestión 101 gestiona los conjuntos de reglas P1, P2 almacenados de modo correspondiente, activa los mismos en función de una orden de control y configura al menos un conjunto de reglas activado en el módulo de filtrado 102. En particular, una pluralidad de conjuntos de reglas adicionales pueden estar almacenadas y ser gestionadas por el módulo de gestión 101. En particular, uno de esos conjuntos de reglas adicionales puede ser seleccionado y activado en función de una orden de control.
El módulo de filtrado 102 está configurado para filtrar el tráfico de datos entre la primera red NW1 y la segunda red NW2 según el conjunto de reglas P_act respectivamente activado o los conjuntos de reglas respectivamente activados. En el funcionamiento regular del sistema de protección 100, el conjunto de reglas original P1 está configurado como conjunto de reglas P_act activado. El filtrado, en el funcionamiento regular, tiene lugar según el conjunto de reglas P1 activado de forma original.
El módulo de filtrado 102 puede filtrar según el conjunto de reglas adicional P2, cuando ese conjunto de reglas P2 está activado, y/o según el conjunto de reglas P1 activado de forma original. Una activación del conjunto de reglas adicional P2 preferentemente tiene lugar en función de un aviso de alerta del dispositivo de detección de intrusiones IDS, tan pronto como se detecta o supone una intrusión. Adicionalmente con respecto a la activación del conjunto de reglas adicional P2, mediante una orden de bloqueo explícita y/o en el caso de la activación del conjunto de reglas adicional P2, se impide un restablecimiento del conjunto de reglas P1 activado de forma original y una modificación del conjunto de reglas adicional P2. Expresado de otro modo, mediante la activación del conjunto de reglas adicional P2 se impide que un agresor o un usuario modifique el conjunto de reglas adicional P2 activado y/o que el módulo de filtrado 102 restablezca el conjunto de reglas P1 activado de forma original. De este modo, en el caso de la activación del conjunto de reglas adicional P2, mediante la red o una interfaz de configuración regular, ya no es posible activar otro conjunto de reglas, o bien modificar el conjunto de reglas adicional P2.
En base al aviso de alerta puede derivarse la orden de control para la activación del conjunto de reglas adicional P2. El filtrado, además, puede tener lugar tanto según el conjunto de reglas P1 activado de forma original y el conjunto de reglas adicional P2, o solamente según el conjunto de reglas adicional P2. El módulo de filtrado 102 permite solamente el tráfico de datos filtrado.
Los criterios de filtrado del conjunto de reglas adicional P2 pueden estar definidos de manera que los mismos, al menos de forma parcial, se diferencian de los criterios de filtrado del conjunto de reglas P1 activado de forma original.
Los criterios de filtrado del conjunto de reglas adicional P2 preferentemente están definidos de manera que, con ello, se logra un filtrado más restrictivo del tráfico de datos, que con el conjunto de reglas P1 activado de forma original. De manera alternativa, los criterios del conjunto de reglas adicional P2 también pueden estar definidos de manera que, en particular cuando se filtra solamente según el conjunto de reglas adicional P2, se permite un tráfico de datos especificado que no se permite según el conjunto de reglas original P1. De este modo, por ejemplo en el caso de una situación de error puede habilitarse un acceso de mantenimiento adicional que no está permitido en el caso de un filtrado según el conjunto de reglas original P1.
El restablecimiento del conjunto de reglas P1 activado de forma original puede tener lugar mediante un proceso de restablecimiento protegido, cuando se cumple con al menos una de las siguientes condiciones de prueba:
- recepción de una orden de desactivación para la desactivación del conjunto de reglas adicional, como por ejemplo una pulsación local o saltador en el sistema de protección 100,
- desactivación y/o reactivación del sistema de protección 100, como por ejemplo mediante un reinicio o mediante un arranque del sistema de protección, de manera que el suministro de energía hacia el sistema de protección está interrumpido durante un intervalo de tiempo predeterminado, y/o
- interrupción de al menos una conexión de comunicaciones del sistema de protección hacia la primera y/o la segunda red, como por ejemplo mediante la separación de un cable de Ethernet.
Después del proceso de restablecimiento, el sistema de protección 100 se encuentra nuevamente en el modo de funcionamiento regular, es decir que el tráfico de datos se filtra según el conjunto de reglas original P1.
La figura 2, en una representación en bloques, muestra otro ejemplo de ejecución de un sistema de protección 100 según la invención que comprende un módulo de gestión 101 y un módulo de filtrado 102 que está dispuesto entre una primera red NW1 y una segunda red NW2. En la primera red NW1, por ejemplo, están vinculados dispositivos de campo FD1, FD2. Además, la primera red NW1 presenta un primer dispositivo de detección de intrusiones IDS1. Además, el sistema de protección 100 está conectado a un sistema 200 mediante una conexión de comunicaciones, donde el sistema 200 comprende un segundo dispositivo de identificación de intrusiones IDS2 y un dispositivo de análisis del tráfico de datos PM. Por ejemplo, el sistema 200 es un servicio backend IIoT que comprende un servicio de mantenimiento predictivo y un sistema de detección de intrusión como un servicio. El servicio de mantenimiento predictivo por ejemplo puede recibir y evaluar datos de dispositivos, de los dispositivos de campo FD1, FD2, desde la primera red NW1. Por ejemplo, puede realizarse una evaluación estadística para determinar una probabilidad de un defecto de un dispositivo de campo que se encuentra presente, y para disponer previamente un mantenimiento. Con el dispositivo de detección de intrusiones, de sistema como un servicio, puede realizarse un análisis remoto de los datos de red de la primera red NW1, para detectar intrusiones potenciales.
El sistema de protección 100 filtra el tráfico de datos entre la primera red NW1 y la segunda red NW2, según una política de seguridad (policy) P_act activada. Si uno de los dos dispositivos de detección de intrusiones IDS1, IDS2 detecta una intrusión y transmite un aviso de alerta correspondiente al sistema de protección 100, el módulo de gestión 101 activa una política de seguridad (policy) P2 adicional. Si se activa esa política de seguridad (policy) P2 adicional y se configura en el módulo de filtrado 102, a continuación, se filtra el tráfico de datos entre la primera red NW1 y la segunda red NW2, según esa política de seguridad (policy) P2 adicional y la política de seguridad (policy) P1 activada de forma original. De manera alternativa, el conjunto de reglas adicional P2 también puede activarse cuando durante un periodo predeterminado no se presenta un aviso positivo de uno de los dispositivos de detección de intrusiones IDS1, IDS2.
La figura 3, en una representación en bloques, muestra otro ejemplo de ejecución de un sistema de protección 100 según la invención, que filtra el tráfico de datos entre una primera red nW1 crítica en cuanto a la seguridad y una segunda red NW2 abierta. El módulo de gestión 101 del sistema de protección 100 comprende una política de seguridad (policy) P2 adicional que está diseñada como una política de seguridad (policy) unidireccional. Esa política de seguridad (policy) P2 unidireccional consigue que sea posible una transmisión de datos solamente en una dirección, por ejemplo solamente desde la red NW1 crítica en cuanto a la seguridad hacia la red NW2 abierta. De este modo, por ejemplo, datos de estado y/o de diagnóstico de los dispositivos de campo FD1, FD2 pueden determinarse desde la red NW1 crítica en cuanto a la seguridad, mediante un protocolo unidireccional, por ejemplo UDP.
La implementación de la política de seguridad (policy) P2 unidireccional puede tener lugar de forma basada en hardware o asistida por hardware, de manera que se garantiza físicamente que sea posible sólo una transmisión de datos unidireccional. En particular, en el caso de la activación de la política de seguridad (policy) P2 unidireccional sólo puede filtrarse según esa política de seguridad (policy). Sin embargo, también es posible que el tráfico de datos admisible según la política de seguridad (policy) P2 unidireccional, de manera adicional, se filtre según la política de seguridad (policy) P1 original. En las dos variantes, en el caso de una intrusión detectada por ejemplo mediante el dispositivo de detección de intrusiones IDS, está garantizado que desde la red NW2 abierta no sea posible influenciar la red NW1 crítica en cuanto a la seguridad y, con ello, tampoco sea posible ninguna intrusión en esos dispositivos FD1, FD2. Por ejemplo, en el caso de una intrusión detectada desde un cortafuegos bidireccional convencional, puede configurarse una puerta de enlace unidireccional (diodo de datos).
La figura 4 muestra un procedimiento implementado por ordenador, según la invención, para el filtrado de un tráfico de datos entre una primera red y una segunda red, mediante un sistema de protección dispuesto entre la primera red y la segunda red.
En la primera etapa 10 del procedimiento, mediante un dispositivo de detección de intrusiones, puede detectarse una intrusión en una de las dos redes. De manera alternativa, un dispositivo de detección de intrusiones, en instantes predeterminados, puede transmitir avisos positivos. Tan pronto como no se presenta un aviso positivo de esa clase después de un periodo predeterminado, del mismo modo, puede emitirse un aviso de alerta. El aviso de alerta puede transmitirse al sistema de protección.
En la siguiente etapa 11, en función de una orden de control, que por ejemplo se deriva del aviso de alerta transmitido, se activa un conjunto de reglas adicional para el sistema de protección. En el sistema de protección está configurado un conjunto de reglas activado de forma original. En el caso de una activación del conjunto de reglas adicional, el mismo puede configurarse en el módulo de filtrado del sistema de protección.
En la siguiente etapa 12, mediante una orden de bloqueo y/o en el caso de la activación del conjunto de reglas adicional, se impide un restablecimiento de un conjunto de reglas activado de forma original. Expresado de otro modo, el conjunto de reglas activado originalmente en el sistema de protección, según el cual se filtra en el funcionamiento regular, se complementa o reemplaza mediante el conjunto de reglas adicional. Preferentemente, los criterios de filtrado del conjunto de reglas adicional están definidos de manera que el tráfico de datos se filtra de forma más restrictiva que mediante los criterios de filtrado del conjunto de reglas original.
En la siguiente etapa 13, el tráfico de datos entre la primera red y la segunda red se filtra según el conjunto de reglas activado de forma original y/o según el conjunto de reglas adicional, de manera que se permite el tráfico de datos que cumple con los criterios de filtrado según el primer y/o el segundo conjunto de reglas.
El tráfico de datos filtrado es permitido por el sistema de protección, etapa 14.
En el marco de la invención, de manera ventajosa, todas las características descritas y/o ilustradas pueden combinarse unas con otras. La invención no está limitada a los ejemplos de ejecución descritos.

Claims (9)

REIVINDICACIONES
1. Sistema de protección (100) para el filtrado de un tráfico de datos entre una primera red (NW1) y una segunda red (NW2) según un conjunto de reglas, donde el sistema de protección (100) está dispuesto entre la primera y la segunda red, el cual presenta:
a) un módulo de gestión (101) que está configurado para
- activar un conjunto de reglas adicional (P2) para el sistema de protección, en función de una orden de control, para el filtrado del tráfico de datos, y
- mediante una orden de bloqueo y/o en el caso de la activación del conjunto de reglas adicional, para impedir un restablecimiento de un conjunto de reglas (P1) activado de forma original del sistema de protección y una modificación del conjunto de reglas adicional,
b) un módulo de filtrado (102) que, al estar activado el conjunto de reglas adicional (P2), está configurado para filtrar el tráfico de datos entre la primera red (NW1) y la segunda red (NW2) según el conjunto de reglas (P1) activado de forma original y el conjunto de reglas adicional (P2), o solamente según el conjunto de reglas adicional (P2), y para permitir el tráfico de datos filtrado de modo correspondiente.
2. Sistema de protección (100) según la reivindicación 1, donde el conjunto de reglas adicional (P2) está configurado para filtrar el tráfico de datos en base a criterios de filtrado que se diferencian, al menos de forma parcial, de los criterios de filtrado del conjunto de reglas activado de forma original.
3. Sistema de protección (100) según una de las reivindicaciones precedentes, donde el conjunto de reglas adicional (P2) está configurado para filtrar de forma más restrictiva el tráfico de datos filtrado mediante el conjunto de reglas activado de forma original.
4. Sistema de protección (100) según una de las reivindicaciones precedentes, donde el conjunto de reglas adicional (P2) está configurado para permitir el tráfico de datos de forma unidireccional.
5. Sistema de protección (100) según una de las reivindicaciones precedentes, donde el módulo de gestión (101) está configurado para desactivar el conjunto de reglas adicional (P2) y para restablecer el sistema de protección (100) al conjunto de reglas (P1) activado de forma original, cuando se cumple al menos una de las siguientes condiciones:
- recepción de una orden de desactivación para el conjunto de reglas adicional,
- desactivación y/o reactivación del sistema de protección (100), y/o
- interrupción de al menos una conexión de comunicaciones del sistema de protección hacia la primera y/o la segunda red.
6. Sistema de protección (100) según una de las reivindicaciones precedentes, donde el sistema de protección (100) está configurado para derivar la orden de control desde un aviso de alerta recibido de un dispositivo de detección de intrusiones (IDS), donde el dispositivo de detección de intrusiones está configurado en la primera red o en la segunda red y/o por fuera de la primera o la segunda red.
7. Sistema de protección según una de las reivindicaciones precedentes, donde el sistema de protección está configurado para emitir la orden de control cuando después de un periodo predeterminado no se presenta un aviso positivo de un dispositivo de detección de intrusiones (IDS).
8. Procedimiento implementado por ordenador para el filtrado de un tráfico de datos entre una primera red (NW1) y una segunda red (NW2) según un conjunto de reglas, mediante un sistema de protección (100) dispuesto entre la primera red y la segunda red, el cual comprende las etapas del procedimiento:
- activación (11) de un conjunto de reglas adicional (P2) para el sistema de protección (100) para el filtrado del tráfico de datos en función de una orden de control,
- prevención (12) de un restablecimiento de un conjunto de reglas (P1) activado de forma original del sistema de protección y de una modificación del conjunto de reglas adicional mediante una orden de bloqueo y/o en el caso de la activación del conjunto de reglas adicional,
- filtrado (13) del tráfico de datos entre la primera red y la segunda red, al estar activado el conjunto de reglas adicional (P2) según el conjunto de reglas (P1) activado de forma original y el conjunto de reglas adicional (P2), o solamente según el conjunto de reglas adicional (P2), y
- admisión (14) del tráfico de datos filtrado de modo correspondiente.
9. Producto de programa informático que comprende partes de código de programa que, al ejecutar el programa, mediante un procesador, disponen al mismo a realizar las etapas del procedimiento según la reivindicación 8.
ES19204902T 2019-10-23 2019-10-23 Sistema de protección y procedimiento para el filtrado de un tráfico de datos Active ES2921212T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP19204902.1A EP3813314B1 (de) 2019-10-23 2019-10-23 Sicherungssystem und verfahren zur filterung eines datenverkehrs

Publications (1)

Publication Number Publication Date
ES2921212T3 true ES2921212T3 (es) 2022-08-19

Family

ID=68342675

Family Applications (1)

Application Number Title Priority Date Filing Date
ES19204902T Active ES2921212T3 (es) 2019-10-23 2019-10-23 Sistema de protección y procedimiento para el filtrado de un tráfico de datos

Country Status (5)

Country Link
EP (1) EP3813314B1 (es)
CN (1) CN114600424B (es)
ES (1) ES2921212T3 (es)
PL (1) PL3813314T3 (es)
WO (1) WO2021078538A1 (es)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200314066A1 (en) * 2019-03-29 2020-10-01 Cloudflare, Inc. Validating firewall rules using data at rest

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005051090A1 (de) * 2005-10-25 2007-04-26 Siemens Ag Filteranpassung bei Änderung von Netzzuständen
US8056115B2 (en) * 2006-12-11 2011-11-08 International Business Machines Corporation System, method and program product for identifying network-attack profiles and blocking network intrusions
CN101026500A (zh) * 2007-01-31 2007-08-29 北京佳讯飞鸿电气有限责任公司 一种减少网络入侵检测系统漏报的方法
US8561129B2 (en) * 2008-02-28 2013-10-15 Mcafee, Inc Unified network threat management with rule classification
GB2474545B (en) * 2009-09-24 2015-06-24 Fisher Rosemount Systems Inc Integrated unified threat management for a process control system
DE102016205321A1 (de) * 2016-03-31 2017-10-05 Siemens Aktiengesellschaft Reduzieren einer Angriffsmöglichkeit auf eine Schwachstelle eines Gerätes über eine Netzwerkzugangsstelle
DE102017203898A1 (de) * 2017-03-09 2018-09-13 Siemens Aktiengesellschaft Gateway-Vorrichtung, Kommunikationsverfahren und Kommunikationssystem für ein Fahrzeug, insbesondere ein Schienenfahrzeug

Also Published As

Publication number Publication date
EP3813314A1 (de) 2021-04-28
WO2021078538A1 (de) 2021-04-29
EP3813314B1 (de) 2022-04-27
CN114600424A (zh) 2022-06-07
PL3813314T3 (pl) 2022-08-22
CN114600424B (zh) 2023-06-02

Similar Documents

Publication Publication Date Title
JP6594732B2 (ja) 不正フレーム対処方法、不正検知電子制御ユニット及び車載ネットワークシステム
ES2784265T3 (es) Procedimiento y dispositivo para la captura sin repercusiones de datos
US10218741B2 (en) Immunizing network devices using a malware marker
KR102642875B1 (ko) 차량 내 네트워크에 보안을 제공하는 시스템 및 방법
CN107431709B (zh) 攻击识别方法、攻击识别装置和用于汽车的总线系统
US11747799B2 (en) Industrial control system and network security monitoring method therefor
US10015176B2 (en) Network protection
US20080040788A1 (en) Apparatus and method for protecting a medical device and a patient treated with this device against harmful influences from a communication network
JP2019029993A (ja) 異常検知装置および異常検知方法
JP2018026791A (ja) フレーム伝送阻止装置、フレーム伝送阻止方法及び車載ネットワークシステム
WO2021145144A1 (ja) 侵入経路分析装置および侵入経路分析方法
US20150215283A1 (en) Bi-directional data security for supervisor control and data acquisition networks
EP3675455B1 (en) Bi-directional data security for supervisor control and data acquisition networks
CN111066001A (zh) 日志输出方法、日志输出装置以及程序
WO2016116973A1 (ja) 不正フレーム対処方法、不正検知電子制御ユニット及び車載ネットワークシステム
ES2921212T3 (es) Sistema de protección y procedimiento para el filtrado de un tráfico de datos
RU2746105C2 (ru) Система и способ конфигурирования шлюза для защиты автоматизированных систем
US20180124076A1 (en) Method for transmitting data
ES2657505T3 (es) Procedimiento, elemento seguro y sistema para supervisar dispositivos de red de área de controlador
ES2916392T3 (es) Procedimiento y dispositivo para la transmisión directa y libre de interacción de mensajes de registro
US11044231B2 (en) Assembly for checking at least one firewall device, and method for protecting at least one data receiver
ES2733725T3 (es) Procedimiento de definición de un módulo de filtrado, módulo de filtrado asociado
CN106789932B (zh) 一种基于组件跳变的网络系统安全防护方法及装置
KR102391791B1 (ko) 능동형 차량 사이버 해킹 대응장치 및 방법
US20220417268A1 (en) Transmission device for transmitting data