El documento describe los problemas de seguridad en las comunicaciones en entornos industriales y ofrece posibles soluciones. Identifica que muchos equipos no pueden encriptar comunicaciones y usan protocolos abiertos, y que la información está disponible para cualquier cliente. Explica cómo encapsular comunicaciones con túneles o VPN para añadir seguridad, y establecer zonas desmilitarizadas con cortafuegos.
1. Apuntes sobre seguridad de comunicaciones en
entornos industriales
• José Antonio Casares González
2. Apuntes sobre seguridad de comunicaciones en entornos industriales
Guion:
Arquitecturas habituales en entornos industriales.
Identificación de problemas de seguridad en comunicaciones.
Ejemplo de posible ataque.
Fortalecimiento de seguridad en comunicaciones con equipos sin posibilidad de
encriptación.
Solución mediante túneles.
Solución mediante VPN.
Seguridad entre aplicaciones
Ejemplo de posible ataque.
Fortalecimiento de la seguridad.
José Antonio Casares González · atril.org/control4humans
3. Apuntes sobre seguridad de comunicaciones en entornos industriales
Arquitectura muy básica en un entorno industrial
SCADA
PLC Señales eléctricas
José Antonio Casares González · atril.org/control4humans
4. Apuntes sobre seguridad de comunicaciones en entornos industriales
Evolución hacia una mayor implantación de las comunicaciones
Progresivamente son más los equipos directamente
integrados en las comunicaciones:
Actuadores: arrancadores, motores, válvulas…
Sensores: caudalímetros, conductivímetros…
Microcontroladores
Periferia, conversores, analizadores…
No permiten comunicaciones seguras
José Antonio Casares González · atril.org/control4humans
5. Apuntes sobre seguridad de comunicaciones en entornos industriales
También se incorporan otros
PC (no necesariamente
SCADA) a las plantas
José Antonio Casares González · atril.org/control4humans
6. Apuntes sobre seguridad de comunicaciones en entornos industriales
Redes con RTU
José Antonio Casares González · atril.org/control4humans
7. Apuntes sobre seguridad de comunicaciones en entornos industriales
Domótica
José Antonio Casares González · atril.org/control4humans
8. Apuntes sobre seguridad de comunicaciones en entornos industriales
Identificación de problemas de seguridad en comunicaciones
La mayoría de los equipos (PLC, periferia distribuida, conversores, sensores,
actuadores…) no tienen capacidad de encriptar la comunicación.
Los protocolos de comunicación que usan son por tanto abiertos.
Es frecuente que se sirva automáticamente la información a cualquier cliente
que la pida, sin limitaciones.
Usualmente toda la información de los equipos está disponible. No solamente
la necesaria para supervisar los procesos, sino la memoria al completo, el
programa o las configuraciones sin que se pueda limitar su lectura o
escritura.
Se confía toda la seguridad a la capa física, pero la realidad es que:
• Frecuentemente se emplean canales de acceso sencillo, sin encapsular
las comunicaciones o haciéndolo de forma deficiente: radio, bluetooth,
wireless abierta, red eléctrica…
• La tendencia es integrar el control industrial dentro de sistemas más
amplios que incluyen MES (control de procesos), ERP (planificación de
recursos), software de gestión, etc… y exigen comunicación.
• Con cada vez más frecuencia se recurre a Internet para acceder a
equipos remotos del sistema de control.
José Antonio Casares González · atril.org/control4humans
9. Apuntes sobre seguridad de comunicaciones en entornos industriales
Ejemplo de posible ataque
MODBUS: Protocolo de comunicaciones sencillo y muy extendido.
MODBUS/TCP: Versión con paquetes TCP/IP.
Servidor: Modbus Ethernet TCP/IP PLC Simulator
http://www.plcsimulator.org/
Cliente: Simply Modbus TCP
http://www.simplymodbus.ca/
Wireshark
http://www.wireshark.org/
José Antonio Casares González · atril.org/control4humans
10. Apuntes sobre seguridad de comunicaciones en entornos industriales
José Antonio Casares González · atril.org/control4humans
11. Apuntes sobre seguridad de comunicaciones en entornos industriales
José Antonio Casares González · atril.org/control4humans
12. Apuntes sobre seguridad de comunicaciones en entornos industriales
José Antonio Casares González · atril.org/control4humans
13. Apuntes sobre seguridad de comunicaciones en entornos industriales
Identificación de equipos inseguros
José Antonio Casares González · atril.org/control4humans
14. Apuntes sobre seguridad de comunicaciones en entornos industriales
Identificación de equipos inseguros
José Antonio Casares González · atril.org/control4humans
15. Apuntes sobre seguridad de comunicaciones en entornos industriales
Encapsulación de las comunicaciones
José Antonio Casares González · atril.org/control4humans
16. Apuntes sobre seguridad de comunicaciones en entornos industriales
Encapsulación de las comunicaciones
Comunicación segura Túneles
VPN
Comunicaciones inseguras
José Antonio Casares González · atril.org/control4humans
17. Apuntes sobre seguridad de comunicaciones en entornos industriales
Zona desmilitarizada (DMZ)
Red de control
Red corporativa
Cortafuegos
Comunicaciones inseguras
José Antonio Casares González · atril.org/control4humans
18. Apuntes sobre seguridad de comunicaciones en entornos industriales
Solución mediante túneles
José Antonio Casares González · atril.org/control4humans
19. Apuntes sobre seguridad de comunicaciones en entornos industriales
; cliente stunnel ; servidor stunnel
cert = stunnel.pem cert = stunnel.pem
client = yes client = no
[mbtcps] [mbtcps]
accept = 502 accept = 1502
connect = 192.168.17.3:1502 connect = 502
Para acceder a equipos con varias
IP se usan distintos puertos
José Antonio Casares González · atril.org/control4humans
20. Apuntes sobre seguridad de comunicaciones en entornos industriales
VPN
José Antonio Casares González · atril.org/control4humans
21. Apuntes sobre seguridad de comunicaciones en entornos industriales
Certificate Autority Servidor Clientes
Conexión No necesaria Sí Sí
vars
Generación de clean-all
certificados y build-key-server servidor build-key cliente
claves build-ca
openssl –out dh1024.pem 1024
Ficheros privados ca.key servidor.key cliente.key
ca.crt
ca.crt
Resto ficheros servidor.crt
cliente.crt
dh1024.pem
http://openvpn.se/
http://openvpn.net/index.php/open-source/documentation/howto.html
José Antonio Casares González · atril.org/control4humans
22. Apuntes sobre seguridad de comunicaciones en entornos industriales
Seguridad entre aplicaciones
Otros equipos
SCADAS
OPC, DDE, SuiteLink, Lookout…
Driver
José Antonio Casares González · atril.org/control4humans
23. Apuntes sobre seguridad de comunicaciones en entornos industriales
Ejemplo de posible ataque
DDE (Dynamic Data Exchange): comunicación entre aplicaciones.
NetDDE (FastDDE, Advanced DDE): DDE de red.
Requiere los servicios (desactivados por defecto en Windows XP SP2):
DDE de red.
DSDM de DDE de red.
Y su configuración mediante ddeshare.
José Antonio Casares González · atril.org/control4humans
24. Apuntes sobre seguridad de comunicaciones en entornos industriales
José Antonio Casares González · atril.org/control4humans
25. Apuntes sobre seguridad de comunicaciones en entornos industriales
Seguridad entre aplicaciones
La comunicación entre driver y SCADA repite en buena medida los problemas
que se han visto entre equipos y driver:
Los protocolos más extendidos no usan encriptación.
Los driver suelen servir automáticamente la información a cualquier cliente
que la pida.
Toda la información de los equipos está disponible, con acceso de escritura.
Las soluciones son similares:
Túneles, VPN
Firewall para establecer zonas desmilitarizadas (DMZ).
José Antonio Casares González · atril.org/control4humans