El documento describe varias situaciones de ciberseguridad que pueden ocurrir en plantas industriales y varias soluciones propuestas por compañías como Waterfall, Tofino y ADStec. Las situaciones incluyen interferencias de redes corporativas, protocolos industriales inseguros, errores humanos y ataques wireless. Las soluciones separan las redes, aplican firewalls a protocolos como Modbus y OPC, limitan el acceso y habilitan comunicaciones seguras wireless y VPN.
Pongo a disposición de todos aquellos ávidos investigadores de automatización y robótica, este curso básico de Redes DeviceNet, esperando que les pueda sr de utilidad...
Pongo a disposición de todos aquellos ávidos investigadores de automatización y robótica, este curso básico de Redes DeviceNet, esperando que les pueda sr de utilidad...
Atelier n°7 sur l'évolution du traitement de la contribution transport dans les structures gestionnaires d'ESMS présenté lors des rencontres annuelles RH et Finance 2014 et animé par Bruno Coste Directeur de l'Uriopss Ile de France et Franck Naccache Associés du cabinet Jégard
Après un premier teaser sombre et fascinant du prochain James Bond Spectre réalisé par Sam Mendes, nous vous proposons de découvrir quelques photos inédites qui retracent une partie de l’aventure de 007 dans la capitale mexicaine.
E. gonzalez la nueva gestión en mobilidad, conciliando el uso personal y corp...COIICV
Ponencia: La nueva gestión en mobilidad: conciliando el uso personal y corporativo, la potencia productiva y la seguridad. Jornada COIICV: Escenarios innovadores de trabajo y productividad. Miércoles 24 de abril de 2013.
La nube, el nuevo sol: Retos y Soluciones en Arquitecturas de Telecontrol en ...Logitek Solutions
Presentación utilizada en las V Jornadas técnicas de telecontrol del ciclo integral del agua, Granada 18-20 de marzo 2015.
Resumen.
En los sistemas modernos de telecontrol cada estación está conectada a un sistema centralizado que permite intercambiar constantemente datos entre las máquinas y hacia las personas. Los sistemas basados en la nube nos ofrecen, entre otras ventajas, la reducción de costes de infraestructura, la fiabilidad y la implementación más rápida de nuevas funcionalidades, lo que facilita la reducción de costes operativos y la mejora en la productividad. Aunque el uso de la nube en aplicaciones SCADA en el sector del agua se nos aparece como revolucionario y positivo, existen retos a superar tales como la seguridad o la sensación de pérdida del control del sistema. Esta ponencia trata de cómo desarrollar eficientes y seguras arquitecturas de telecontrol aprovechando las ventajas que nos ofrece el almacenamiento de los datos históricos en la nube, y abordando conceptos tales como protocolos de comunicaciones seguros, mejores prácticas en arquitecturas, y el acceso a tiempo real a KPIs críticos y datos de proceso vía smartphones y tablets. Mostraremos así mismo un ejemplo práctico basado en la solución de riego inteligente de Logitek en base a una solución tradicional con DNP3 así como en tecnología de SigFox para IoT (Internet of Things).
Crouzet Automation - em4 Ethernet folleto, versión españolaCrouzet
Pionero en simplificación de la programación, Crouzet Automation, con el apoyo de un experimentado equipo técnico, ofrece la solución de automatización alternativa fácil de usar y más adaptable para las necesidades especializadas y exigentes.
www.crouzet-automation.com
LinkedIn: https://www.linkedin.com/company/crouzet-automation
Crouzet Automation es una marca de InnoVista Sensors™.
InnoVista Sensors™: su socio de confianza preferido para hacer frente a los desafíos industriales actuales y futuros.
InnoVista Sensors™ es un especialista industrial a escala mundial de sensores, controladores y actuadores para sistemas automatizados.
A través de sus marcas Crouzet Aerospace, Crouzet Automation, Crouzet Control, Crouzet Motors, Crouzet Switches y Systron Donner Inertial, InnoVista Sensors™ ofrece una amplia gama de componentes fiables, eficientes y personalizables dirigidos a los mercados y segmentos de mercado aeroespaciales y de defensa, industriales y de transporte.
Gracias a la reconocida experiencia de sus equipos y a una sólida política de innovación, InnoVista Sensors™ ofrece soluciones de mejora del rendimiento a sus clientes en todo el mundo.
Pionero en simplificación de la programación, Crouzet Automation, con el apoyo de un experimentado equipo técnico, ofrece la solución de automatización alternativa fácil de usar y más adaptable para las necesidades especializadas y exigentes.
www.crouzet-automation.com
LinkedIn: https://www.linkedin.com/company/crouzet-automation
Crouzet Automation es una marca de InnoVista Sensors™.
InnoVista Sensors™: su socio de confianza preferido para hacer frente a los desafíos industriales actuales y futuros.
InnoVista Sensors™ es un especialista industrial a escala mundial de sensores, controladores y actuadores para sistemas automatizados.
A través de sus marcas Crouzet Aerospace, Crouzet Automation, Crouzet Control, Crouzet Motors, Crouzet Switches y Systron Donner Inertial, InnoVista Sensors™ ofrece una amplia gama de componentes fiables, eficientes y personalizables dirigidos a los mercados y segmentos de mercado aeroespaciales y de defensa, industriales y de transporte.
Gracias a la reconocida experiencia de sus equipos y a una sólida política de innovación, InnoVista Sensors™ ofrece soluciones de mejora del rendimiento a sus clientes en todo el mundo.
2. Diferentes situaciones a evitar
Red corporativa interfiere en red de planta
Protocolos industriales no fueron definidos teniendo en cuenta la
ciberseguridad (Modbus , OPC, Profibus, etc)
Errores de programación o contratistas con equipos infectados
Conexiones wireless (alguien puede conectarse a través de ellas)
Saturación de equipos por ataques DoS
2
3. Una solución para cada situación - Waterfall
Interferencias de la red corporativa en la planta
– Evitar que equipos contaminados de la parte corporativa afecten en el
proceso de planta.
Separar físicamente red corporativa de la red de planta.
– En el caso de que sea indispensable unirlas, utilizar diodos de datos
para garantizar que no pase la información de la red corporativa hacia
proceso.
3
4. Una solución para cada situación - Waterfall
Waterfall : Compañía fundada en 2007 con Sede en Israel y
oficina de ventas y operaciones en Estados Unidos.
Cientos de instalaciones en todo el mundo en infraestructuras
críticas
Reconocido líder mundial del mercado:
“Best Practice Award 2012”, Seguridad en redes industriales
Waterfall Security en la lista de “Cool Vendor de 2012”
Waterfall Security proveedor clave en el mercado de la
ciberseguridad (12/11/2010)
4
5. Una solución para cada situación - Waterfall
Se pueden enviar datos en una dirección. Red de planta
puede enviar información a red corporativa pero no al revés.
Sistema mediante transmisor (TX) y receptor (RX).
Comunicaciones sin Ack.
Replicación del servidor. NO emula los protocolos.
Servidor en red de planta (contiene datos, información de la
planta) replicado en red corporativa
5
6. Una solución para cada situación - Waterfall
Aplicaciones Industriales/ Historiadores Protocolos Industriales
OSIsoft, GE iHistoria, GE iFIX, Scientech Modbus, OPC (DA, HDA, A&E)
R*Time, Instep, eDNA, GE OSM DNP3, ICCP
Siemens: Winc CC, SINAUT/Spectrum
Acceso remoto
Emerson Ovation, SQLServer
Matrikon Alert Manager Remote Screen View™
Aspentech, Oracle Secure Manual Uplink
Otros Conectores
Aplicaciones de Monitorieo IT
NTP, Multicas Ethernet
Log Transfer, SNMP, SYSLOG Video/Audio Stream Transfer
CA Unicenter, CA SIM, HP OpenView Mail server/mail box replication
IBM Websphere MQ series
Duplicación de archivos / carpetas
Antivirus updater, patch (WSUS) updater
Folder, tree mirroning, remote folders
Remote print server
(CIFS)
FTP/FTFP/SFTP/TFPS/RCP
UDP, TCP/IP
6
7. Una solución para cada situación – Tofino™
Tofino Security: Compañía formada en 2006 por Eric Byres,
experto en Ciberseguridad.
Solución implantada en infraestructuras críticas
Producto reconocido mundialmente:
“2010 World Customer Value Enhancement Award in
Industrial Automation & Electronics”
“2010 Product of the Year”
7
8. Una solución para cada situación – Tofino™
Protocolos industriales con pobre seguridad
– Modbus no tiene autentificación: Cualquier dispositivo conectado en
la red puede enviar un comando en Modbus
– OPC deja todos los puertos abiertos: Cada vez que se establece una
conexión, el protocolo deja todos los puertos abiertos
Contratistas o personal externo con equipos infectados
– Un equipo exterior puede contaminar equipos de planta
– Restringir el acceso a equipos, solo los necesarios
Errores humanos en la programación
– Escribir en lugar de leer un registro, abrir una válvula en lugar de
cerrarla
8
10. Una solución para cada situación – Tofino™
Módulos Enforcer (LSM): ModbusTCP Enforcer y OPC
Enforcer
Modbus TCP Enforcer:
Los esclavos Modbus presentan un conjunto de ‘coils’ valores binarios ON/OFF y
registros(valores numéricos) que pueden ser leídos o modificados a través de la red.
Los comandos Modbus se llaman Function Codes
– Function Code 1 – Read Coil
– Function Code 2 – Read Multiple Registers
– Function Code 16 – Write Multiple Registers
Muchos controladores utilizan Function codes privadas para mantenimiento y
supervisión.
– Para cada conexión Modbus permite definir una lista de funciones permitidas.
– Primer Firewall con la capacidad de inspeccionar el contenido de las tramas
– Conforme a la especificación del protocolo MODBUS
10
– Soporta simultáneamente múltiples maestros y esclavos
11. Una solución para cada situación – Tofino™
OPC Enforcer
OPC es libre para utilizar cualquiera de los puertos comprendidos
entre los 1024 y 65535
No sabes que puerto usará el servidor para darte la
información
¡Tienes que dejar todos los puertos abiertos!
No puedes usar por lo tanto, un firewall con reglas
definidas.
OPC Enforcer permite delimitar el tiempo que se dejan los puertos
abiertos
Solo permite la conexión entre el puerto indicado por el servidor y
entre cliente/servidor indicado
Todos los demás puertos cerrados
11
13. Una solución para cada situación – IRF2200
Comunicaciones wireless (Wifi – 3G)
– La tecnología 3G y wifi ha permitido ahorrar en cableado y
infraestructura.
– A pesar del abaratamiento en costes, hay que proteger esta entrada
de comunicaciones de posibles ataques.
– Surge la necesidad de firewalls industriales especializados en
comunicaciones wireless/3G
Firewall industrial para conexiones VPN & GPRS
– Serie IRF2200.
– Permite servicio en la nube con escritorio remoto
13
14. Una solución para cada situación – IRF2200
ADStec es una compañía alemana creada en 2009
Ofrece soluciones industriales para comunicaciones
industriales y visualización
Referencias importantes:
14
15. Una solución para cada situación – IRF2200
Mediante GPRS podemos
conectar las estaciones de
gas con sala de control y
regular las válvulas
remotamente.
Al ser un firewall podemos
definir reglas de acceso,
privilegios y qué protocolos
van a utilizarse y quién va a
poder comunicarse.
15
16. Una solución para cada situación – IRF2200
Un operario puede comprobar qué
sucede en las estaciones, o dispositivos
Big-LinX como cromatógrafos, y interactuar con
ellos desde su casa sin necesidad de
desplazarse a planta.
16
17. Más información en:
www.esindus.es
esindus@esindus.es
Oficinas centrales en Madrid
Avda. Manoteras nº42
28050 Madrid (España)