Enfoque de seguridad en sistemas de control industrial

Texto completo

(1)Universidad Central “Marta Abreu” de Las Villas Facultad de Ingeniería Eléctrica Departamento de Telecomunicaciones y Electrónica. TRABAJO DE DIPLOMA “Enfoque de seguridad en Sistemas de Control Industrial”. Autor: Nokhanyo Molly Melitafa. Tutor: Ing. Daniel Iglesias de la Torre. Santa Clara 2017 "Año 59 de la Revolución".

(2) Universidad Central “Marta Abreu” de Las Villas Facultad de Ingeniería Eléctrica Departamento de Telecomunicaciones y Electrónica. TRABAJO DE DIPLOMA “Enfoque de seguridad en Sistemas de Control Industrial” Autor: Nokhanyo Molly Melitafa [email protected] Tutor: Daniel Iglesias de la Torre mailto:[email protected]. Santa Clara 2017 "Año 59 de la Revolución".

(3) Hago constar que el presente trabajo de diploma fue realizado en la Universidad Central “Marta Abreu” de Las Villas como parte de la culminación de estudios de la especialidad de Ingeniería en Automática, autorizando a que el mismo sea utilizado por la Institución, para los fines que estime conveniente, tanto de forma parcial como total y que además no podrá ser presentado en eventos, ni publicados sin autorización de la Universidad.. Firma del Autor Los abajo firmantes certificamos que el presente trabajo ha sido realizado según acuerdo de la dirección de nuestro centro y el mismo cumple con los requisitos que debe tener un trabajo de esta envergadura referido a la temática señalada.. Firma del Tutor. Firma del Jefe de Departamento donde se defiende el trabajo. Firma del Responsable de Información Científico-Técnica.

(4) i. PENSAMIENTO. “El genio con se hace con un 1% de talento y un 99% de trabajo” Albert Einstein..

(5) ii. DEDICATORIA. 19.01.2017 I lost my dad, it was the most painful day thus far in my life. As the months pass by, I have come to accept the pain and hold on to the values that my dad instilled in me. From a young age he motivated me to break the boundaries/limitations that were set before our people, black people. He believed in me unceasingly and that in turn helped me to get to where I am today. I am who I am because of He was who He was. God saw no better father for me on earth and I am eternally grateful for the blessing of such an amazing dad. I dedicate this work to you Dad, without you I would have never made it this far. I love you always. May I never forget your sacrifices for me, nor shun away from the values that you instilled in me and the love you always had for us your family and your nation. Rest in peace Ngqila, Nyathi, Nokhonza.. La pérdida de mi padre el 19.01.2017 fue el día más doloroso de mi vida. Con el paso de los meses he aceptado el dolor y me he aferrado a los valores que mi padre inculcó en mí. Desde pequeña, él me motivó a romper las barreras y limitaciones que enfrenta nuestro pueblo y nuestra raza. Él creyó en mí incesantemente, ayudándome a llegar a ser quien soy hoy. Quien soy hoy es el resultado de su ser. Dios no vio mejor padre en la tierra para mí y por eso estoy eternamente agradecida por la bendición de tan maravilloso padre. Te dedico este trabajo a ti padre, sin ti nunca hubiese llegado tan lejos, nunca olvidaré el sacrificio que hiciste por mí, ni me separaré de los valores que inculcaste en mí y del amor que siempre tuviste para tu familia y tu nación. Descansa en paz Ngqila, Nyathi, Nokhonza..

(6) iii. AGRADECIMIENTOS.  A Dios, por todas las bendiciones que ha puesto sobre mí, por iluminar mi camino y por su amor incondicional.  A mi madre y hermanos, por todos sus sacrificios, amor y apoyo. La familia lo es todo. Los amo.  A mi hija Phiwokuhle, por su amor y comprensión incondicional. Tú has tenido que vivir sin tu madre por 7 años, gracias por tu paciencia mi ángel. Saber que esperas mi regreso me ha dado fuerzas muchas veces para soportar y ser mejor. Te amo.  A el SACP, gracias por haber confiado en mí con la beca para ser ingeniero.  Al gobierno de Cuba, gracias por la oportunidad de estudiar y vivir en tan maravilloso país, me han enseñado mucho.  A mi tutor Daniel Iglesias, por todo su trabajo duro y precisión.  A mi novio, amigo y a veces padre, Carlos Politano, eres increíble en muchas formas. Te amo.  A mis amigos, em particular a, Veronica Chivavi, Johanna Shihepo and Phelokazi Xhakwe..

(7) iv. TAREA TÉCNICA. 1. Desarrollar una evaluación sobre los sistemas de control industrial. 2. Realizar un estudio sobre los principales riesgos a los que se someten los sistemas de control industrial y como gestionarlos. 3. Seleccionar las arquitecturas de seguridad en sistemas de control industrial más robustas. 4. Utilizar y explotar las capacidades y beneficios del software Packet Tracer 7.0.0 para la simulación de redes. 5. Simular los métodos y técnicas de seguridad seleccionados.. Firma del Autor. Firma del Tutor.

(8) v. RESUMEN. En este Trabajo de Diploma se hace una evaluación sobre los requerimientos de seguridad de los Sistemas de Control Industrial. Para ello se determinaron las principales características de estos y se compararon con las redes comerciales. Además se presenta el concepto de defensa en profundidad y las principales técnicas de segmentación y segregación de la red, protección perimetral, monitoreo y detección de intrusión, así como los mecanismos de control de acceso y acceso remoto a Sistemas de Control Industrial. Se propone una arquitectura de seguridad con cortafuegos y zona desmilitarizada en entre la red de control y la red corporativa que es posteriormente validada mediante simulación..

(9) vi TABLA DE CONTENIDOS. PENSAMIENTO .....................................................................................................................i DEDICATORIA .................................................................................................................... ii AGRADECIMIENTOS ........................................................................................................ iii TAREA TÉCNICA ................................................................................................................iv RESUMEN ............................................................................................................................. v INTRODUCCIÓN .................................................................................................................. 1 CAPÍTULO 1.. GENERALIDADES SOBRE LOS. SISTEMAS DE CONTROL. INDUSTRIAL………….. ...................................................................................................... 4 1.1. Evolución de los Sistemas de Control Industrial. ............................................. 4. 1.1.1 1.2. Diferencias entre las redes industriales y las redes comerciales. ......... 6. Operación y componentes de un Sistema de Control Industrial. .................. 9. 1.2.1. Sistema SCADA ........................................................................................... 12. 1.2.2. Sistemas de Control Distribuido. ............................................................... 14. 1.3. Ethernet en los ICS. ............................................................................................ 16. 1.4. Protocolos Industriales. ...................................................................................... 17. 1.4.1. Modbus-TCP. ................................................................................................ 17. 1.4.2. DNP3 .............................................................................................................. 18. 1.4.3. EtherCAT. ...................................................................................................... 19. 1.4.4. Profinet........................................................................................................... 19. 1.4.5. Ethernet/IP .................................................................................................... 20. 1.5. Seguridad en los ICS. ......................................................................................... 21. 1.6. Conclusiones Parciales del Capítulo. ............................................................... 23.

(10) vii CAPÍTULO 2.. ARQUITECTURAS DESEGURIDAD EN LOS SISTEMAS DE. CONTROL INDUSTRIAL. ................................................................................................. 24 2.1. Consideraciones para el diseño........................................................................ 24. 2.2. Normas, buenas prácticas, directrices y políticas. ......................................... 25. 2.3. Enfoque de defensa en profundidad. ............................................................... 25. 2.3.1. Marco de seguridad en redes industriales. .............................................. 26. 2.3.2. Niveles y Zonas. ........................................................................................... 29. 2.4. Segmentación de la red. .................................................................................... 31. 2.5. Protección de límites........................................................................................... 33. 2.5.1. Cortafuegos Industriales. ............................................................................ 33. 2.5.2. Diodos de Datos. .......................................................................................... 35. 2.6. Controles de Seguridad. ..................................................................................... 35. 2.7. Control de Acceso. .............................................................................................. 36. 2.8. Acceso Remoto. .................................................................................................. 37. 2.9. Monitorización de la seguridad en los ICS. ..................................................... 37. 2.9.1 2.10. Técnicas de Detección de Intrusión. ......................................................... 38 Arquitectura de Firewall con Zona Desmilitarizada entre red industrial y. red corporativa. ............................................................................................................... 39 2.11. Conclusiones Parciales del Capítulo. ........................................................... 41. CAPÍTULO 3.. SIMULACIÓN DE TÉCNICAS DE SEGURIDAD EN REDES. INDUSTRIALES…………………………………………………………………………..43 3.1 Descripción del escenario “Firewall con DMZ entre la red corporativa y la red de control”........................................................................................................................ 43 3.2 Descripción del escenario “VPN sitio a sitio” ...................................................... 47.

(11) viii 3.3. Simulación del escenario “Firewall con DMZ entre la red corporativa y la. red de control”................................................................................................................. 49 3.3.1 Configuración de las interfaces Interna, Externa y DMZ ........................... 50 3.4. Configuración de la traducción de direcciones a través de grupos de. objetos.............................................................................................................................. 52 3.5 Configuración de Políticas de Firewall basadas en Zonas. .............................. 55 3.6 Simulación del escenario “VPN sitio a sitio” ....................................................... 57 3.7 Conclusiones Parciales del Capítulo.................................................................... 62 CONCLUSIONES Y RECOMENDACIONES ................................................................... 64 Conclusiones ..................................................................................................................... 64 Recomendaciones ............................................................................................................. 66 REFERENCIAS BIBLIOGRÁFICAS ................................................................................. 67 ANEXOS .............................................................................................................................. 72 Anexo I: Estadísticas de ciberataques a ICS en los últimos años. ........................ 72 Anexo II: Cortafuegos Industriales. ............................................................................. 73 Anexo III: Diodos de Datos. .......................................................................................... 73 Anexo IV: Configuración de DHCP. ............................................................................ 74 Anexo V: Configuración de SSH. ................................................................................ 74 Anexo VI: Configuración del Router 1. ....................................................................... 75 Anexo VII: Configuración del Router 2. ...................................................................... 76 Anexo VIII: Configuración del Router ISP. ................................................................. 77 Anexo IX: Configuración del Firewall. ......................................................................... 78 Anexo X: Configuración del HQ-ASA. ........................................................................ 80 Anexo XI: Configuración del BR-ASA. ........................................................................ 81.

(12) INTRODUCCIÓN. 1. INTRODUCCIÓN. Asegurar una red industrial y los activos conectados a ella, aunque similares en muchos aspectos a la seguridad estándar del sistema de información de la empresa, presenta varios desafíos únicos. Si bien los sistemas y redes utilizados en los sistemas de control industrial (ICS) son altamente especializados, cada vez más se basan en plataformas informáticas comunes que utilizan sistemas operativos comerciales. Al mismo tiempo, estos sistemas se construyen para la confiabilidad, el funcionamiento, y la longevidad. Se puede esperar que un ICS integrado típico funcione sin pausa durante meses o incluso años, y la esperanza de vida global se puede medir en décadas. Los atacantes, por el contrario, tienen fácil acceso a nuevas técnicas y pueden emplearlas en cualquier momento. En una red empresarial típica, los sistemas se gestionan continuamente en un intento por mantenerse a la vanguardia de esta amenaza que evoluciona rápidamente, pero estos métodos a menudo entran en conflicto con los requisitos básicos de confiabilidad y disponibilidad de una red industrial. Debido a la importancia de las redes industriales y a las consecuencias potencialmente devastadoras de un ataque, es necesario adoptar nuevos métodos de seguridad. Las redes industriales son objetivos de un nuevo perfil de amenaza que utiliza ataques más sofisticados y específicos que nunca. Una tendencia igualmente inquietante es el aumento de eventos accidentales que han llevado a consecuencias significativas causadas cuando un usuario del sistema autorizado sin saberlo introduce amenazas en la red durante su interacción normal y de rutina. Esta interacción puede ser una administración normal del sistema local o mediante una operación remota del sistema. Muchos sistemas industriales se construyen utilizando dispositivos heredados y, en algunos casos, ejecutan protocolos heredados que han evolucionado para operar en redes enrutables. Los sistemas de automatización fueron construidos para la confiabilidad mucho antes de la proliferación de conectividad de Internet, aplicaciones basadas en web y sistemas de información de negocios en tiempo real. La seguridad física siempre fue una preocupación, pero la seguridad de la información no era típicamente una prioridad porque los sistemas de control estaban a cielo abierto, es decir, físicamente separados sin ningún sistema común (electrónico u otro) que cruzara esa brecha. Muchas organizaciones comenzaron el proceso de reingeniería de sus procesos empresariales y necesidades de integración operacional en los años noventa. Las organizaciones comenzaron a realizar una mayor integración entre no sólo las aplicaciones ICS comunes durante.

(13) INTRODUCCIÓN. 2. esta era, sino también la integración de aplicaciones empresariales típicas como los sistemas de planificación de producción con los componentes de supervisión del ICS. Con este cambio, la seguridad de ICS se ha vuelto cada vez más importante. Las políticas tradicionales de seguridad de la tecnología de la información (TI) se centran principalmente en la confidencialidad y la disponibilidad de la red es la prioridad de seguridad más baja. Por el contrario, los ICS, especialmente aquellos que se consideran infraestructura crítica, deben mantener un alto nivel de disponibilidad del sistema y resiliencia operacional por muchas razones, incluyendo la seguridad económica, ambiental, humana y nacional. Para muchos procesos, sería inaceptable degradar el rendimiento por razones de seguridad. Se requiere un análisis de riesgo para que cada sistema haga tal determinación. Las protecciones de seguridad deben ser implementadas de una manera que mantenga la integridad del sistema durante el funcionamiento normal, así como durante los tiempos de ciberataque. Tomando en cuenta estos antecedentes, para el presente trabajo de diploma se define el siguiente problema de investigación:  ¿Cómo aplicar los conceptos básicos de seguridad de redes al contexto de los sistemas de control industrial? Del problema anteriormente planteado surgen las siguientes interrogantes científicas:  ¿Cuáles son los principales tipos de sistemas de control industrial?  ¿Qué diferencias y similitudes existen entre las redes tradicionales y los sistemas de control industrial?  ¿A qué tipo de riesgos y vulnerabilidades están expuestos los sistemas de control industrial?  ¿Cómo identificar y gestionar los principales tipos de riesgos y vulnerabilidades?  ¿Qué métodos y técnicas de seguridad se utilizan en los sistemas de control industrial?  ¿Cuáles son las arquitecturas de seguridad en sistemas de control industrial más recomendadas? En este trabajo de diploma se plantea como objetivo general, evaluar los métodos y técnicas que integran la seguridad a las arquitecturas de redes típicas de los sistemas de control industrial..

(14) INTRODUCCIÓN. 3. Para el cumplimiento del objetivo general, se han considerado los objetivos específicos siguientes:  Describir los principales tipos de sistemas de control industrial.  Realizar una comparación entre las redes tradicionales y los sistemas de control industrial.  Evaluar los riesgos y vulnerabilidades a los que están expuestos los sistemas de control industrial.  Caracterizar la gestión de los sistemas de control industrial.  Definir las principales arquitecturas de seguridad implementadas en los sistemas de control industrial.  Demostrar mediante la simulación la efectividad de los métodos y técnicas seleccionados. Organización del Informe Capítulo I: Generalidades sobre los Sistemas de Control Industrial. En este capítulo se exponen las principales características de los Sistemas de Control Industrial, abordando sus diferencias con las redes comerciales tradicionales, así como los principales protocolos industriales y amenazas de seguridad. Capítulo II: Arquitecturas de seguridad en los Sistemas de Control Industrial. En este capítulo se presenta las consideraciones para el diseño de Sistemas de Control Industrial seguros basados en el enfoque de defensa en profundidad y se propone una arquitectura de Firewall con Zona Desmilitarizada entre la red corporativa y la red de control. Capítulo III: Simulación de técnicas de seguridad en redes industriales. En este capítulo se simulan diferentes técnicas de seguridad aplicadas al entorno industrial a través de dos escenarios seleccionados llamados, “Firewall con Zona Desmilitarizada entre la red corporativa y la red de control” y “VPN sitio a sitio entre redes de control separadas” respectivamente..

(15) CAPÍTULO 1. GENERALIDADES SOBRE LOS SISTEMAS DE CONTROL INDUSTRIAL.. 4. CAPÍTULO 1. GENERALIDADES SOBRE LOS SISTEMAS DE CONTROL INDUSTRIAL.. En este capítulo se hace una revisión sobre las generalidades de los Sistemas de Control Industrial. Primeramente, se aborda su evolución y se hace una comparativa con las redes comerciales tradicionales. Además, se exponen su funcionamiento y principales componentes, así como las características de seguridad de los principales sistemas y protocolos industriales implementados. 1.1 Evolución de los Sistemas de Control Industrial. Muchos de los Sistemas de Control Industrial (ICS) actuales evolucionaron desde la inserción de capacidades de Tecnologías de la Información (TI) en sistemas físicos existentes, reemplazando o complementando a menudo los mecanismos físicos de control. Por ejemplo, los controles digitales incorporados reemplazaron los controles mecánicos analógicos en máquinas y motores giratorios. Las mejoras en el costo y el desempeño han fomentado esta evolución, dando lugar a muchas de las tecnologías "inteligentes" actuales, como la red eléctrica inteligente, el transporte inteligente, los edificios inteligentes y las fábricas inteligentes. Si bien esto aumenta la conectividad y la criticidad de estos sistemas, también crea una mayor necesidad de su adaptabilidad, resistencia, y seguridad. La ingeniería de ICS continúa evolucionando para proporcionar nuevas capacidades mientras se mantienen los típicos ciclos de vida largos de estos sistemas. La introducción de capacidades de TI en sistemas físicos presenta un comportamiento emergente que tiene implicaciones de seguridad. Los modelos y análisis de ingeniería están evolucionando para abordar estas propiedades.

(16) CAPÍTULO 1. GENERALIDADES SOBRE LOS SISTEMAS DE CONTROL INDUSTRIAL.. 5. emergentes, incluyendo la seguridad, la privacidad y las interdependencias de impacto ambiental [3].. Los ICS están diseñados para soportar, gestionar y controlar los procesos industriales. Son una parte esencial de la infraestructura de información crítica. A nivel mundial, es responsable de la gestión y control de procesos industriales que involucran áreas como el tratamiento de aguas, petróleo, químicos, gas, producción y distribución de electricidad, etc. El diagrama básico de un ICS se muestra en la Figura 1.1. La parte más baja de todo el sistema se denomina Lazo de Control. Es de un controlador también conocido como un controlador lógico programable (PLC). Estos reciben información actualizada sobre un proceso controlado. Los PLC deciden sobre la base de sus programas y dan instrucciones a los actuadores, que son responsables de regular el proceso controlado. La segunda parte de todo el ICS es responsable de la supervisión de los procesos controlados. Se compone de una interfaz hombre-máquina (HMI) y diagnósticos y mantenimiento remotos (RDM). La HMI representa la conexión entre los sistemas gestionados y sus operadores humanos. Los operadores humanos son responsables del control, regulación y gestión del controlador mediante comandos enviados al PLC. Al mismo tiempo, el PLC informa constantemente al HMI sobre la situación actual. El propósito de Diagnóstico Remoto y Mantenimiento es identificar anomalías e implementar su prevención y revitalización [4].. Figura 1.1. Diagrama básico de un Sistema de Control Industrial [5]..

(17) CAPÍTULO 1. GENERALIDADES SOBRE LOS SISTEMAS DE CONTROL INDUSTRIAL.. 6. 1.1.1 Diferencias entre las redes industriales y las redes comerciales. Aunque los avances en la creación de redes industriales, tales como la incorporación de la tecnología Ethernet, han comenzado a desdibujar la línea entre las redes industriales y comerciales, cada uno de ellos tiene requisitos fundamentalmente diferentes. La diferencia más esencial es que las redes industriales están conectadas al equipo físico de alguna forma y se usan para controlar y monitorear las acciones y condiciones del mundo real [6]. Esto ha dado como resultado el énfasis en un conjunto diferente de consideraciones de calidad de servicio (QoS), como la necesidad de un fuerte determinismo y la transferencia de datos en tiempo real. Las diferencias entre las redes típicas convencionales y las industriales mencionadas anteriormente se amplían en detalle a continuación: 1) Arquitectura: Las redes industriales generalmente tienen una arquitectura mucho más profunda que las redes comerciales. Mientras que la red comercial de una empresa puede consistir redes locales (LAN) de sucursales u oficinas conectadas por una red troncal o una red de área amplia (WAN), incluso las redes industriales pequeñas tienden a tener una jerarquía de tres o cuatro niveles. Por ejemplo, la conexión de los instrumentos a los controladores puede ocurrir en un nivel, la interconexión de los controladores en el siguiente, la interfaz hombre-máquina (HMI) se puede situar por encima de eso, con una red final para la recopilación de datos y comunicación externa en la parte superior. A menudo se utilizan diferentes protocolos y / o medios físicos en cada nivel, requiriendo dispositivos de pasarela para facilitar la comunicación. Las mejoras en los protocolos de redes industriales y en la tecnología han dado como resultado un aplanamiento de jerarquías industriales típicas, especialmente en la combinación de las capas superiores. A menudo, sin embargo, la arquitectura de red no se flota tanto como es posible, con el fin de conservar la correlación.

(18) CAPÍTULO 1. GENERALIDADES SOBRE LOS SISTEMAS DE CONTROL INDUSTRIAL.. 7. con la jerarquía funcional del equipo controlado. Por ejemplo, las islas de potencia dentro de una utilidad generadora de energía conservarán redes de control independientes con el fin de retener una separación lógica entre unidades tanto a nivel mecánico como de control.. 2) Gravedad de la falla: Debido al hecho de que las redes de control industrial están conectadas a equipos físicos, el fallo de un sistema tiene un impacto mucho más severo que el de los sistemas comerciales. Los diferentes efectos del fracaso de una red industrial pueden incluir daños a equipos, pérdidas de producción, daños ambientales, pérdida de reputación e incluso pérdida de vidas. Aunque no siempre causado por fallas en el sistema de control, numerosos desastres industriales como el desastre nuclear de Fukashima Daiichi en 2011 dan ejemplos del impacto severo de un fracaso industrial.. 3) Requisitos en tiempo real: La velocidad a la que operan los procesos y equipos requiere que los datos sean transmitidos, procesados y respondidos tan cerca como sea posible al instante. Una regla general es que el tiempo de respuesta debe ser menor que el tiempo de muestreo de los datos recopilados. Por ejemplo, las aplicaciones de control de movimiento tienen requisitos de tiempo de respuesta en el rango de 250 μs a 1 ms, aunque los procesos menos rigurosos pueden requerir solamente tiempos de respuesta de 1 ms 10 ms. También los retrasos en la entrega de información pueden afectar gravemente el rendimiento de los bucles de control, especialmente en el caso de los sistemas de bucle cerrado. Las redes comerciales tienden a no tener ningún requisito de tiempo de respuesta; si lo hacen, suelen estar en el rango de decenas de cientos de milisegundos. Los niveles más altos de la jerarquía de una red de.

(19) CAPÍTULO 1. GENERALIDADES SOBRE LOS SISTEMAS DE CONTROL INDUSTRIAL.. 8. automatización tienden a tener requisitos de tiempo progresivamente más bajos y en los niveles más altos empiezan a parecerse a las redes comerciales. 4) Determinismo: No sólo se deben transmitir los datos utilizados en los niveles más bajos de una red industrial en tiempo real, sino que también debe hacerse de una manera predecible o determinista. Para que una red sea determinista debe ser posible predecir cuándo una respuesta a una transmisión será recibida. Esto significa que la latencia de una señal debe ser limitada y tener una varianza baja. La variación del tiempo de respuesta de una señal se denomina a menudo (jitter). Se requiere una baja fluctuación de fase debido al hecho de que la variación en el tiempo tiene un efecto negativo en los bucles de control. Las derivadas y partes integrales del bucle de control son afectadas por la variación del tiempo y los métodos de procesamiento digital de señales tales como las Transformaciones Rápidas de Fourier requieren intervalos fijos entre los datos muestreados. Las redes comerciales no son afectadas por la inestabilidad tan severamente como lo son las redes industriales. 5) Tamaño de los datos: Los paquetes de datos transmitidos en niveles industriales son generalmente muy pequeños, especialmente a niveles bajos en la arquitectura, donde sólo se necesita transmitir una única medición o valor digital, junto con algunas informaciones generales. Tales transmisiones son a menudo sólo unos pocos bytes de tamaño, tales como la transmisión de un único estado binario o un valor de 16 bits. Por otra parte, las redes comerciales transmiten regularmente kilobytes o más de datos, con tamaños de paquete que comienzan en un mínimo de 64 bytes. Esta diferencia requiere protocolos significativamente diferentes dentro de la pila de red, centrada en la transmisión de paquetes de datos más pequeños..

(20) CAPÍTULO 1. GENERALIDADES SOBRE LOS SISTEMAS DE CONTROL INDUSTRIAL.. 9. 6) Tráfico Periódico y Aperiódico: Las redes industriales requieren la transmisión tanto de datos muestreados periódicamente como eventos aperiódicos tales como cambios de estado o condiciones de alarma. Como se ha discutido anteriormente, estas señales deben transmitirse dentro de un periodo de tiempo establecido. El período de muestreo utilizado para recopilar y transmitir datos puede variar de un dispositivo a otro de acuerdo con los requisitos de control y los datos aperiódicos pueden producirse en cualquier momento. Para facilitar tales transmisiones, los protocolos de contención de buses se implementan en protocolos de red industriales a bajo nivel para asegurar que toda la transferencia de datos ocurre de manera oportuna. No existen tales consideraciones en las redes comerciales donde la transmisión de datos se implementa por "mejor esfuerzo" y puede implicar un retardo aleatorio antes de que se transmitan los datos.. 7) Robustez: Las redes industriales se implementan en una amplia variedad. de. ubicaciones físicas,. a. menudo. experimentando. condiciones adversas tales como humedad, polvo, calor y vibración. Para resistir estas duras condiciones, el equipo debe ser resistente con altas clasificaciones de protección contra intrusos para evitar daños al equipo de líquidos y polvo. Esto contrasta fuertemente con las redes comerciales que, en su conjunto, están situadas en ambientes limpios y con temperatura controlada. 1.2 Operación y componentes de un Sistema de Control Industrial. Las redes industriales están compuestas de componentes y aplicaciones especializadas, como los Controladores Lógicos Programables (PLC), Sistemas de Supervisión Control y Adquisición de Datos (SCADA) y Sistemas de Control.

(21) CAPÍTULO 1. GENERALIDADES SOBRE LOS SISTEMAS DE CONTROL INDUSTRIAL.. 10. Distribuido (DCS). Es de la comunicación dentro y entre estos componentes y sistemas que las redes industriales se preocupan principalmente.. Componentes de control:  Servidor de control: El servidor de control es un software responsable de la configuración de los controladores (PLC); aloja todas las aplicaciones de lógica de control y configuración de la red del dispositivo. Además, alberga algunos servicios de monitoreo en tiempo real. El servidor de control está conectado directamente a los dispositivos de control a través de una red de control.  Servidor SCADA: Conocido en la literatura académica como Unidad de Terminal Maestro (MTU); que es el dispositivo central en la arquitectura SCADA para alojar todas las funciones de supervisión, control y modelado de objetos de datos para los activos de procesos.  Unidad de Terminal Remoto (RTU): Los dispositivos de campo se usan generalmente en implementaciones de telemetría de sistemas SCADA. Las RTU están interconectando objetos en instalaciones industriales a sistemas SCADA o DCS transmitiendo datos de telemetría adquiridos y ejecutando lógica de control para un control básico de objetos conectados..  Controlador Lógico Programable (PLC): Un PLC es como "una pequeña computadora industrial originalmente utilizada para realizar las funciones lógicas ejecutadas por hardware eléctrico", esta definición corresponde a la primera versión de PLC que apareció a mediados de los años 60. Hoy en día Los PLCs son capaces de controlar procesos complejos en sistemas DCS y SCADA. Los PLCs son capaces de resolver una lógica compleja para controlar las funciones de procesos y comunicaciones generadas por el servidor de control. En la mayoría de las implementaciones reales, los PLCs.

(22) CAPÍTULO 1. GENERALIDADES SOBRE LOS SISTEMAS DE CONTROL INDUSTRIAL.. 11. están conectados a dispositivos de niveles inferiores tales como sensores y actuadores [7].  Interfaz Hombre Máquina (HMI): es un software alojado en computadoras o en hardware específico usado para monitorear el proceso, modificar ajustes de control y anular manualmente operaciones de control. Las HMI pueden ser clientes de servidores SCADA o directamente conectados a la red de control..  Data Historian: Es una base de datos centralizada conectada a una o varias MTU, para recopilar todos los registros de proceso y eventos. El conjunto de la información alojada por el historiador se accede por algunos grandes servicios de datos para el análisis de datos que se comunica a nivel de empresa. Un ICS se jerarquiza en diferentes capas de red, red de empresa, red de control, red de campo. Los componentes de ICS que se enumeran anteriormente están interactuando en esos diferentes niveles para proporcionar varias funcionalidades que hemos discutido anteriormente para ambas implementaciones del sistema, SCADA y DCS. Estos están interconectados a través de componentes de red dependiendo del contexto de uso e independientemente de la topología. La evolución de los componentes de control para soportar los protocolos basados en TI llevó a la personalización de los componentes de la red de TI para satisfacer los requisitos de ICS, tales como disponibilidad, rendimiento, etc. otra razón detrás del uso de tecnologías de redes basadas en TI es fusionar las redes corporativas con las redes de control y permitir a los ingenieros controlar y supervisar remotamente el control del proceso fuera de la instalación. La siguiente es una lista de los principales componentes de red utilizados en las redes ICS para cada capa..

(23) CAPÍTULO 1. GENERALIDADES SOBRE LOS SISTEMAS DE CONTROL INDUSTRIAL.. 12.  Red de bus de campo: La red de bus de campo está conectando sensores, actuadores y otros dispositivos archivados a un PLC u otros controladores. El uso de una red específica para dispositivos de campo evita la conexión directa de sensores y dispositivos de campo a PLCs. Varios protocolos de comunicación se utilizan para comunicarse entre controladores y dispositivos o entre los propios dispositivos.  Red de control: La red de control está conectando el nivel superior (control de supervisión, servidor de control, servicios de monitoreo) a los controladores y RTUs..  Puntos de Acceso Remoto: Los RAPs son dispositivos de comunicación basados en radio utilizados generalmente en implementaciones SCADA altamente distribuidas para configurar, monitorizar y acceder remotamente a dispositivos remotos tales como RTUs. 1.2.1 Sistema SCADA Los sistemas SCADA están ampliamente desplegados para la recogida remota de datos en tiempo real, monitoreo remoto y supervisión. Además, se utilizan básicamente para el control automatizado de procesos industriales, infraestructuras críticas (oleoductos y gasoductos, aeropuertos, tráfico, gestión del agua, refinerías químicas, etc.) y las redes eléctricas [8]. Un sistema SCADA es capaz de monitorear varias instalaciones críticas y varios sitios remotos simultáneamente. Los sistemas SCADA se componen de dos capas básicas. La capa de instrumentación (y la capa de servidor de datos. Más concretamente, el sistema SCADA consta de: En primer lugar, dispositivos de interfaz de datos de campo que incluyen Unidades Terminales Remotas (RTU), Controladores Lógicos Programables (PLC) y dispositivos Electrónicos Inteligentes (IED) [9]. Los IEDs son sensores inteligentes, que están conectados a máquinas o equipos a controlar. En cuanto a RTUs y PLCs; se utilizan para automatizar remotamente las tareas dentro de las subestaciones remotas, así.

(24) CAPÍTULO 1. GENERALIDADES SOBRE LOS SISTEMAS DE CONTROL INDUSTRIAL.. 13. como las mediciones remotas. En segundo lugar, un centro de control o Unidad de Terminal Maestro. El objetivo básico de la adopción de un Sistema SCADA en todo tipo de instalaciones industriales o la red eléctrica es tener un control completo de la planta en general y sobre todo para garantizar la seguridad y protección. Cuando se implementa en una red de energía eléctrica, la función de principio de SCADA es asegurarse de que la potencia se entrega eficientemente sin alterar la calidad de servicio (QoS) o aumentar los costos. Las funcionalidades ampliadas de los sistemas SCADA son la detección de fallos, el aislamiento y restauración de equipos, así como la gestión de carga y energía [10]. El sistema SCADA es una herramienta informática que es crítica, pero al mismo tiempo flexible, dotada de una base de datos en tiempo real potenciada y escalable, ya que es posible extender el sistema de control basado agregando más clientes, más servidores y más variables de proceso. Aparte de la función de control de supervisión, SCADA proporciona una visualización de información y lecturas de los datos recopilados. Además, está bien dotado de datos remotamente y capacidades de cálculo de datos remotamente que lo distinguen de los DCS. Además, los datos se archivan y almacenan automáticamente en la base de datos y luego se utilizan cuando se procesan alarmas o se muestran tendencias y curvas, o incluso se generan informes. Además, las acciones pueden ser activadas automáticamente por eventos, como cargar una pantalla específica o imprimir un informe, etc. Los sistemas SCADA son resistentes, fiables y utilizados principalmente para instalaciones críticas donde la eficiencia y la fiabilidad son de máxima importancia [11]..

(25) CAPÍTULO 1. GENERALIDADES SOBRE LOS SISTEMAS DE CONTROL INDUSTRIAL.. 14. Figura 1.2. Esquema de red SCADA [12]. 1.2.2 Sistemas de Control Distribuido. Los Sistemas de Control Distribuido (DCS) se usan para controlar los sistemas de producción dentro de una misma ubicación geográfica para industrias tales como refinerías de petróleo, tratamiento de aguas y aguas residuales, plantas de generación de energía eléctrica, plantas de fabricación de productos químicos, producción automotriz e instalaciones de procesamiento farmacéutico. Estos sistemas suelen ser de control de procesos o sistemas discretos. Los DCS se integran como una arquitectura de control que contiene un nivel de supervisión de control que supervisa múltiples subsistemas integrados que son responsables de controlar los detalles de un proceso localizado. Un DCS utiliza un bucle de control de supervisión centralizado para mediar un grupo de controladores localizados que comparten las tareas generales de llevar a cabo un proceso de producción completo [13]. El control del producto y del proceso se logra usualmente desplegando bucles de control de retroalimentación o de avance directo, con lo que las condiciones clave del producto y / o del proceso se mantienen automáticamente alrededor de un punto de consigna deseado. Para lograr la tolerancia de producto y / o proceso deseada.

(26) CAPÍTULO 1. GENERALIDADES SOBRE LOS SISTEMAS DE CONTROL INDUSTRIAL.. 15. alrededor de un punto de consigna especificado, se emplean controladores de proceso específicos o PLCs más capaces en el campo y se sintonizan para proporcionar la tolerancia deseada, así como la tasa de autocorrección durante las alteraciones del proceso. Mediante la modularización del sistema de producción, un DCS reduce el impacto de un solo fallo en el sistema general. En muchos sistemas modernos, el DCS se interconecta con la red corporativa para dar a las operaciones de negocio una visión de la producción. Un DCS es arquitectura a 4 capas, Empresa, Operación, Control y Campo. En la arquitectura DCS mostrada en la figura 3, los ingenieros de control conectados a la red de control diseñan la aplicación de control. El servidor DCS conectado a la red de operación y control descarga la aplicación a los diferentes PLC. Una vez realizados, los controladores reciben los valores de la variable de proceso de los dispositivos de campo a través de la red de bus de campo que conduce para ejecutar la lógica de control. En caso de control distribuido, los controladores interactúan entre ellos para realizar una ejecución de lógica distribuida. Durante la ejecución de la aplicación de control en los controladores, el servidor DCS solicita datos de los controladores y dispositivos distribuidos. Estos datos se muestran gráficamente a los operadores.. Figura 1.3. Esquema de red DCS [14]..

(27) CAPÍTULO 1. GENERALIDADES SOBRE LOS SISTEMAS DE CONTROL INDUSTRIAL.. 16. 1.3 Ethernet en los ICS. La introducción de Ethernet en el campo de las redes industriales también presentó algunos nuevos desafíos. Las normas Ethernet existentes debían ampliarse o modificarse para satisfacer los estrictos requisitos de las redes industriales. Esto se logró en varios niveles de la pila IP, y utilizando varios enfoques. La mayoría de los buses de campo de serie, incluyendo todos los definidos en IEC 61158 [15], funcionan según el modelo reducido definido en MAP / EPA. El modelo MAP / EPA consta de sólo tres capas: física, enlace de datos y aplicación, como se muestra en la Figura 1.4.. Figura 1.4. Modelos de referencia OSI,TCP/IP y EPA [16].. Las implementaciones de Ethernet en tiempo real se basan en el modelo TCP / IP de cuatro capas, con algunas modificaciones para lograr el determinismo. Los requisitos en tiempo real se pueden lograr a través de uno de los tres enfoques. Común en todos los enfoques es el uso de cableado Ethernet y TCP y UDP para comunicaciones no tiempo real. La modificación de la pila TCP / IP puede hacerse sólo en el nivel de aplicación para utilizar paquetes de datos estándar, el nivel de.

(28) CAPÍTULO 1. GENERALIDADES SOBRE LOS SISTEMAS DE CONTROL INDUSTRIAL.. transporte. puede modificarse. para. utilizar. Ethertype. personalizado. 17 para. comunicaciones en tiempo real o la capa de enlace de datos Ethernet puede modificarse para aplicar mecanismos y la infraestructura que permiten la comunicación en tiempo real. Estos enfoques se denominan "Encima de IP", "Encima de Ethernet" y "Ethernet modificada" respectivamente. 1.4 Protocolos Industriales. Los dispositivos ICS dentro y fuera del bus de campo interactúan con protocolos de red especiales. Aunque sus orígenes a menudo se remontan a la década de 1970, muchos ahora incluyen variantes TCP / IP. Históricamente, los protocolos eran específicos del proveedor, pero protocolos independientes del proveedor como Modbus o DNP3 son cada vez más populares. Estos satisfacen los requerimientos de bajo tiempo de latencia y cómputo de los ICS, pero no ofrecen seguridad o lo hacen mínimamente [17]. 1.4.1 Modbus-TCP. Modbus-TCP está diseñado exclusivamente para aplicaciones en tiempo real. Se encuentra en la capa de aplicación en la parte superior de TCP / IP y se basa totalmente en los componentes estándar de Ethernet Parte superior de Ethernet. Tiene un puerto TCP bien conocido (502) para transmitir datos y por lo tanto puede ser controlado a distancia. Ya que se encuentra en la capa de la aplicación, el protocolo se puede aplicar todos los tipos de dispositivos para la comunicación y es muy fácil de configurar, es decir, muestra un alto grado de autoconfiguración. Se implementa como una arquitectura cliente-servidor por lo que cada dispositivo puede convertirse en cliente o servidor, lo que contribuye a la alta fiabilidad de Modbus-TCP. El servidor procesa las peticiones de los clientes y confirma su mensaje de error. El número de dispositivos conectados por Modbus-TCP está prácticamente limitado sólo por la potencia de cálculo de los dispositivos propios [18]. Modbus no implementa ninguna característica de seguridad, por lo que la comunicación entre dispositivos usando a Modbus debe controlarse. Por lo tanto, la.

(29) CAPÍTULO 1. GENERALIDADES SOBRE LOS SISTEMAS DE CONTROL INDUSTRIAL.. 18. implementación de un analizador de tráfico para comprobar que el tráfico Modbus es permitido solo entre dispositivos específicos y sólo con funciones permitidas podría ayudar a paliar problemas de comunicaciones cuando se usa este protocolo.. 1.4.2 DNP3 El IEEE 1815 DNP3 es un protocolo abierto, con dos clases de dispositivos definidos. Las Estaciones Maestras (Master Station) suelen ser dispositivos con alguna potencia de procesamiento y almacenamiento de información. Las Estaciones Exteriores (Outstation) son dispositivos ubicados en el campo (línea de transmisión, subestaciones, transformadores) encargados de recopilar información de los sensores y envíarla a la estación maestra. La norma DNP3 fue propuesta por IEC (International Electrotechnical Commission) con una implementación más sencilla, un protocolo simplificado de tres capas, llamado EPA (Enhanced Performance Architecture), que utiliza arquitectura en capas siguiendo el modelo OSI (Open System Interconnection). La topología del estándar de protocolo DNP3 ofrece cuatro tipos de arquitecturas que son: punto a punto, multipunto y concentrador de datos en niveles. En la estación maestra punto a punto realiza la comunicación con una sola estación, ya en la estación maestra multipunto se comunica con varias estaciones, la comunicación se hace punto por punto de manera secuencial entre la estación maestra y la estación externa [19]. DNP3 es un protocolo diseñado para maximizar disponibilidad de sistema, y pone menos cautela en los factores de confidencialidad e integridad de los datos. El estándar tiene un modelo de operaciones basado en reto y respuesta, entonces cuando una petición es hecha para una función que requiere autenticación, la petición no es tramitada a menos que un reto de autenticación se resuelva. Como DNP3 tiene una implementación segura, la recomendación principal sería desplegar solo DNP3 seguro. Esta implementación puede no ser posible por un número de factores diferentes, como el soporte lógico informático del fabricante. En tales casos.

(30) CAPÍTULO 1. GENERALIDADES SOBRE LOS SISTEMAS DE CONTROL INDUSTRIAL.. 19. se aconseja usar DNP3 encapsulado dentro de un protocolo seguro de transporte como TLS.. 1.4.3EtherCAT. EtherCAT es un sistema Ethernet Industrial, que se basa en el principio maestroesclavo y aplica un procedimiento para el tratamiento de los datos de proceso cíclicos en los dispositivos de campo (esclavos). Para la comunicación, se crea una imagen de proceso en el maestro, que representa el estado de varias entradas y salidas del sistema general que comprende varios esclavos. Para cambiar el estado de las salidas específicas de un esclavo, la parte correspondiente de la imagen de proceso junto con una orden de cambio tiene que ser enviados. Los esclavos por si mismos pueden enviar partes de la imagen de proceso al maestro durante el intercambio cíclico de datos para actualizar la información de estado de sus entradas [20]. Como EtherCAT es un protocolo derivado de Ethernet, es susceptible a todas las vulnerabilidades de Ethernet, y así al riesgo a un rango grande de ataques de negacion de servicio. Los servicios EtherCAT fácilmente pueden ser modificados a través de la inserción de paquetes de Ethernet en la red de tal manera que interfieren con la sincronización y ellos son vulnerables a la falsificación a consecuencia de la falta de autenticación, así que se aconseja separar la red EtherCAT de cualquier otro sistema Ethernet. Se aconseja también llevar a cabo monitoreo de la red para asegurar su integridad, chequeando que el tráfico EtherCAT se origina exclusivamente en dispositivos que están explícitamente autorizados.. 1.4.4 Profinet. La comunicación en una red Profinet tiene lugar cíclicamente y se divide en varias fases. Cada ciclo comienza con la fase isócrona, en el que se trasmiten tramas tiempo real isócronas (IRT). La transmisión de telegramas IRT ya está configurado.

(31) CAPÍTULO 1. GENERALIDADES SOBRE LOS SISTEMAS DE CONTROL INDUSTRIAL.. 20. durante la instalación de la red. Por el medio de los relojes sincronizados, en cada dispositivo está previsto precisamente el punto en el tiempo cuando se puede enviar una trama IRT. La sincronización se lleva un cabo por un maestro. A pesar de la transmisión de datos en Ethernet, el direccionamiento no tiene lugar por direcciones MAC, pero las tramas se reenvían a través de los conmutadores en una ruta fija en función del tiempo de transmisión. Por lo tanto, se requieren conmutadores Profinet especiales. Después de la fase isócrona, otra fase RT sigue y por último, se proporciona una fase de datos de tiempo sin crítico de transmisión a través de UDP o TCP. Profinet IRT es un sistema complejo de planificación, pero ha ganado una cuota de mercado notablemente más alta debido a que Siemens apoya su desarrollo [21]. El equipamiento Profinet carece de cualquier función de seguridad nativa. Las medidas incorporadas en el protocolo se concentran en la mejora de la disponibilidad del sistema y la fiabilidad operacional, conjuntamente con la robustez del equipamiento cuándo afronta volúmenes altos de tráfico en ciertos puntos. Al igual que con otros protocolos originalmente creados pues la comunicación a través de Fieldbus, la ausencia de autenticación y la falta de seguridad en el protocolo requieren aislamiento del resto de red. Además, el uso de métodos de tecnología de la información para autenticar componentes en la red, conjuntamente con código de comunicaciones dentro de esta es una buena práctica. Finalmente, la seguridad del perímetro debería ser muy rígida a fin de evitar cualquier tráfico no autorizado o sospechoso.. 1.4.5 Ethernet/IP Ethernet / IP se basa en el Protocolo Común Industrial (CIP), que se encuentra en la parte superior de TCP / IP y UDP / IP. Para la transmisión de datos de proceso en tiempo real, UDP / IP se utiliza, posibilitando una comunicación directa entre todos los dispositivos. Básicamente, Ethernet / IP se puede utilizar con todos los protocolos en la capa de la aplicación y sin la limitación del número de dispositivos. Sin embargo, en la práctica hay una limitación de obvia si tiempo real isócrono se.

(32) CAPÍTULO 1. GENERALIDADES SOBRE LOS SISTEMAS DE CONTROL INDUSTRIAL.. 21. ha de lograr. Por otra parte, si tiene que ser alcanzado, la sincronización de tiempo tiene que ser implementado en hardware por medio de conmutadores especiales con el soporte de una función IEEE 1588 con estampas de tiempo de lo contrario el rendimiento de la pila no es suficiente. Para complicar las cosas, los enrutadores tienen características de control de multidifusión / difusión disponibles y no existe un estándar para implementar o configurar estas características [22]. Ethernet /IP es susceptible a ser afectado por todas las vulnerabilidades de Ethernet, como robo de identidad o captura de tráfico. Además, como utiliza UDP para sus mensajes implícitos, y esto carece de controles de transmisión, es posible la inyección de tráfico malicioso y manipular la ruta de transmisión usando IGMP. Como Ethernet /IP es un protocolo basado en Ethernet, hay que proveer el perímetro de la red Ethernet /IP de todos los mecanismos de seguridad que se basan en Ethernet e IP. Se aconseja también emprender un monitoreo pasivo de la red a fin de asegurar que el tráfico de Ethernet /IP es asociado solamente las piezas explícitamente identificadas del equipamiento y no vienen de fuera de la red [23]. 1.5 Seguridad en los ICS. El entorno de los ICS se está volviendo progresivamente más abierto. Los desarrolladores de mercado algunas veces requieren que la información de los sistemas de control sea provista a departamentos comerciales dentro de la organización, o a terceros por redes de comunicación públicas. Desde una perspectiva operacional, conviene a menudo implementar facilidades remotas de acceso. Esto les permite a los operadores de sistema reaccionar a las alarmas de los sistemas de control desde casa, mientras los integradores de sistema y los ingenieros de mantenimiento pueden acceder remotamente a la red de control para monitorear el estatus de los equipos, implementar cambios en el sistema y efectuar mantenimiento remoto.. Las organizaciones deben estar conscientes de las ciberamenazas y factores de riesgo para los ICS introducidos por empleados externos y sus actividades..

(33) CAPÍTULO 1. GENERALIDADES SOBRE LOS SISTEMAS DE CONTROL INDUSTRIAL.. 22. Los diseñadores, proveedores e integradores de ICS están más enfocados en el desarrollo de características nuevas que en el desarrollo de sistemas que son intrínsecamente más seguros. Una falta de demanda armonizada del cliente y los requisitos reguladores para la ciberseguridad amplifican la falta de foco en ciberasegurar las redes de control industrial. Sólo recientemente, la necesidad para la ciberseguridad en redes industriales se ha vuelto más prominente [24].. Los Sistemas de Control Industrial se enfrentan a numerosos vectores de amenazas de ciberseguridad con diferentes grados de pérdida potencial, que van desde el incumplimiento hasta la interrupción de las operaciones que podrían resultar en la destrucción de la propiedad y, desgraciadamente, la pérdida potencial de vidas humanas [25]. En el anexo 1 se muestra una tabla con las estadísticas de ciberataques en los últimos años.. Ejemplos de amenazas potenciales relacionadas con los ICS son:  Amenazas Persistentes Avanzadas.  El desborde involuntario de los compromisos de la red corporativa.  Interrupción de los servicios de red de voz y datos.  Combate físico y cibernético coordinado.  Sabotaje interno.  Interrupción o compromiso de la cadena de suministro.  Negación de servicios distribuidos.. Dados estos retos, es importante que organizaciones desarrollen e implementen un programa de seguridad para la protección de su infraestructura crítica que sigue una estrategia de defensa en profundidad. La defensa en profundidad define la implementación de controles por niveles para defender un sistema en contra de los diferentes tipos de ataques. La meta es reducir riesgo de información al conservar.

(34) CAPÍTULO 1. GENERALIDADES SOBRE LOS SISTEMAS DE CONTROL INDUSTRIAL.. 23. la disponibilidad y la integridad del ambiente de industrial y, sobre todo, para proteger vidas humanas.. 1.6 Conclusiones Parciales del Capítulo.  El campo de las redes industriales es de vital importancia para el funcionamiento continuado de todas las ramas de la industria, en las cuales el equipamiento físico debe ser controlado. Desde el advenimiento de los primeros protocolos de bus de campo, las redes industriales han sido ampliamente implementadas y están siendo utilizados en mayor medida para cumplir con una amplia variedad de controles, requisitos de seguridad y monitoreo de plantas.  Los avances tecnológicos de campos relacionados como la Informática, las comunicaciones y electrónica y la Internet han sido adaptados para el uso industrial con el fin de ahorrar costes y hacer uso de investigaciones existentes. La adopción de la norma física de Ethernet y la adopción en curso de las tecnologías inalámbricas han dado lugar a un mayor nivel de interconexión entre redes industriales y comerciales.  Debido a esto hay una necesidad creciente para ingenieros y técnicos de comprender no sólo el funcionamiento de la tecnología comercial subyacente, sino las necesidades estrictas y específicas del medio ambiente industrial y el funcionamiento de protocolos y normas específicas de la industria. Es especialmente cierto en el caso de la seguridad de la red, donde las redes industriales se están volviendo cada vez más vulnerables a las amenazas nativas de su base tecnológica adaptada..

(35) CAPÍTULO 2. ARQUITECTURAS DE SEGURIDAD EN LOS SISTEMAS DE CONTROL INDUSTRIAL.. CAPÍTULO 2.. 24. ARQUITECTURAS DESEGURIDAD EN LOS SISTEMAS DE CONTROL INDUSTRIAL.. En el presente capítulo se desarrolla el tema de las principales arquitecturas de seguridad en los Sistemas de Control Industrial. Comenzando con las principales consideraciones para el diseño de redes industriales seguras. También se exponen las principales normas, directrices y políticas a seguir, así como el enfoque de defensa en seguridad a seguir. Finalmente se propone y se explican las principales características una arquitectura de Firewall con Zona Desmilitarizada entre la red industrial y la red corporativa. 2.1 Consideraciones para el diseño. Al diseñar una arquitectura de red para una implementación de ICS, por lo general se recomienda separar la red ICS de la red corporativa. La naturaleza del tráfico de red en estas dos redes es diferente: el acceso a Internet, FTP, correo electrónico y acceso remoto normalmente se permitirán en la red corporativa, pero no se debe permitir en la red ICS. Es posible que no existan procedimientos rigurosos de control de cambios para equipos de red, configuración y cambios de software en la red corporativa. Si el tráfico de red ICS se lleva a cabo en la red corporativa, podría ser interceptado o sometido a ataques de Negación de Servicios (DoS) o de Hombre en el medio (Man-in-the-Middle). Al tener redes separadas, los problemas de seguridad y rendimiento en la red corporativa no deben afectar a la red ICS. Consideraciones prácticas, como el costo de la instalación de ICS o el mantenimiento de una infraestructura de red homogénea, a menudo significan que se requiere una conexión entre el ICS y las redes corporativas. Esta conexión es un.

(36) CAPÍTULO 2. ARQUITECTURAS DE SEGURIDAD EN LOS SISTEMAS DE CONTROL INDUSTRIAL.. 25. riesgo de seguridad importante y debe estar protegida por dispositivos de protección de límites. Si las redes deben estar conectadas, se recomienda encarecidamente que sólo se permitan conexiones mínimas (solo si es posible) y que la conexión se realiza a través de unos cortafuegos y una Zona Desmilitarizada (DMZ). Una DMZ es un segmento de red separado que se conecta directamente al cortafuego. Los servidores que contienen los datos del ICS que se debe acceder desde la red corporativa se colocan en este segmento de red. Sólo estos sistemas deben ser accesibles desde la red corporativa. Con cualquier conexión externa, se debe permitir el acceso mínimo a través de los cortafuegos, incluyendo la apertura de los puertos necesarios para la comunicación específica. En las siguientes secciones se explican estas consideraciones arquitectónicas. 2.2 Normas, buenas prácticas, directrices y políticas. En la actualidad, el conjunto de directrices, normas y reglamentos para la seguridad de ICS comprende más de 50 publicaciones, de las cuales una cuarta parte son normas. La mayoría de estas publicaciones no son ICS específicas y tratan la seguridad de ICS desde una perspectiva general. Sin embargo, también hay muchos documentos dedicados específicamente al sector energético (petróleo, gas y electricidad), donde la biblioteca de documentos destinados al sector eléctrico es particularmente extensa. Al mismo tiempo, otros sectores, como el transporte, el abastecimiento de agua o la agricultura, no se abordan muy bien. Muchos de los documentos ya están en sus versiones finales. En otros casos, como IEC 62443 que adaptan ANSI / ISA 99 o algunos estándares del NIST, los documentos aún se están desarrollando [26] . 2.3 Enfoque de defensa en profundidad. Ningún producto, tecnología o metodología puede asegurar completamente las aplicaciones del Sistema de Control Industrial. Proteger los activos de ICS requiere un enfoque de seguridad de defensa en profundidad, que se ocupe de las amenazas de seguridad internas y externas. Este enfoque utiliza múltiples capas de defensa (física, procesos y electrónica) en niveles separados de ICS mediante la aplicación.

(37) CAPÍTULO 2. ARQUITECTURAS DE SEGURIDAD EN LOS SISTEMAS DE CONTROL INDUSTRIAL.. 26. de políticas y procedimientos que abordan diferentes tipos de amenazas. Por ejemplo, varias capas de seguridad de red para ayudar a proteger los activos en red (por ejemplo, datos y puntos finales) y varias capas de seguridad física para ayudar a proteger activos de alto valor. . Para lograr un enfoque de defensa en profundidad, se requiere un proceso operacional para establecer y mantener la capacidad de seguridad. Un proceso operativo de seguridad incluye las siguientes acciones:  Identificar los tipos de dispositivos activos ICS y las ubicaciones dentro de la infraestructura de red de toda la planta.  Identificar potenciales vulnerabilidades y amenazas internas y externas a los ICS y evaluar los riesgos asociados..  Comprender la aplicación y los requisitos funcionales de los activos ICS (por ejemplo, operaciones 24x7, patrones de comunicación, topología, resiliencia requerida y tipos de tráfico).. Comprender los riesgos asociados de equilibrar la aplicación y los requisitos funcionales de los activos de ICS con la necesidad de proteger la disponibilidad, integridad y confidencialidad de los datos de activos de ICS. 2.3.1 Marco de seguridad en redes industriales. El diseño e implementación de un marco completo de seguridad de la red ICS debería servir como una extensión natural del proceso de ICS. El marco de seguridad de la red industrial debe ser omnipresente y esencial en el proceso. La seguridad de la red no debe ser implementada como un componente atornillado. Un marco de seguridad equilibrado debe abordar tanto los elementos técnicos (tecnológicos) como los no técnicos (políticas y procedimientos)..

(38) CAPÍTULO 2. ARQUITECTURAS DE SEGURIDAD EN LOS SISTEMAS DE CONTROL INDUSTRIAL.. 27. Las arquitecturas de referencia Ethernet (CPwE) convergentes utilizan estándares industriales para establecer un marco de seguridad de red industrial. Este marco de seguridad de red industrial establece una base para la segmentación de la red tanto para la gestión del tráfico como para la aplicación de políticas (por ejemplo, seguridad, acceso remoto y calidad de servicio). El marco de seguridad de la red industrial utiliza un enfoque de defensa en profundidad y está alineado con los estándares de seguridad industrial tales como ISA / IEC-62443 (antes ISA-99) Sistemas de automatización y Control Industriales (IACS) y NIST800-82 [25]. Un enfoque de seguridad de defensa en profundidad consta de seis componentes principales:.  Políticas y procedimientos: Las políticas y los procedimientos desempeñan un papel fundamental en la formación de los comportamientos de los trabajadores para seguir buenas prácticas de seguridad y confirmar que se utilizan las tecnologías de seguridad apropiadas. Por ejemplo, las políticas que controlan la interacción humana con la fabricación y los sistemas operativos industriales pueden ayudar a prevenir el robo de información.  Física: La seguridad física debe limitar el acceso del personal no sólo a las áreas de una instalación, sino también a los puntos de entrada en la infraestructura física de la red, tales como paneles de control, cableado y dispositivos. A nivel de instalaciones, la tecnología de control de acceso, como las tarjetas de red, puede ayudar a restringir el acceso al piso de la planta, a las salas de control ya otras áreas sólo al personal autorizado. Las cámaras se han utilizado durante mucho tiempo para monitorear las actividades de la instalación, pero las soluciones avanzadas de análisis de video pueden proteger las ubicaciones sensibles y los puntos de acceso a la red de nuevas formas, como reconocimiento facial, infracciones perimetrales e identificación térmica. Y puertas de enlace, también deben protegerse contra intrusiones, manipulaciones y accidentes. Los dispositivos de bloqueo.

(39) CAPÍTULO 2. ARQUITECTURAS DE SEGURIDAD EN LOS SISTEMAS DE CONTROL INDUSTRIAL.. 28. pueden impedir el acceso no autorizado a los puertos USB para detener la eliminación no deseada de datos y bloquear las cargas potenciales de virus, mientras que los dispositivos de bloqueo pueden evitar la extracción no autorizada de cables y mantener las conexiones vitales en su lugar.  Red: Se debe establecer un marco de seguridad de red para ayudar a proteger su infraestructura de red contra ataques cibernéticos. Esto requiere una estrecha cooperación entre TI y OT, incluyendo una sólida discusión entre los dos grupos sobre las tecnologías y políticas necesarias para proteger mejor sus activos y su capacidad de innovar. Una de las tecnologías discutidas debe ser una zona industrial desmilitarizada (IDMZ), que crea una barrera crítica de protección entre la empresa y las zonas industriales. Un IDMZ restringe el tráfico de viajar directamente entre las dos zonas y puede ayudar a administrar mejor el acceso mediante la aplicación de la autenticación o la supervisión del tráfico de las amenazas conocidas.  Computadora: Los principales medios de entrada de intrusos en los sistemas de automatización son a través de vulnerabilidades de software. La administración de parches de seguridad debe establecerse para rastrear, evaluar, probar e instalar parches de software de seguridad cibernética. El software antivirus, la lista blanca de aplicaciones y los sistemas de detección de intrusiones del host pueden endurecer aún más los recursos informáticos. Los programas, protocolos y servicios no utilizados de Windows® deben ser removidos, e infrecuentemente se usan interfaces USB, paralelas y serie también deben ser protegidos.  Aplicación: Los dispositivos de seguridad también deben incorporarse a nivel de fabricación o de aplicación industrial como parte de un enfoque. Un sistema de control de acceso basado en roles puede restringir el acceso a las funciones críticas del proceso o requerir que los operadores introduzcan la información de acceso antes de acceder a las aplicaciones. Un bloqueo de.

(40) CAPÍTULO 2. ARQUITECTURAS DE SEGURIDAD EN LOS SISTEMAS DE CONTROL INDUSTRIAL.. 29. seguridad en el controlador puede ayudar a prevenir el acceso físico no deseado y el software de autenticación, autorización y contabilidad (AAA) puede restringir y supervisar la aplicación Acceso y. Las capacidades de detección. de. manipulación. también. pueden. detectar. y. registrar. modificaciones de aplicaciones no deseadas.  Dispositivo: la autenticación de dispositivos y la identificación no autorizada de dispositivos pueden ayudar a asegurarse de que sólo se utilizan dispositivos de confianza. Además, cambiar las configuraciones por defecto de los dispositivos incrustados puede ayudar a que sean más seguros en áreas como el acceso restrictivo y la administración del cambio. Por ejemplo, los usuarios pueden controlar qué etiquetas pueden modificarse desde las HMI y las aplicaciones externas, o definir etiquetas como constantes, que no pueden modificarse mediante la lógica del controlador. La configuración de seguridad predeterminada varía según los dispositivos, lo que afecta a cuánto tiempo y esfuerzo se requiere para endurecer cada dispositivo [28]. 2.3.2 Niveles y Zonas. Una solución de seguridad industrial óptima sólo puede aplicarse si se adoptan nuevos enfoques porque debe adaptarse continuamente a las nuevas amenazas.. UN ICS se compone de varias zonas, donde una zona es un conjunto de activos agrupados en conjunto para exponer una subclase de servicios y aplicaciones para la red. La Figura 1 representa una red típica ICS de varias zonas que se hace referencia en el estándar de seguridad de Sistemas de Control y Automatización Industriales (IACS) [29]:  Nivel 0: Los procesos físicos se ejecutan a este nivel, con una variedad de sensores y actuadores involucrados en procesos básicos de fabricación. Algunos ejemplos son la conducción de un motor, la medición de variables y el ajuste de una salida..

(41) CAPÍTULO 2. ARQUITECTURAS DE SEGURIDAD EN LOS SISTEMAS DE CONTROL INDUSTRIAL.. 30.  Nivel 1: Los dispositivos de control inteligentes (por ejemplo, PLCs y DCS) que manipulan procesos de fabricación residen en este nivel e interactúan con Level0.  Nivel 2: Los sistemas de control supervisan, monitorean y controlan los procesos físicos durante su tiempo de ejecución. Los controles y el software en tiempo real, los sistemas HMI y de alerta, y el software SCADA son ejemplos que utilizan protocolos de red Ethernet e IP..  Nivel 3: Los sistemas de operaciones de fabricación proporcionan operaciones a nivel de sitio y gestión de activos / materiales. Informes, programación de producciones, historiador de plantas y middleware también a este nivel. Los servicios de parches, archivos, dominio, DHCP, DNS, WINS, NTP y terminal para la red OT residen en este nivel.  DMZ: Esta zona es una prueba de la separación entre redes IT y redes OT. La DMZ incluye todos los servicios accesibles para la empresa (por ejemplo, web, correo electrónico) y previene el acceso a los dispositivos OT de la red interna.  Nivel4 / 5: La logística empresarial y los sistemas empresariales residen en este nivel, conocido como red de TI. Los sistemas de logística son responsables de administrar el uso de materiales, el inventario de activos y el programa de producción [30]..