Post on 07-Jul-2015
description
Apuntes sobre seguridad de comunicaciones en
entornos industriales
• José Antonio Casares González
José Antonio Casares González · atril.org/control4humans
Apuntes sobre seguridad de comunicaciones en entornos industriales
Guion:
Arquitecturas habituales en entornos industriales.
Identificación de problemas de seguridad en comunicaciones.
Ejemplo de posible ataque.
Fortalecimiento de seguridad en comunicaciones con equipos sin posibilidad de encriptación.
Solución mediante túneles.
Solución mediante VPN.
Seguridad entre aplicaciones
Ejemplo de posible ataque.
Fortalecimiento de la seguridad.
José Antonio Casares González · atril.org/control4humans
Apuntes sobre seguridad de comunicaciones en entornos industriales
Arquitectura muy básica en un entorno industrial
Señales eléctricas PLC
SCADA
José Antonio Casares González · atril.org/control4humans
Apuntes sobre seguridad de comunicaciones en entornos industriales
Evolución hacia una mayor implantación de las comunicaciones
Progresivamente son más los equipos directamente integrados en las comunicaciones:
Actuadores: arrancadores, motores, válvulas… Sensores: caudalímetros, conductivímetros… Microcontroladores Periferia, conversores, analizadores…
No permiten comunicaciones seguras
José Antonio Casares González · atril.org/control4humans
Apuntes sobre seguridad de comunicaciones en entornos industriales
También se incorporan otros PC (no necesariamente SCADA) a las plantas
José Antonio Casares González · atril.org/control4humans
Apuntes sobre seguridad de comunicaciones en entornos industriales
Redes con RTU
José Antonio Casares González · atril.org/control4humans
Apuntes sobre seguridad de comunicaciones en entornos industriales
Domótica
José Antonio Casares González · atril.org/control4humans
Apuntes sobre seguridad de comunicaciones en entornos industriales
La mayoría de los equipos (PLC, periferia distribuida, conversores, sensores, actuadores…) no tienen capacidad de encriptar la comunicación.
Los protocolos de comunicación que usan son por tanto abiertos.
Es frecuente que se sirva automáticamente la información a cualquier cliente que la pida, sin limitaciones.
Usualmente toda la información de los equipos está disponible. No solamente la necesaria para supervisar los procesos, sino la memoria al completo, el programa o las configuraciones sin que se pueda limitar su lectura o escritura.
Se confía toda la seguridad a la capa física, pero la realidad es que:
• Frecuentemente se emplean canales de acceso sencillo, sin encapsular las comunicaciones o haciéndolo de forma deficiente: radio, bluetooth, wireless abierta, red eléctrica…
• La tendencia es integrar el control industrial dentro de sistemas más amplios que incluyen MES (control de procesos), ERP (planificación de recursos), software de gestión, etc… y exigen comunicación.
• Con cada vez más frecuencia se recurre a Internet para acceder a equipos remotos del sistema de control.
Identificación de problemas de seguridad en comunicaciones
José Antonio Casares González · atril.org/control4humans
Apuntes sobre seguridad de comunicaciones en entornos industriales
Ejemplo de posible ataque
MODBUS: Protocolo de comunicaciones sencillo y muy extendido.
MODBUS/TCP: Versión con paquetes TCP/IP.
Servidor: Modbus Ethernet TCP/IP PLC Simulator
http://www.plcsimulator.org/
Cliente: Simply Modbus TCP
http://www.simplymodbus.ca/
Wireshark
http://www.wireshark.org/
José Antonio Casares González · atril.org/control4humans
Apuntes sobre seguridad de comunicaciones en entornos industriales
José Antonio Casares González · atril.org/control4humans
Apuntes sobre seguridad de comunicaciones en entornos industriales
José Antonio Casares González · atril.org/control4humans
Apuntes sobre seguridad de comunicaciones en entornos industriales
José Antonio Casares González · atril.org/control4humans
Apuntes sobre seguridad de comunicaciones en entornos industriales
Identificación de equipos inseguros
José Antonio Casares González · atril.org/control4humans
Apuntes sobre seguridad de comunicaciones en entornos industriales
Identificación de equipos inseguros
José Antonio Casares González · atril.org/control4humans
Apuntes sobre seguridad de comunicaciones en entornos industriales
Encapsulación de las comunicaciones
José Antonio Casares González · atril.org/control4humans
Apuntes sobre seguridad de comunicaciones en entornos industriales
Encapsulación de las comunicaciones
Comunicación segura
Comunicaciones inseguras
Túneles
VPN
José Antonio Casares González · atril.org/control4humans
Apuntes sobre seguridad de comunicaciones en entornos industriales
Zona desmilitarizada (DMZ)
Comunicaciones inseguras
Red corporativa
Red de control
Cortafuegos
José Antonio Casares González · atril.org/control4humans
Apuntes sobre seguridad de comunicaciones en entornos industriales
Solución mediante túneles
José Antonio Casares González · atril.org/control4humans
Apuntes sobre seguridad de comunicaciones en entornos industriales
; cliente stunnel
cert = stunnel.pem
client = yes
[mbtcps]
accept = 502
connect = 192.168.17.3:1502
; servidor stunnel
cert = stunnel.pem
client = no
[mbtcps]
accept = 1502
connect = 502
Para acceder a equipos con varias IP se usan distintos puertos
José Antonio Casares González · atril.org/control4humans
Apuntes sobre seguridad de comunicaciones en entornos industriales
VPN
José Antonio Casares González · atril.org/control4humans
Apuntes sobre seguridad de comunicaciones en entornos industriales
Certificate Autority Servidor Clientes
Conexión No necesaria Sí Sí
Generación de certificados y claves
vars
clean-all
build-ca
openssl –out dh1024.pem 1024
build-key-server servidor build-key cliente
Ficheros privados ca.key servidor.key cliente.key
Resto ficheros ca.crt servidor.crt dh1024.pem
ca.crt cliente.crt
http://openvpn.se/
http://openvpn.net/index.php/open-source/documentation/howto.html
José Antonio Casares González · atril.org/control4humans
Apuntes sobre seguridad de comunicaciones en entornos industriales
Seguridad entre aplicaciones
Driver
SCADAS Otros equipos
OPC, DDE, SuiteLink, Lookout…
José Antonio Casares González · atril.org/control4humans
Apuntes sobre seguridad de comunicaciones en entornos industriales
Ejemplo de posible ataque
DDE (Dynamic Data Exchange): comunicación entre aplicaciones.
NetDDE (FastDDE, Advanced DDE): DDE de red.
Requiere los servicios (desactivados por defecto en Windows XP SP2):
DDE de red.
DSDM de DDE de red.
Y su configuración mediante ddeshare.
José Antonio Casares González · atril.org/control4humans
Apuntes sobre seguridad de comunicaciones en entornos industriales
José Antonio Casares González · atril.org/control4humans
Apuntes sobre seguridad de comunicaciones en entornos industriales
La comunicación entre driver y SCADA repite en buena medida los problemas que se han visto entre equipos y driver:
Los protocolos más extendidos no usan encriptación.
Los driver suelen servir automáticamente la información a cualquier cliente que la pida.
Toda la información de los equipos está disponible, con acceso de escritura.
Las soluciones son similares:
Túneles, VPN
Firewall para establecer zonas desmilitarizadas (DMZ).
Seguridad entre aplicaciones