Tips

¿Cómo proteger tu información de protocolos industriales?

proteger protocolos industriales
15 Oct

Los sistemas de automatización y control de sistemas (IACS por sus siglas en inglés) se comunican usando protocolos industriales, entre los que podemos encontrar por mencionar solo algunos de ellos Modbus/TCP, Ethernet/IP, Bacnet, DNP3. En este artículo te explicaremos cómo puedes proteger tu información que viaja a través de los diversos protocolos industriales.    

 

Comprender cómo se transmite la información

 

  Para proteger la información es muy importante comprender cómo viaja de forma digital. Para lo cual te presentamos una explicación técnica así como la analogía en la vida real.  

 

Analogía: Supongamos que en la oficina matriz donde me encuentro laborando tenemos necesidad de mandar un documento al Ingeniero Juan Pérez que se encuentra en la sucursal de Cancún, México, pero desconozco en qué piso se encuentra ubicado o donde está físicamente su escritorio. Para enviar el documento, lo introduzco en un pequeño sobre (por confidencialidad) y escribo el nombre del destinatario (Ing. Juan Pérez), después meto este pequeño sobre en un sobre más grande al cual escribo el destinatario Oficinas de sucursal Cancún; a continuación llamo al servicio de paquetería de mi preferencia para su entrega en nuestra sucursal de Cancún.

La recepcionista de la oficina de Cancún recibirá el sobre grande, lo abrirá y verá el sobre pequeño dirigido al Ing. Juan Pérez, ella lo entregará al escritorio correspondiente y habremos completado nuestra misión de envío de documento.  

 

Explicación Técnica: los protocolos industrial requieren viajar dentro del “Payload” del data “frame”, la información del protocolo industrial Modbus/TCP contiene la dirección, “function code”, la información y el “checksum”; la información del protocolo industrial va encapsulada dentro del “payload del frame” de TCP/IP. En la siguiente imagen se muestra cómo   tcp modbus frame     Si analizamos los paquetes de datos con la herramienta Wireshark, nos puede quedar más claro la información del protocolo Modbus/tcp contenido dentro del “payload” del “frame” de TCP/IP. La siguiente imagen muestra la información a detalle de las instrucciones de un paquete de protocolo Industrial, en este caso es un paquete Modbus/TCP  

wireshark modbus tcp    

 

¿Cómo proteger protocolos industriales?

  Un firewall es un equipo muy usado para prevenir ataques, y comunicación no autorizada, solo se requiere una correcta configuración y su comprobación mediante pruebas de comunicación que no bloquen tráfico autorizado y que bloqueen tráfico malicioso o no autorizado.   Un firewall podrá validar el tráfico del paquete TCP/IP entre una dirección IP origen a una dirección IP destino, pero no puede saber si la información contenida en el “payload” es válida, está corrompida,  o representa un riesgo potencial para el destinatario. Tampoco puede determinar si las acciones (“function codes”) que ejecutará el PLC están autorizadas de acuerdo a los privilegios del usuario que las envió.  

 

El uso de firewalls que comprendan protocolos industriales se ha convertido en esencial para incrementar la seguridad de los IACS, así sean PLC’s, HMI’s, SCADA’s, DEI’s o RTU’s. Con ayuda de estos firewalls podemos leer la información contenida dentro del “payload” en idioma del protocolo industrial y configurar instrucciones adicionales que permitan evaluar el dejar pasar o no el paquete de datos.      

 

 

Utilidad de los firewalls industriales que lean protocolos industriales

 

  Gracias a que los firewalls industriales pueden leer la información podemos determinar y programar qué información pasará o no pasará al destino, aun cuando las credenciales de autenticación sean correctas. Por ejemplo, podemos granular la transmisión de paquetes cuando el Ing. Juan Pérez quiera leer datos del PLC, pero podemos bloquear los paquetes cuyo “function code” sea escribir una nueva instrucción, ya que el Ing. Juan es practicante y no cuenta con experiencia aún sobre nuestros procesos.  

Es por eso muy importante que sepas escoger y programar el firewall industrial que tu red OT requiere, generalmente los firewalls de oficina no tienen funcionalidad de entender los protocolos industriales, asesórate bien con un experto al escoger tu Firewall.    

 

Con la explicación anterior espero cubrir la duda que uno de nuestros seguidores nos expresó en los pasados días .    

 

¿ ya cuentas con tu Plan de CiberSeguridad Industrial ?

Contáctanos para cualquier duda o ayuda que requieras.

 

 

Artículo escrito por Pedro Bernardo Montero, director de CSI y consultor Senior. Síguelo en LinkedIn

 

 

 
Nuestra consultoría está basada en el estandar ISA99 / IEC62443, te invitamos a conocer más sobre este tema en su página oficial.
ISA99 / IEC62443

ISA99 / IEC62443

 

 

 
 
 
 
Dudas de algún término técnico, consulta nuestra sección especializada:
 
 

 

Newer Mito sobre el nivel de Ciberseguridad Industrial
Back to list
Older Vulnerabilidad en equipos marca Hikvision