Ciberseguridad en Redes Industriales Inalámbricas: Protocolo ISA 100.11a Amenazas y ... ·...

| Document Number| February 29, 2016 |

Copyright © Yokogawa Electric Corporation

1

Ciberseguridad en Redes Industriales Inalámbricas:

Protocolo ISA 100.11a Amenazas y Contramedidas

Por: Guillermo Orioli

Gerente General

Yokogawa Sudamerica

Argentina-Uruguay

Noviembre. 3ro, 2016

Sheraton Hotel

Buenos Aires



2

Ciberseguridad en redes inalambricas:

Contentenido:

1. Introducción

2. Clasificación de Redes WL

3. Protocolos WL-Industriales

4. Problemas y Contramedidas

5. Efectos ambientales

6. Ejemplo simple de implementación

7. Requerimientos

8. Amenazas Conocidas

9. Medidas de seguridad

10. Síntesis

11. Recomendaciones

12. Referencias para profundizar más…



3

1. Ventajas y Desafíos de redes no cableadas

La utilización de redes inalámbricas (WL) en plantas productivas esta creciendo.

Sus ventajas son: Reducción de costos: cableado, canalizaciones para la señal y alimentación

Acortamiento de los tiempos de instalación y puesta en servicio

Posibilita medir en puntos altos o remotos donde los transmisores cableados serian físicamente y económicamente prohibitivos.

Posibilita la medición en ubicaciones móviles o rotativas

En paradas programadas, posibilita seguir midiendo por sectores.

Pero, cuando se considera una red inalámbrica se puntualiza como esencial a la seguridad y la confiabilidad de las comunicaciones

El uso de tecnologías originalmente desarrolladas para tecnología de la información en el ámbito de los sistemas de control puede arrastrar vulnerabilidades: arquitecturas abiertas, limitados antivirus probados /certificados para control, extenso ciclo de vida Vs rápida actualización de virus/Hackers

Un enfoque completo de la ciberseguridad en automatización y control industrial debe abordar a: la gente, el proceso y la tecnología en cada fase del ciclo de vida.



4

Clasificación de redes inalámbricas

En general las redes inalámbricas industriales pueden clasificarse en tres niveles:

Redes inalámbricas de sensores: domindas por ISA-100.11a, WirelessHART, ZigBee, and IPv6 sobre tecnología de redes de área personal de baja potencia (6LoWPAN)

Redes Inalámbricas Backbone: dominada por la familia IEEE 802.11a/b/g/n/ac Wi-Fi

Redes inalámbricas Backhaul: dominada por UHF radio y evolucionando hacia 4G long-term evolution (LTE), satelite (banda-Ka VSAT) y microondas



5

Introducción a protocolos WL-Industriales

El error mas habitual consiste en confundir a Wireless industrial con LAN Wi-Fi

… y además suponer que comparten las mismas vulnerabilidades…

En el ámbito de los Procesos Industriales existen dos principales protocolos:

Wireless-HART e ISA-100.11a.

Este ultimo ha sido desarrollado por la International Society of Automation (ISA) incluyendo usuarios, especialistas en Instrumentación, comunicaciones y seguridad.

Ambos protocolos usan la interface de radio descripta en el standard IEEE 802.15.4. Estas operan en la banda de 2.4-GHz sin necesitar licenciamiento (ISM—industrial, scientific, and medical). Esta banda es dividida en 16 canales, usa DSSS (direct sequence spread spectrum) y velocidad de transmisiones de datos de 250-Kbps.

Esta presentación describen las amenazas a sistemas inalámbricos en general y las medidas de seguridad incorporadas en el protocolo ISA-100.11a



6

Problemas y Contramedidas: introducción

Abordaremos estos problemas y su soluciones



7

WL: Impacto de los efectos Ambientales:

Daño por descarga atmosférica (rayo): al no poseer cables el dispositivo de campo esta menos expuesto

Interferencia de la comunicación por relámpago: a las altas frecuencias usadas, la onda electromagnética es débil y si ocurriera afectando un mensaje, se re-transmite.

Lluvia, Nieve y Niebla: se ha verificado que a 2,4GHz no causa efecto, estos ocurren a partir de 10GHz.

Riesgo de desconexión: no existe, al no haber cables

Impacto de fuertes campos magnéticos: de origen industrial, estos son de alta intensidad pero a bajas frecuencias, no afectan



8

Ejemplo de sistema de un control con WL:

Sistema de control distribuido (DCS) incluyendo

una red inalámbrica:

Compuesto por:

• Sistema central DCS convencional

• Transmisores y analizadores inalámbricos

• Conjunto GateWay: Management Station + Access Point

• Esta última administra el tráfico de datos y la seguridad como ser autentificación

de dispositivos de campo y las llaves encriptadas de acceso

• Comunicación al DCS por Ethernet cableada o por fibra óptica

Los datos son variables de proceso, las manipuladas, y administración como ser estado de las

comunicaciones y configuraciones



9

Requerimientos a considerar al adoptar WL:

Los aspectos mas importantes a considerar son:

Confiabilidad

Seguridad

Robustez

Determinismo

Calidad de Servicio (QoS)

Interoperabilidad

Integración con sistemas existentes

Escalabilidad de redes

Clasificación para áreas peligrosas

Protección ambiental para niveles de ingreso (IP)

Herramientas de soporte para diseñar arquitectura de la red , procesar la información y monitorearla.

La seguridad debería ser evaluada con el siguiente criterio recomendado:

Confidencialidad de la información

Integridad de la información

Autentificación de los dispositivos

Disponibilidad de la información.

Los hackers tratarán de afectar/dañar alguno de estos aspectos!



10

Amenzas conocidas a los sistemas inalámbricos

Sniffing (husmear)

Un intruso mal-intencionado intercepta las comunicaciones e

intenta robar el contenido de la misma.

Los datos de producción del usuario de la red estarán

accesibles para el intruso, como ser:

volúmenes productivos

el proceso de manufactura del usuario (Know How)

Lo cual constituye una fuga de información confidencial que

puede ser copiada, vendida o distribuida por Internet y deja la

puerta abierta a ingresar aun mas en el sistema



11

Data Falsification (falsificación de datos)

Consiste en que un interceptador malintencionado accede a

las comunicaciones y altera su contenido.

Si las variables medidas o las manipuladas son alteeradas, se

puede:

Deteriorar la calidad de la producción

Alterar el volumen de la producción

Causar daño a las instalaciones

Poner en peligro el personal en la planta




12

Spoofing (burlar)

Implica que se incorpora a la red un dispositivo no

autenticado, pero como si lo estuviera.

Los blancos pueden ser los dispositivos de campo o los

Gateways

Una vez en la red, el dispositivo malicioso puede enviar

variables de proceso diferentes al sistema de control DCS.

Si este dispositivo se tratara de un Gateway, podría enviar

variables manipuladas diferentes a válvulas y actuadores




13

Replay Attack (ataque por reproducción)

Es un caso especial de Spoofing en el cual la variable de

proceso es registrada primero y luego se la re-envía con

posterioridad

Esto causa por ejemplo que una válvula se abra en un

momento inesperado al haber copiado ese comando

anteriormente transmitido.




14

Medidas de Seguridad del Protocolo ISA 100

Requerimientos de seguridad:

Autentificación de mensaje

Confidencialidad de los datos garantizada a través de encriptado estado-del-arte

Ofrecer medios de protección contra ataques de reproducción de datos



15


Tecnologías de Seguridad adoptadas:

Autentificación de dispositivos

Encriptación

Autentificación de mensajes

Frescura de los mensajes de comunicación



16



Prevenir el burlado de un dispositivo (Spoofing) es el pilar de una red inalámbrica segura. La seguridad se basa entonces en:

1. Autentificación de dispositivos: la medida de seguridad del protocolo ISA-100.11a se basa en que un GateWay autenticado comparte una llave secreta solo con un dispositivo válido.

Esa llave de autentificación es llamada llave (Key) de unión (Joining).

El encriptado de datos y la prevención del encriptado de datos falsos depende solo de la:



17

Concepto de Aprovisionamiento:

Como contramedida contra la incorporación de dispositivos falsos se adopta el aprovisionamiento (provisioning): la configuración del dispositivo con un adaptador infrarrojo de corto alcance “provisionando” a cada dispositivo una llave distinta fuera de la red y la cual no puede luego ser leída.

El corto alcance del adaptador IR, 30 cm es para incrementar la seguridad.

Cada dispositivo queda configurado con una llave distinta la cual nunca se transmite a través de la red inalámbrica

Durante el proceso de unión a la red, se utiliza el procedimiento de “respuesta desafiante”



18

Validación: Respuesta Desafiante

Descripción del procedimiento de autentificación

recíproco incorporado el el standard ISA 100.11a



19



2. Encriptación

Es una contramedida especifica contra el husmeado (sniffing).

El standard ISA 100.11ª adopta el Estándar de Encriptado Avanzado AES idéntico al usado por instituciones financieras y el comercio electrónico.

Solo sería posible vulnerarlo con una ataque de Fuerza Bruta, para resistirlo debe usarse una llave (Key) larga.

Se adopta una llave de 128 bits brindando 3,4 x 1038 combinaciones posibles. Le tomaría un billón de años a un juego de supercomputadoras romper ese código.

Adicionalmente el Gerente de Serguridad actualiza la llave de seguridad periódicamente.

Además cada dispositivo inalámbrico usa una llave de encriptación diferente



20



3. Autentificacion de Mensajes:

Es un mecanismo para asegurar que los datos son de dispositivos asociados auténticos y no falsificados

Esto es logrado mediante códigos de autentificación que solo el dispositivo conociendo la llave de encriptado puede crear el cual es empotrado en los mensajes

Asi si el código recibido en un mensaje es diferente del creado por el receptor, este juzga que es falso ( por desconocer la llave de encriptado) y lo descarta.



21



4. Frescura de los mensajes de comunicación:

Solo los mensajes recibidos entro de un cierto período de tiempo

después de la transmisión son aceptados.

Para ello todos los dispositivos conformando un red inalámbrica

según el estándar ISA 100.11ª se sincronizan en tiempo en el orden

de milisegundos y agregan información del tiempo real a los

mensajes transmitidos.

Esa estampa de hora es analizada por el receptor del mensaje



22

ISA-100.11ª , como funciona



23

Sintesis, funciones de seguridad ISA 100.11a:

Sumario del efecto de las funciones de seguridad incorporadas

en el standard ISA 100.11a

Si cualquiera de las contramedidas faltara,

el protocolo ofrecería una seguridad más débil



24

Recomendaciones:

Valorización de los riesgos a la seguridad durante el proceso de diseño de los

productos (Proveedor)

Entrenar a los programadores para codificar el firmware evitando introducir

vulnerabilidades (Proveedor)

Verificar los códigos fuentes usando herramientas de análisis para detectar

problemas en seguridad (Proveedor)

Evitar errores de implementación que genere vulnerabilidades

(Integrador/Usuario)

Asegurarse haya adoptado el estándar Internacional de ciberseguridad ISA/IEC

62443

Los productos base utilizados debe incluir en su diseño medidas para asegurar

la ciberseguridad, y de ser posible estar certificados por terceras parte. La

adopción de la Certificación ISASEcure Embeded Device Security Assurance

(EDSA) es importante (Proveedor)



25

2. Compracion entre protocolos Industriales WirelessHART ISA 100 Wireless

Architecture Access points Field devices (I/O and router, router)

Backbone router Field devices (I/O only, router, router and I/O)

Multiple subnets

Physical layer IEEE 802.15.4 IEEE 802.15.4

Data link layer IEEE 802.15.4 + (TDMA, Channel hopping (1), mesh

topology) Fixed time slot Priority levels (4)

IEEE 802.15.4 + (TDMA, Channel hopping (3), mesh topology) Configurable time slots

Priority levels (2)

subnets

Network layer

Based on HART

16- and 64-bits addressing

Based on IPv6 6LoWPAN (IETF RFC4944)

16-, 64- and 128-bits addressing

Transport layer Auto-segmented transfer of large data sets, reliable

stream transport

Connectionless service UDP (IETF RFC768)

6LoWPAN compatibility

Application layer

Command-oriented,

Predefined data types,

Support HART protocol

Object-oriented,

Support legacy protocol (tunneling),

QoS contracts

Real-time support

TDMA

Priority levels (4)

TDMA

Priority levels (2)

QoS contracts

Reliability

Mesh topology

Channel hopping (1)

Channel blacklisting

ARQ

Mesh topology

Channel hopping(3)

Adaptive hopping

Channel blacklisting

ARQ

Security

AES-128 encryption Security mechanisms in different layers

Keys have an expiration time Interference protection (blacklist, channel hopping)

AES-128 encryption

Security mechanisms in different layers

Keys have an expiration time

Interference protection (blacklist, channel hopping)

Join process Symmetric method Symmetric and asymmetric methods

Provisioning Cable connection to the maintenance port using

handheld Provisioning device

OTA configuration (over the air)



26

Referencias para profundizar:

Christin, D., Mogre, P. S., Hollick, M. Survey on Wireless Sensor Network Technologies for Industrial Automation. Future Internet, Vol. 2, pp. 96–125, 2010.

HART Communication Foundation. http://www.hartcomm.org/protocol/wihart/wireless_technology.html. Accessed March 30, 2011.

Hasegawa, T., Hayashi, H., Kitai, T., Sasajima, H. Industrial Wireless Standardization—Scope and Implementation of ISA SP100 standard. In Proceedings of SICE Annual Conference, Tokyo, Japan, 2011.

IEC/PAS 62591, Industrial communication networks—Fieldbus specifications—WirelessHART communication network and communication profile, International Electrotechnical Commission, Edition 1.0, 2010.

ISA Wireless Compliance Institute: ISA100 Standards: Overview & Status. Accessed November, 2011.

ISA100 Wireless Compliance Institute: The Technology Behind the ISA100.11a standard –An Exploration. Accessed November, 2011.

International Society of Automation (ISA): Wireless Systems for Industrial Automation: Process Control and Related Applications, ISA100.11a, Draft 2a, 2009.

Lydon, B., ISA100 Wireless Standard Review Control & Instrument Manufacturer Perspective. Accessed November, 2011.

Raza, S., Slabbert, A., Voigt, T., Landerns, K. Security Considerations for the WirelessHART Protocol: In Proceedings of the IEEE International Conference on Emerging Technologies and Factory Automation (ETFA), Mallorca, Spain, September, 2009.

Song, J., Han, S., Mok, A. K., Chen, D., Lucas, M., Nixon, M. WirelessHART: Applying Wireless Technology in Real-Time Industrial Process Control. In proceedings of the IEEE Real-Time and Embedded Technology and Applications Symposium (RTAS), St. Louis, MO, USA, April, 2008.

Zhang, X., Wei, M., Wang, P., Kim, Y. Research and Implementation of Security Mechanism in ISA100.11a Networks. In proceedings of the Ninth International Conference on Electronic Measurement & Instruments, Beijing, China, 2009.

Yokogawa Technical Report 57-2, Strong Security Measures Implemented in ISA100.11a Wireless System Kinichi Kitano, Shuji Yamamoto

http://www.hartcomm.org/protocol/wihart/wireless_technology.html

http://www.isa100wci.org/Documents/PDF/ISA100_Standards-Overview_WCI_Webinar_V3_12Apr10.aspx

http://www.isa100wci.org/Documents/PDF/The-Technology-Behind-ISA100-11a-v-3_pptx.aspx



https://www.honeywellprocess.com/library/marketing/whitepapers/ISA100WhitePaper.pdf



27

Muchas Gracias!

Preguntas?

Ciberseguridad en Redes Industriales Inalámbricas: Protocolo ISA 100.11a Amenazas y ... ·...

Documents

Transcript of Ciberseguridad en Redes Industriales Inalámbricas: Protocolo ISA 100.11a Amenazas y ... ·...