2. Diferentes situaciones a evitar
Red corporativa interfiere en red de planta
Protocolos industriales no fueron definidos teniendo en cuenta la
ciberseguridad (Modbus , OPC, Profibus, etc)
Errores de programación o contratistas con equipos infectados
Conexiones wireless (alguien puede conectarse a través de ellas)
Saturación de equipos por ataques DoS
2
3. Una solución para cada situación - Waterfall
Interferencias de la red corporativa en la planta
– Evitar que equipos contaminados de la parte corporativa afecten en el
proceso de planta.
Separar físicamente red corporativa de la red de planta.
– En el caso de que sea indispensable unirlas, utilizar diodos de datos
para garantizar que no pase la información de la red corporativa hacia
proceso.
3
4. Una solución para cada situación - Waterfall
Waterfall : Compañía fundada en 2007 con Sede en Israel y
oficina de ventas y operaciones en Estados Unidos.
Cientos de instalaciones en todo el mundo en infraestructuras
críticas
Reconocido líder mundial del mercado:
“Best Practice Award 2012”, Seguridad en redes industriales
Waterfall Security en la lista de “Cool Vendor de 2012”
Waterfall Security proveedor clave en el mercado de la
ciberseguridad (12/11/2010)
4
5. Una solución para cada situación - Waterfall
Se pueden enviar datos en una dirección. Red de planta
puede enviar información a red corporativa pero no al revés.
Sistema mediante transmisor (TX) y receptor (RX).
Comunicaciones sin Ack.
Replicación del servidor. NO emula los protocolos.
Servidor en red de planta (contiene datos, información de la
planta) replicado en red corporativa
5
6. Una solución para cada situación - Waterfall
Aplicaciones Industriales/ Historiadores Protocolos Industriales
OSIsoft, GE iHistoria, GE iFIX, Scientech Modbus, OPC (DA, HDA, A&E)
R*Time, Instep, eDNA, GE OSM DNP3, ICCP
Siemens: Winc CC, SINAUT/Spectrum
Acceso remoto
Emerson Ovation, SQLServer
Matrikon Alert Manager Remote Screen View™
Aspentech, Oracle Secure Manual Uplink
Otros Conectores
Aplicaciones de Monitorieo IT
NTP, Multicas Ethernet
Log Transfer, SNMP, SYSLOG Video/Audio Stream Transfer
CA Unicenter, CA SIM, HP OpenView Mail server/mail box replication
IBM Websphere MQ series
Duplicación de archivos / carpetas
Antivirus updater, patch (WSUS) updater
Folder, tree mirroning, remote folders
Remote print server
(CIFS)
FTP/FTFP/SFTP/TFPS/RCP
UDP, TCP/IP
6
7. Una solución para cada situación – Tofino™
Tofino Security: Compañía formada en 2006 por Eric Byres,
experto en Ciberseguridad.
Solución implantada en infraestructuras críticas
Producto reconocido mundialmente:
“2010 World Customer Value Enhancement Award in
Industrial Automation & Electronics”
“2010 Product of the Year”
7
8. Una solución para cada situación – Tofino™
Protocolos industriales con pobre seguridad
– Modbus no tiene autentificación: Cualquier dispositivo conectado en
la red puede enviar un comando en Modbus
– OPC deja todos los puertos abiertos: Cada vez que se establece una
conexión, el protocolo deja todos los puertos abiertos
Contratistas o personal externo con equipos infectados
– Un equipo exterior puede contaminar equipos de planta
– Restringir el acceso a equipos, solo los necesarios
Errores humanos en la programación
– Escribir en lugar de leer un registro, abrir una válvula en lugar de
cerrarla
8
10. Una solución para cada situación – Tofino™
Módulos Enforcer (LSM): ModbusTCP Enforcer y OPC
Enforcer
Modbus TCP Enforcer:
Los esclavos Modbus presentan un conjunto de ‘coils’ valores binarios ON/OFF y
registros(valores numéricos) que pueden ser leídos o modificados a través de la red.
Los comandos Modbus se llaman Function Codes
– Function Code 1 – Read Coil
– Function Code 2 – Read Multiple Registers
– Function Code 16 – Write Multiple Registers
Muchos controladores utilizan Function codes privadas para mantenimiento y
supervisión.
– Para cada conexión Modbus permite definir una lista de funciones permitidas.
– Primer Firewall con la capacidad de inspeccionar el contenido de las tramas
– Conforme a la especificación del protocolo MODBUS
10
– Soporta simultáneamente múltiples maestros y esclavos
11. Una solución para cada situación – Tofino™
OPC Enforcer
OPC es libre para utilizar cualquiera de los puertos comprendidos
entre los 1024 y 65535
No sabes que puerto usará el servidor para darte la
información
¡Tienes que dejar todos los puertos abiertos!
No puedes usar por lo tanto, un firewall con reglas
definidas.
OPC Enforcer permite delimitar el tiempo que se dejan los puertos
abiertos
Solo permite la conexión entre el puerto indicado por el servidor y
entre cliente/servidor indicado
Todos los demás puertos cerrados
11
13. Una solución para cada situación – IRF2200
Comunicaciones wireless (Wifi – 3G)
– La tecnología 3G y wifi ha permitido ahorrar en cableado y
infraestructura.
– A pesar del abaratamiento en costes, hay que proteger esta entrada
de comunicaciones de posibles ataques.
– Surge la necesidad de firewalls industriales especializados en
comunicaciones wireless/3G
Firewall industrial para conexiones VPN & GPRS
– Serie IRF2200.
– Permite servicio en la nube con escritorio remoto
13
14. Una solución para cada situación – IRF2200
ADStec es una compañía alemana creada en 2009
Ofrece soluciones industriales para comunicaciones
industriales y visualización
Referencias importantes:
14
15. Una solución para cada situación – IRF2200
Mediante GPRS podemos
conectar las estaciones de
gas con sala de control y
regular las válvulas
remotamente.
Al ser un firewall podemos
definir reglas de acceso,
privilegios y qué protocolos
van a utilizarse y quién va a
poder comunicarse.
15
16. Una solución para cada situación – IRF2200
Un operario puede comprobar qué
sucede en las estaciones, o dispositivos
Big-LinX como cromatógrafos, y interactuar con
ellos desde su casa sin necesidad de
desplazarse a planta.
16
17. Más información en:
www.esindus.es
esindus@esindus.es
Oficinas centrales en Madrid
Avda. Manoteras nº42
28050 Madrid (España)