Embed Size (px)
Citation preview
Soluciones en ciberseguridad
2
Diferentes situaciones a evitar
Red corporativa interfiere en red de planta
Protocolos industriales no fueron definidos teniendo en cuenta la ciberseguridad (Modbus , OPC, Profibus, etc)
Errores de programación o contratistas con equipos infectados
Conexiones wireless (alguien puede conectarse a través de ellas)
Saturación de equipos por ataques DoS
3
Una solución para cada situación - Waterfall
Interferencias de la red corporativa en la planta– Evitar que equipos contaminados de la parte corporativa afecten en el
proceso de planta.
Separar físicamente red corporativa de la red de planta. – En el caso de que sea indispensable unirlas, utilizar diodos de datos
para garantizar que no pase la información de la red corporativa hacia
proceso.
4
Una solución para cada situación - Waterfall
Waterfall : Compañía fundada en 2007 con Sede en Israel y oficina de ventas y operaciones en Estados Unidos.
Cientos de instalaciones en todo el mundo en infraestructuras críticas
Reconocido líder mundial del mercado:“Best Practice Award 2012”, Seguridad en redes industriales
Waterfall Security en la lista de “Cool Vendor de 2012”
Waterfall Security proveedor clave en el mercado de la ciberseguridad (12/11/2010)
5
Una solución para cada situación - Waterfall
Se pueden enviar datos en una dirección. Red de planta puede enviar información a red corporativa pero no al revés.
Sistema mediante transmisor (TX) y receptor (RX). Comunicaciones sin Ack. Replicación del servidor. NO emula los protocolos. Servidor en red de planta (contiene datos, información de la
planta) replicado en red corporativa
6
Una solución para cada situación - Waterfall
Aplicaciones Industriales/ Historiadores OSIsoft, GE iHistoria, GE iFIX, Scientech R*Time, Instep, eDNA, GE OSM Siemens: Winc CC, SINAUT/Spectrum Emerson Ovation, SQLServer Matrikon Alert Manager Aspentech, Oracle
Protocolos Industriales Modbus, OPC (DA, HDA, A&E) DNP3, ICCP
Aplicaciones de Monitorieo IT Log Transfer, SNMP, SYSLOG CA Unicenter, CA SIM, HP OpenView
Duplicación de archivos / carpetas Folder, tree mirroning, remote folders
(CIFS) FTP/FTFP/SFTP/TFPS/RCP
Acceso remoto
Remote Screen View™ Secure Manual Uplink
Otros Conectores NTP, Multicas Ethernet Video/Audio Stream Transfer Mail server/mail box replication IBM Websphere MQ series Antivirus updater, patch (WSUS) updater Remote print server UDP, TCP/IP
7
Una solución para cada situación – Tofino™
Tofino Security: Compañía formada en 2006 por Eric Byres, experto en Ciberseguridad.
Solución implantada en infraestructuras críticas
Producto reconocido mundialmente:
“2010 World Customer Value Enhancement Award in Industrial Automation & Electronics”
“2010 Product of the Year”
8
Una solución para cada situación – Tofino™
Protocolos industriales con pobre seguridad– Modbus no tiene autentificación: Cualquier dispositivo conectado en
la red puede enviar un comando en Modbus– OPC deja todos los puertos abiertos: Cada vez que se establece una
conexión, el protocolo deja todos los puertos abiertos
Contratistas o personal externo con equipos infectados– Un equipo exterior puede contaminar equipos de planta– Restringir el acceso a equipos, solo los necesarios
Errores humanos en la programación– Escribir en lugar de leer un registro, abrir una válvula en lugar de
cerrarla
9
Una solución para cada situación – Tofino™
10
Una solución para cada situación – Tofino™
Módulos Enforcer (LSM): ModbusTCP Enforcer y OPC Enforcer Modbus TCP Enforcer:
Los esclavos Modbus presentan un conjunto de ‘coils’ valores binarios ON/OFF y
registros(valores numéricos) que pueden ser leídos o modificados a través de la red.
Los comandos Modbus se llaman Function Codes
– Function Code 1 – Read Coil
– Function Code 2 – Read Multiple Registers
– Function Code 16 – Write Multiple Registers
Muchos controladores utilizan Function codes privadas para mantenimiento y
supervisión.
– Para cada conexión Modbus permite definir una lista de funciones permitidas.
– Primer Firewall con la capacidad de inspeccionar el contenido de las tramas
– Conforme a la especificación del protocolo MODBUS
– Soporta simultáneamente múltiples maestros y esclavos
11
Una solución para cada situación – Tofino™
OPC EnforcerOPC es libre para utilizar cualquiera de los puertos comprendidos
entre los 1024 y 65535
No sabes que puerto usará el servidor para darte la información
¡Tienes que dejar todos los puertos abiertos!
No puedes usar por lo tanto, un firewall con reglas definidas.
OPC Enforcer permite delimitar el tiempo que se dejan los puertos abiertos
Solo permite la conexión entre el puerto indicado por el servidor y entre cliente/servidor indicado
Todos los demás puertos cerrados
12
Una solución para cada situación – Tofino™
Referencias
13
Una solución para cada situación – IRF2200
Comunicaciones wireless (Wifi – 3G)– La tecnología 3G y wifi ha permitido ahorrar en cableado y
infraestructura.– A pesar del abaratamiento en costes, hay que proteger esta entrada
de comunicaciones de posibles ataques.– Surge la necesidad de firewalls industriales especializados en
comunicaciones wireless/3G
Firewall industrial para conexiones VPN & GPRS– Serie IRF2200.– Permite servicio en la nube con escritorio remoto
14
Una solución para cada situación – IRF2200
ADStec es una compañía alemana creada en 2009
Ofrece soluciones industriales para comunicaciones industriales y visualización
Referencias importantes:
15
Una solución para cada situación – IRF2200
Mediante GPRS podemos conectar las estaciones de gas con sala de control y regular las válvulas remotamente.
Al ser un firewall podemos definir reglas de acceso, privilegios y qué protocolos van a utilizarse y quién va a poder comunicarse.
16
Una solución para cada situación – IRF2200
Big-LinX
Un operario puede comprobar qué sucede en las estaciones, o dispositivos como cromatógrafos, y interactuar con ellos desde su casa sin necesidad de desplazarse a planta.
www.esindus.es [email protected] centrales en Madrid
Avda. Manoteras nº4228050 Madrid (España)
Más información en:
