Professional Documents
Culture Documents
SEGURIDAD
Automtica e Instrumentacin
os recursos para
lidad el diseo de una
hacer ms segura
instalacin gobernada
una red industrial
por controladores lgicos
estn al alcance de la
programables supone
mano. El empleo de un
una tarea enormemente
cortafuegos puede hacer
compleja. Los programucho por elevar el nimas que regulan autovel de seguridad de las
matismos industriales
zonas de campo en las
o el funcionamiento de
que funcionan los PLC,
infraestructuras crticas
histricos, puestos de
no solo deben estar diseprogramacin e interfaados, escritos y comproces scada, aunque, pabados minuciosamente.
n CPU de un PLC Siemens Simatic S7 con mdulos E/S SM323/
radjicamente, es uno
Adems, debe aseguSM322.
de los elementos menos
rarse una ejecucin imconocidos en el mbito
pecable en tiempo real,
de las redes.
recoge las seales enviadas por
puesto que la menor perturbacin
El Controlador Lgico Progralos sensores y las agrupa en una
puede producir alteraciones immable (PLC, Programmable Lotabla de entradas. A continuacin,
previsibles en el proceso o, en el
gic Controller) se ha convertido
la CPU del dispositivo aplica somejor de los casos, la detencin
en un elemento estratgico para
bre esta tabla de entradas una
automtica del PLC.
la industria moderna. Gobierna
secuencia de operaciones lgicas
procesos productivos en todos los
especificadas por las instrucciones
Factores de vulnerabilidad
mbitos y sectores: cadenas de
del programa. Estas instrucciones,
Hasta hace unos pocos aos, los
montaje, plantas qumicas, deadems de tareas consecutivas,
sistemas electrnicos que contropuradoras de agua, centros de
tambin incluyen la posibilidad
laban la maquinaria industrial
logstica, almacenes automticos,
de efectuar saltos y bifurcaciones
funcionaban aisladamente y sin
bloques de oficinas y, por supuesto,
dentro del programa mediante
conexin al mundo exterior. En
tambin en subestaciones elcsentencias condicionales del tipo
algunos casos existan lneas tetricas y otras dependencias de
IF-ELSE o JUMP. Finalmente
lefnicas o RDSI con el fabricante
eso que llaman la Red Elctrica
dispone el resultado en una tabla
para mantenimiento remoto, pero
Inteligente y que resulta de vital
de salidas que, una vez completado
se trataba de circuitos habilitados
importancia para el suministro
el proceso, sern enviadas a los
explcitamente para tareas espeenergtico del futuro.
actuadores respectivos para que
cficas. Los sistemas de conexin
Un PLC (figura superior) es un
estos ejecuten las tareas que se
eran propietarios e incompatibles
ordenador especializado en operadesea llevar a cabo.
con los estndares tradicionales
ciones de control industrial. Su miUna vez terminado este proceso,
utilizados para redes locales o
sin consiste en procesar entradas
el programa vuelve a ejecutarse
pblicas. En tales circunstancias,
binarias o analgicas procedentes
desde el principio. Y as en un ciclo
la posibilidad de ser atacados por
de una variedad de dispositivos
constante que solo se ve interrumciberdelincuentes era virtualmeny sensores, generando a partir
pido por la parada intencionada de
te nula.
de ellas seales que se emplean
la mquina o por alguna condicin
Este estado de cosas termin con
para controlar mquinas y equiespecial (avera, error de prograla explosin de Internet y la conepos (motores, bombas, hornos,
macin, seales de emergencia)
xin generalizada de particulares
robots, seccionadores de corriente
que obligue a la CPU a pasar del
y empresas a una red mundial
en subestaciones elctricas, etc.).
modo de funcionamiento RUN al
de ordenadores organizada sobre
El funcionamiento de un PLC
modo STOP o de parada.
estndares comunes. En las planes simple: en una primera etapa
Parece sencillo, pero en reatas productivas, la sustitucin de
SEGURIDAD
Febrero 2016 / n. 481
Soluciones
Automtica e Instrumentacin
Soluciones
SEGURIDAD
Automtica e Instrumentacin
El Firewall S7 de Trger
n router industrial equipado con un cortafuegos debe estar diseado para resistir el trajn inevitable de todo entorno fabril: vibraciones, humo, altas temperaturas, corrosin qumica, etc. Adems,
es conveniente que pueda alimentarse con el mismo voltaje que los
buses industriales y los dispositivos de planta por lo general 24V.
Finalmente, ha de ser fcil de configurar por el usuario. Aunque existen diferentes marcas y modelos para elegir, el Firewall S7 de Trger
(figura superior), basado en tecnologas estndar y adaptado al funcionamiento de los PLC Simatic S7 de Siemens, cumple los requerimientos anteriormente expuestos. El dispositivo es similar a un router
n S7 Firewall de Trger. (Fuente:
www.traeger.de).
como el que utilizamos en el hogar para la conexin a Internet, con
una salida WAN para conectar con la red de empresa, las estaciones
HMI/programadoras o Internet, y cuatro puertos LAN que funcionan como un switch, y a los que pueden
conectarse los PLC por medio de un bus Ethernet industrial. Entre sus caractersticas cabe mencionar la
actualizacin para IPV6, servidor DHCP, un cliente NTP y, por supuesto, el firewall integrado.
La configuracin del Firewall S7 se lleva a cabo a travs de un navegador web. El cortafuegos es del tipo
deny all, con un sistema muy simple para definir las reglas. El usuario, mediante formularios HTML, no
tiene ms que hacer una lista de las estaciones de trabajo desde las que es necesario acceder puestos
scada o de programadores. En una segunda lista se incluirn los PLC de la lnea a los que se permite el
acceso. Finalmente, se establecen los emparejamientos HMI/programador-PLC que definen cada una de
las conexiones autorizadas. Un sencillo lenguaje de scripts permite especificar las zonas de memoria del
PLC a las que se puede acceder para operaciones de lectura y/o escritura de datos. Todo el trfico restante
ser bloqueado por el firewall. Los intentos de acceso no autorizados son incluidos en un archivo de registro
o log. Esto puede ser til para fines forenses o en caso de que el administrador de la red tenga que llevar
a cabo una investigacin sobre usos inadecuados o tentativas de intrusin (figura inferior).
SEGURIDAD
Febrero 2016 / n. 481
Soluciones
Automtica e Instrumentacin
Soluciones
SEGURIDAD
Automtica e Instrumentacin
informticos, ir adquiriendo un
protagonismo creciente a medida
que avance el proceso masivo de
automatizacin de procesos industriales e infraestructuras crticas.
Pero, qu pasa si los ciberdelincuentes consiguen llegar a uno de
los HMI autorizados para establecer conexiones con los PLC? Esto
nos recuerda que de puertas afuera
de la zona de campo la seguridad
informtica convencional sigue
siendo algo de la mayor importancia. Los sistemas de deteccin de
intrusos (IDS, en ingls: Intrusion
Detection System), parchear de
sistemas operativos, actualizar
el antivirus y una buena poltica
de utilizacin de medios siguen
siendo elementos clave para la
supervivencia en el mundo digital.
Francisco Lzaro
Experto en Informtica Forense
y Representante de A.N.T.P.J.I.
(Asociacin Nacional de
Tasadores y Peritos Judiciales
Informticos) en Vizcaya