Comunicaciones Seguras con estaciones Remotas

Las necesidades de comunicaciones en el sector Industrial y el sector Infraestructuras, incluido el sector Infraestructuras TIC aplicado a las Smart Cities, son diferentes y requieren de estrategias diferenciadas para poder ser resueltas.

En el sector industrial las comunicaciones principalmente se concentran entre las áreas IT y OT. En el área de OT encontramos los dispositivos de control que comunican entre ellos empleando numerosos protocolos de comunicación, en algunos casos protocolos propietarios. Es esté entorno de control y producción la prioridad es la disponibilidad de la información en tiempo real. En el área de IT encontramos sistemas que comunican con el área OT, de forma vertical, para facilitar datos a los sistemas de supervisión SCADA, HMI, MES, etc. En esta área, la confidencialidad de la información es prioritaria. En estos escenarios, la seguridad suele tener como marco de partida la implementación de DMZs y la segmentación de las redes.

En el sector infraestructuras podemos decir, de forma general, que tenemos uno o varios Centros de Control, normalmente un único Centro de Control, que tiene la necesidad de comunicar con diferentes Centros Remotos. En este sector las soluciones para comunicar el Centro de Control con las estaciones remotas son heterogéneas. Se utilizan comunicaciones inalámbricas IP GPRS/3G/4G, IP sobre fibra, ADSL, XDSL, Satélite, redes Tetra, redes propietarias de radio libre ISM, redes propietarias  de radio licenciada, otras soluciones de operador no GSM, etc, etc. La tendencia clara es que las comunicaciones sean por TCP/IP, existiendo en muchos casos pasarelas entre medios físicos y/o protocolos.

Los dispositivos de control en el sector Infraestructuras, situados en los Centros Remotos, suelen ser PLCs o dispositivos al uso como las RTU. Los protocolos utilizados son heterogéneos, como sucedía en el sector industrial . La principal diferencia entre los dispositivos de control utilizados en industria y los utilizados en infraestructuras, es que así como en industria los dispositivos de control pueden estar bajo el paraguas de una protección DMZ, en infraestructuras los PLC o RTU suelen estar comunicados directamente a Internet y por lo tanto expuestos a las vulnerabilidades de la red de las redes.

En un escenario ideal, los dispositivos de control remotos RTU, que se encuentran conectados directamente a Internet, deben incorporar de protecciones nativas como firewall y deben comunicar utilizando protocolos seguros. Los protocolos de comunicación seguros, comúnmente utilizados en comunicaciones de banca electrónica, en correo electrónico o en navegación web HTTPS, incorporan mecanismos de autentificación y encriptación. Existen protocolos industriales que implementan este nivel de seguridad, como por ejemplo OPC-UA, DNP3 Secure SAv5 y algunas implementaciones de IEC60870.

El escenario real es actualmente, bastante diferente del escenario ideal. Los dispositivos RTU utilizan numerosos protocolos, pocas veces seguros y en el mejor de los casos los dispositivos RTU disponen de algún tipo de firewall, que en algunas ocasiones no está activado.

Conseguir unas comunicaciones seguras, que garanticen la disponibilidad y la integridad de la información, tiene que ser prioridad para todo nuevo proyecto. En muchos casos puede ser necesario analizar el estado de los proyectos en funcionamiento para auditorar el nivel de seguridad actual, y poder aplicar las medidas correctoras necesarias.

En aquellos casos en los que no se pueden aplicar las recomendaciones para obtener un “escenario ideal” mencionadas arriba,  se requiere proteger  las comunicaciones entre Centro de Control y Remotas RTU, con independencia del protocolo utilizado. La solución requiere aplicar dos tecnologías diferentes el Firewall y los túneles VPN.

Los túneles VPN, “Virtual Private Network” permiten establecer comunicaciones IP a través de redes no seguras como LAN o WAN (Internet), asegurando una comunicación Punto a Punto encriptada y autentificada.

Existen diferentes implementaciones de soluciones VPN. IPSec es una implementación de VPN mayoritariamente extendida para establecer túneles VPN, Site to Site and Client to Site. Se utiliza comúnmente en dispositivos IT para establecer túneles entre dispositivos de red. Las VPN SSL se utilizan para establecer un túnel HTTPS encriptado hasta un servidor Web en el dispositivo remoto. OpenVPN es una tecnología VPN que también permite establecer túneles VPN encriptados y permite la autentificación. Este protocolo se puede encontrar en dispositivos de Control RTU, está basado en el estándar SSL. Existen dispositivos de control que son a la vez Clientes y Servidores de OpenVPN. También existen dispositivos Appliance que son servidores de OpenVPN, así como diferentes soluciones software para servidores.

Las ventajas de utilizar una tecnología VPN en dispositivos de control RTU son varias y se pueden resumir en dos: Cualquier protocolo de comunicación con independencia de su “debilidad” puede viajar por una VPN con total seguridad. La información viaja encriptada y no puede ser alterada por un usuario mal intencionado.