SERVIDOR DE SEGURIDAD INFORMÁTICA

9.3.1 FUNCIONES DE SEGURIDAD INFORMÁTICA.

El Sistema de Seguridad Informática (más adelante referido como SSI), deberá proveer protección informática completa e integral al sistema SCADA y a las subestaciones al través de la funcionalidad de alerta, monitoreo, bitácora y reporte requeridos por la normatividad NERC CIP vigente.

ü El SSI, deberá desempeñar funciones de escaneo de puertos en todos los dispositivos de red o en cualquier equipo que cuente con una dirección IP. El reporte generado, deberá indicar todos los puertos abiertos en algún dispositivo o equipo.

ü El SSI, deberá poder escanear cualquier dispositivo de red para descubrir cualquier vulnerabilidad. La herramienta de evaluación de vulnerabilidad, deberá poder mostrar las vulnerabilidades existentes en el sistema e indicar los procedimientos recomendados para corregir las mismas.

ü El SSI, deberá incluir un “Firewall” del tipo SPF (“Stateful Packet Filtering”). Las reglas y características de bloqueo de “ping” deberán poder configurarse para tres diferentes tipos de zonas (Externa, Interna y DMZ). Para cada zona, el tráfico de entrada y salida deberá poder ser administrado independientemente. El “Firewall” deberá incluir controles de direcciones IP de origen y destino entre diferentes zonas de red. Deberá

soportar múltiples direcciones IP externas con Traducción de Direcciones de Red (“Network Address Translation” – NAT). Deberá permitir la función de “Port Forwarding” para aplicaciones internas que requieran acceso a Internet, como pueden ser “web hosting” o el servicio de correo electrónico. Además, deberá ser un ruteador basado en Traducción de Direcciones de Red (NAT-based router), que soporte el manejo de bitácoras basadas en políticas de control de acceso y permita el agrupamiento por direcciones y servicios.

ü El SSI, deberá incluir un Sistema de Detección de Intrusiones – SDI (Intrusión Detection System – IDS). Dicho sistema deberá utilizar un conjunto de reglas para detectar cualquier intento de penetrar la red SCADA o la de las subestaciones y hacer mal uso de las mismas. La reglas de intrusión deberán estar divididas en tres diferentes tipos: “Estándar”, “Moderado” y “Avanzado”. El SDI deberá utilizar verificadores para asegurarse que detectará cualquier tipo de intrusión como pueden ser saturaciones simuladas de “buffer”, escaneos de puertos en modo oculto (“stealth”), ataques del tipo CGI (“Common Gateway Interface”), pruebas SMB (“Server MESSA ESPge Block”) e intentos de identificación de claves del sistema operativo. Cuando se presenten cualquiera de esos eventos, el SSI deberá reportarlo inmediatamente como una alarma. ü El SSI deberá integrar la funcionalidad de Red Privada Virtual (VPN) mediante el

protocolo PPTP (“Point to Point Tunneling Protocol”).

ü El SSI deberá integrar la funcionalidad de Red Privada Virtual utilizando túneles VPN basados en SSL (“Secure Sockets Layer”) y/o IPSec. El túnel deberá establecerse utilizando llaves pre-compartidas. La transmisión de datos entre los sitios deberá utilizar compresión del tipo LZO con encriptadores (“ciphers”) seleccionables por el usuario, como pueden ser AES-128-CBC.

ü El SSI, deberá soportar todos los encriptadores DES, AES y DESX disponibles en el momento de su instalación y deberán ser actualizables vía software, en caso de que se publiquen nuevos encriptadores en el futuro.

ü El SSI, deberá integrar software anti-virus a nivel de red. Cuando algún virus sea detectado, éstos deberán ser puestos en cuarentena y deberán generarse alarmas electrónicas que deberán ser distribuidas y reportadas inmediatamente por el sistema SCADA. Los archivos de definición de virus deberán ser actualizados periódicamente de acuerdo al itinerario de actualización configurado por el administrador del sistema SCADA.

ü El SSI, deberá integrar un servidor proxy basado en un servidor HTTP y FTP.

ü El SSI deberá integrar un servidor DHCP, el cuál deberá poder configurarse en modo primario o de respaldo.

ü El SSI deberá incluir un servidor DNS, el cuál deberá poder configurarse en modo primario o de respaldo.

ü El SSI deberá incluir un servidor de tiempo de red para la sincronización de tiempo de dispositivos de red específicos.

ü El SSI deberá poder incluir protección informática para dispositivos seriales y en su momento actualizar su configuración, en caso de que éstos sean actualizados a comunicación IP.

9.3.2 FUNCIONES DE MONITOREO

ü El SSI deberá incluir toda la funcionalidad de monitoreo que le permita monitorear el estado de todos los dispositivos y equipos de red que se encuentren dentro de las redes internas (protegidas). El monitor deberá poder utilizar ICMP (“Inter Control MESSA ESPge Protocol”) ping y TCP Port ping para poder monitorear el estado de cualquier equipo. Incluso, la pérdida de la señal de estado saludable del equipo o recuperación de sistema deberá generar una alarma electrónica que deberá ser reportada inmediatamente por el sistema SCADA.

ü El SSI deberá ser capaz de monitorear dispositivos compatibles con SNMP (“Simple Network Management Protocol”), mediante el uso de su función de monitoreo SNMP. ü El SSI deberá poder monitorear el desempeño de cualquier dispositivo o equipo de red

dentro de las redes internas mediante el uso de comandos SNMP para solicitar información de los dispositivos monitoreados que sean configurados como agentes SNMP. Una lista predefinida de MIBs (“Management Information Base”) deberá suministrarse para el monitoreo de dispositivos de red genéricos bajo las plataformas LINUX, UNIX, Windows NT, Windows XP, Windows Vista, Windows 2000 y Windows 2003. Estadísticas sobre la utilización del enlace WAN (“Wide Area Network”) y la CPU, la memoria y disco duro, de servidores y estaciones de trabajo, deberá ser presentada en formato gráfico.

9.3.3 COMUNICACIONES

ü El SSI deberá incluir por lo menos 4 puertos de comunicación Ethernet del tipo 10/100/1000 Base-T, para el monitoreo de la red doble redundante del sistema SCADA, la red WAN y garantizar además su capacidad de crecimiento en el futuro.

ü El SSI deberá incluir un puerto adicional RS-232 DB-9 para configuración y mantenimiento.

9.3.4 REPORTES Y BITÁCORAS

ü Las bitácoras de auditoria deberán cumplir con todos los requisitos de la norma NERC CIP-005 (“Electronic Security Parameters”) y NERC CIP-007 (“Systems Security Management”).

ü Todas las bitácoras de auditoria deberán incluir el estampado de tiempo con resolución de milisegundos provenientes del reloj de sincronización de tiempo del sistema SCADA (dicha conexión deberá ser sobre la red doble redundante en caso de pérdida de cualquiera de las dos redes LAN SCADA).

ü Las bitácoras y reportes originales deberán ser archivados en el SSI en cumplimiento con los lineamientos de la norma NERC CIP.

ü La funcionalidad de servidor “Syslog” deberá estar disponible en el SSI para archivar información operativa de otros activos presentes en el sistema.

ü Todas las actividades de administrador en el SSI deberán ser archivadas con detalles suficientes que permitan recrear cualquier secuencia de eventos.

ü Todas las sesiones de usuarios e intentos de acceso de usuarios al SSI deberán ser archivados.

ü Reportes detallados de detección de intrusiones deberán estar disponibles y deberán ser archivados de acuerdo con los requerimientos de la norma NERC CIP.

ü Reportes detallados de escaneo de vulnerabilidades y reportes de escaneo de puertos deberán estar disponibles y deberán ser archivados para cumplir con los requerimientos de la norma NERC CIP.

ü El SSI deberá permitir la generación de resúmenes y análisis de tendencias de cualquiera de los indicadores de seguridad informática que se solicitan.

ü El SSI deberá incluir un portal web para reportes, con las correspondientes restricciones de acceso y control de usuarios; el cuál permita presentar la información y el tipo de datos disponibles dependiendo del perfil de usuario.

ü El SSI deberá incluir herramientas que permitan al usuario personalizar sus reportes. 9.3.5 HERRAMIENTAS DE ADMINISTRACIÓN

ü El SSI deberá incluir por lo menos las siguientes herramientas de diagnóstico: Ping, Rastreo de Ruta, Rastreo de Paquetes y Rastreo de Conexiones del “Firewall”.

ü El SSI deberá incluir un servidor de monitoreo de otros SSIs remotos, que incluya información sobre el estado de los CPUs, Disco, Memoria y servidor de administración. 9.3.6 CONTROL DE ACCESO ADMINISTRATIVO

ü El SSI deberá incluir una interfaz de operación basada en línea de commandos, además de la interfaz gráfica de usuario. Deberá incluir niveles de sólo lectura y administrador total, entre otros.

9.3.7 INTEROPERABILIDAD CON EL SISTEMA SCADA

ü El SSI deberá ser administrado por el sistema SCADA, tal y como si fuera un Dispositivo Electrónico Inteligente (“IED”) más.

ü Los indicadores de seguridad informática deberán ser manejados utilizando protocolos SCADA estándar.

ü La interrogación de la información de seguridad informática desde el sistema SCADA deberá ser definible por el administrador, en base a un itinerario que vaya de acuerdo con la naturaleza de cada tipo de datos.

ü Los indicadores claves de seguridad informática deberán ser registrados en el sistema SCADA para propósitos de análisis.

ü Los elementos de red y los enlaces que representan las condiciones de seguridad informática deberán representarse gráficamente en el sistema SCADA como parte de la topología de red.

ü Los mapas deberán estar arreglados en diferentes capas para mostrar diferentes niveles de detalles y con una codificación de colores dependiendo de las condiciones de estado y/o valores de los elementos de red.

ü Cuando se presenten problemas de seguridad informática, el sistema SCADA deberá reportar tanto en forma gráfica como auditiva, las alarmas que se hayan presentado. Mediante el uso de mapas y gráficos, la localización y señalización de la falla deberá hacerse con un solo clic para lograr un acercamiento al área afectada.

ü Los indicadores claves deberán incluir el estado de los activos informáticos, riesgos de vulnerabilidad, riesgos de intrusion, accesos administrativos e intentos de acceso sobre activos informáticos y riesgos de virus