Industrial Internet Security es la vida no es un juego

- Aug 22, 2018-

Hay muchos beneficios al llevar Ethernet a la tienda. Un beneficio importante es la creación de una arquitectura más abierta que permite una gran cantidad de conexiones a diversos equipos de planta y herramientas de gestión. Pero esta apertura también trae un problema que debe ser resuelto para los operadores de la red de la fábrica: seguridad.

Una vez que el sistema de automatización se agrega a Ethernet, es casi lo mismo que conectar una computadora a Internet. En algún rincón de la fábrica, o en la red corporativa, siempre habrá una conexión a Internet. Por lo tanto, las empresas deben tomar medidas para proteger el entorno de la fábrica de las amenazas de las computadoras conectadas a Internet. Estas amenazas pueden ser piratas informáticos, virus, troyanos y varias otras formas de programas tóxicos.

Esto significa que el administrador de la red de la planta necesita las mismas herramientas de protección de seguridad que los colegas del departamento de TI, y lo mejor es diseñar herramientas para el entorno de la fábrica. Estas herramientas deben estar autorizadas para conectarse a la fábrica en otras áreas dentro de la instalación o en otras ubicaciones remotas. Esto permite a los administradores remotos realizar tareas tales como la configuración y el diagnóstico, la inicialización del nodo y el acceso a la información desde la conexión del dispositivo a la red integrada y al servidor FTP.

Este conjunto de herramientas debe incluir una variedad de hardware, software y herramientas de uso, como firewalls, redes privadas virtuales (VPN), tecnologías de traducción de direcciones de red (NAT) y políticas. Una vez que el entorno de automatización esté abierto, funcionará, y deberá comunicarse con otras redes y administrarse desde diferentes ubicaciones para garantizar la seguridad de la fábrica frente a las amenazas de Internet.


Firewall: la primera barrera

Los firewalls son una de las herramientas de seguridad más antiguas y todavía son una parte importante de los componentes de seguridad en la actualidad. El firewall se encuentra entre las redes, principalmente para controlar el flujo de información entre las redes internas y externas. Su objetivo principal es ayudar a garantizar que solo la información legítima fluya en una dirección particular.

En un entorno industrial, un cortafuegos puede proteger una unidad de dispositivo automatizada que puede incluir múltiples conexiones a Internet, como una PC industrial o un PLC. En este caso, la empresa puede instalar un módulo de seguridad que acepte el acceso a Ethernet desde la red de automatización en un extremo y dispositivos simples que se conectan a una red más grande en un extremo. La interacción entre dos redes depende de las reglas establecidas por el firewall instalado en el dispositivo.

Hay muchas estrategias para ejecutar un firewall. Las redes industriales generalmente usan tecnología de detección de paquetes para permitir que los dispositivos se conecten al flujo de información actual. Se permite la entrada de información solo cuando se determina que la solicitud desde la intranet se recibe legalmente. Si una fuente externa envía información no deseada, se bloqueará.

Para garantizar que todos los flujos de información sean legítimos, un cortafuegos de inspección de paquetes dedicado controla el flujo de información de acuerdo con las reglas de filtrado predeterminadas. Por ejemplo, si un nodo interno envía datos a un dispositivo de destino externo, el firewall permitirá el paquete de respuesta durante un período de tiempo específico. Después de este tiempo, el firewall bloqueará el tráfico nuevamente.


NAT y NAPT

Otra tecnología que proporciona seguridad para el entorno de automatización es NAT, que se aplica a nivel de dispositivo. NAT generalmente oculta la dirección IP real del dispositivo en la red interna desde la perspectiva del público externo. Muestra la dirección IP pública al nodo externo, pero cambia la dirección IP utilizada dentro de la red.

La tecnología de compilación de direcciones y puertos de red (Network Address and Port Compilation, NAPT) aprovecha el concepto de NAT y agrega números de puertos para llevar la tecnología un paso más allá. A través de la tecnología NAPT, la intranet solo muestra una dirección IP frente al público. En el fondo, los paquetes se asignan al dispositivo especificado agregando un número de puerto. Las hojas de trabajo de NAPT generalmente se implementan en enrutadores que asignan puertos de direcciones IP privadas a puertos de direcciones IP públicas.

Si un dispositivo de una red externa desea enviar un paquete a un dispositivo interno, necesita usar la dirección pública del dispositivo de seguridad con un puerto específico como dirección de destino. Esta dirección IP de destino será traducida por el enrutador a una dirección IP privada con una dirección de puerto.

La dirección de origen en el encabezado IP del paquete permanece sin cambios. Sin embargo, como la dirección de envío se encuentra en una subred diferente de la dirección de recepción, los comentarios deben enrutarse y luego reenviarse al dispositivo externo mientras se protege la dirección IP real del dispositivo interno para que no sea visto por el público externo.


Canal seguro usando VPN

Otra forma de establecer una conexión segura a través de una red esencialmente insegura es utilizar una red privada virtual (VPN). Una VPN es básicamente un canal encriptado formado por un dispositivo de seguridad en cada punto final de la conexión, y debe generar autenticación digital. Este tipo de autenticación generalmente es un ID numérico que pueden ser utilizados por socios de confianza para su identificación. La autenticación también asegura que el dispositivo encripte los datos en un extremo, los envíe por Internet en forma cifrada y luego los descifre en el otro extremo antes de transmitirlos al dispositivo terminal.

El módulo de seguridad funciona con autenticación digital y crea VPN en dos configuraciones básicas: modos de puenteo y enrutamiento:

El modo de puente se puede utilizar para permitir que los dispositivos se comuniquen de forma segura a través de una red virtual "plana", donde las ubicaciones geográficas de estos dispositivos pueden estar muy separadas, o donde la comunicación entre ellos necesita abarcar partes inseguras de la red. También se puede usar para comunicaciones que no se pueden enrutar o en la misma subred.

El modo de enrutamiento se puede usar para crear VPN entre dispositivos en subredes separadas. El enrutador funciona en el tercer nivel del modelo OSI y tiene cierta inteligencia para reconocer que la red circundante necesita enviar datos a la dirección de destino adecuada. Los paquetes se transmiten a través de un túnel VPN encriptado de forma segura, por lo que esta comunicación es más segura que en una red pública como Internet.


Herramienta de seguridad

El entorno de fábrica tiene muchas herramientas de seguridad que se pueden configurar de diferentes formas según sus necesidades específicas. Aquí hay unos ejemplos:

Un firewall para un usuario específico. Supongamos que su contratista está depurando algunos de los equipos de automatización en su planta. Cuando no está en la fábrica, si puede iniciar sesión en la red de la fábrica, como la solución de problemas, es muy beneficioso resolver problemas inesperados. En este caso, puede crear un conjunto de reglas de usuario específicas en el firewall para garantizar que el usuario remoto pueda acceder a la red. También puede crear diferentes niveles de autorización para garantizar que los diferentes clientes remotos solo puedan conectarse al dispositivo apropiado para el que están autorizados.

Crear un nombre de usuario y contraseña para un usuario remoto es una tarea sencilla, y luego puede conectarse a la dirección IP del módulo e iniciar sesión con esta información secreta. Instale la configuración predeterminada, puede conectarse durante un período de tiempo específico, luego de lo cual se desconectará automáticamente para evitar que salga de la computadora pero permanezca conectado durante mucho tiempo. Si el contratista necesita más tiempo, puede volver a iniciar sesión utilizando un formulario basado en web antes del final del tiempo.

Estación a estación VPN. Algunas veces la compañía tiene una estación central y puede haber dos instalaciones satelitales. En este caso, la VPN de estación a estación es una solución más adecuada. La VPN de estación a estación generalmente usa una conexión encriptada entre las dos estaciones. De acuerdo con la configuración, los usuarios de cada estación pueden conectarse a cualquier recurso en otras estaciones, por supuesto, en el supuesto de que tengan los derechos apropiados.

Este enfoque requiere módulos en cada ubicación para crear túneles VPN encriptados. El firewall también se puede usar para proporcionar un control de acceso más granular, como permitir a usuarios específicos acceder a un subconjunto de recursos sin ver a otros.

VPN punto a punto. Las VPN peer-to-peer garantizan que los usuarios puedan conectarse a dispositivos desde cualquier otra ubicación desde cualquier lugar con una conexión a Internet. Esto es muy importante para los administradores que necesitan iniciar sesión desde una ubicación remota para la resolución de problemas del dispositivo después del trabajo.

Este enfoque requiere que el módulo en la ubicación de destino se rellene con el software de cliente seguro apropiado que se ejecuta en la computadora portátil o tableta del administrador. El software ayuda al administrador a establecer una conexión VPN encriptada a cualquier sitio que posea el módulo. No importa dónde esté, puede iniciar sesión en cualquier dispositivo que necesite con los permisos adecuados.

Conexión VPN multipunto. Ahora, el administrador, quiere conectar otros cinco o diez sitios desde su casa. Él no necesita establecer una conexión VPN correspondiente para cada sitio. Se puede conectar a un módulo central establecido que se conecta a cada VPN del sitio remoto, y luego conectarse al sitio anterior.

Esta es definitivamente una buena noticia para los ingenieros de servicio que viajan por el mundo todos los días. Al conectarse individualmente al sitio central, ahora pueden acceder de manera fácil y segura a otros sitios que necesitan, ahorrando tiempo de conexión.

También hay herramientas para garantizar que los entornos de automatización basados en Ethernet sean tan seguros como los entornos de bus de campo. Si bien los cortafuegos y las VPN son una parte importante de una solución de seguridad, y para un acceso seguro a usuarios remotos, también necesitamos un modelo de seguridad de defensa en profundidad para garantizar una verdadera seguridad profunda en entornos industriales. Siempre tenga en cuenta que la seguridad es la vida no es un juego.


Artículo anterior:Principio de funcionamiento de terminales ópticos Siguiente artículo:¿Cuál es la diferencia entre el cable de fibra óptica y el cable de fibra óptica?