Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Soluciones en ciberseguridad

  • Login to see the comments

  • Be the first to like this

Soluciones en ciberseguridad

  1. 1. Soluciones en ciberseguridad
  2. 2. Diferentes situacionesa evitar Red corporativa interfiere en red de planta Protocolos industriales no fueron definidos teniendo en cuenta la ciberseguridad (Modbus , OPC, Profibus, etc) Errores de programación o contratistas con equipos infectados Conexiones wireless (alguien puede conectarse a través de ellas) Saturación de equipos por ataques DoS 2
  3. 3. Una solución para cada situación - Waterfall Interferencias de la red corporativa en la planta – Evitar que equipos contaminados de la parte corporativa afecten en el proceso de planta. Separar físicamente red corporativa de la red de planta. – En el caso de que sea indispensable unirlas, utilizar diodos de datos para garantizar que no pase la información de la red corporativa hacia proceso. 3
  4. 4. Una solución para cada situación - Waterfall Waterfall : Compañía fundada en 2007 con Sede en Israel y oficina de ventas y operaciones en Estados Unidos. Cientos de instalaciones en todo el mundo en infraestructuras críticas Reconocido líder mundial del mercado: “Best Practice Award 2012”, Seguridad en redes industriales Waterfall Security en la lista de “Cool Vendor de 2012” Waterfall Security proveedor clave en el mercado de la ciberseguridad (12/11/2010) 4
  5. 5. Una solución para cada situación - Waterfall Se pueden enviar datos en una dirección. Red de planta puede enviar información a red corporativa pero no al revés. Sistema mediante transmisor (TX) y receptor (RX). Comunicaciones sin Ack. Replicación del servidor. NO emula los protocolos. Servidor en red de planta (contiene datos, información de la planta) replicado en red corporativa 5
  6. 6. Una solución para cada situación - WaterfallAplicaciones Industriales/ Historiadores Protocolos Industriales OSIsoft, GE iHistoria, GE iFIX, Scientech  Modbus, OPC (DA, HDA, A&E) R*Time, Instep, eDNA, GE OSM  DNP3, ICCP Siemens: Winc CC, SINAUT/Spectrum Acceso remoto Emerson Ovation, SQLServer Matrikon Alert Manager  Remote Screen View™ Aspentech, Oracle  Secure Manual Uplink Otros ConectoresAplicaciones de Monitorieo IT  NTP, Multicas Ethernet Log Transfer, SNMP, SYSLOG  Video/Audio Stream Transfer CA Unicenter, CA SIM, HP OpenView  Mail server/mail box replication  IBM Websphere MQ seriesDuplicación de archivos / carpetas  Antivirus updater, patch (WSUS) updater Folder, tree mirroning, remote folders (CIFS)  Remote print server FTP/FTFP/SFTP/TFPS/RCP  UDP, TCP/IP 6
  7. 7. Una solución para cada situación – Tofino™ Tofino Security: Compañía formada en 2006 por Eric Byres, experto en Ciberseguridad. Solución implantada en infraestructuras críticas Producto reconocido mundialmente: “2010 World Customer Value Enhancement Award in Industrial Automation & Electronics” “2010 Product of the Year” 7
  8. 8. Una solución para cada situación – Tofino™ Protocolos industriales con pobre seguridad – Modbus no tiene autentificación: Cualquier dispositivo conectado en la red puede enviar un comando en Modbus – OPC deja todos los puertos abiertos: Cada vez que se establece una conexión, el protocolo deja todos los puertos abiertos Contratistas o personal externo con equipos infectados – Un equipo exterior puede contaminar equipos de planta – Restringir el acceso a equipos, solo los necesarios Errores humanos en la programación – Escribir en lugar de leer un registro, abrir una válvula en lugar de cerrarla 8
  9. 9. Una solución para cada situación – Tofino™ 9
  10. 10. Una solución para cada situación – Tofino™ Módulos Enforcer (LSM): ModbusTCP Enforcer y OPC Enforcer  Modbus TCP Enforcer: Los esclavos Modbus presentan un conjunto de ‘coils’ valores binarios ON/OFF y registros(valores numéricos) que pueden ser leídos o modificados a través de la red. Los comandos Modbus se llaman Function Codes – Function Code 1 – Read Coil – Function Code 2 – Read Multiple Registers – Function Code 16 – Write Multiple Registers Muchos controladores utilizan Function codes privadas para mantenimiento y supervisión. – Para cada conexión Modbus permite definir una lista de funciones permitidas. – Primer Firewall con la capacidad de inspeccionar el contenido de las tramas – Conforme a la especificación del protocolo MODBUS – Soporta simultáneamente múltiples maestros y esclavos 10
  11. 11. Una solución para cada situación – Tofino™  OPC Enforcer  OPC es libre para utilizar cualquiera de los puertos comprendidos entre los 1024 y 65535 No sabes que puerto usará el servidor para darte la información ¡Tienes que dejar todos los puertos abiertos! No puedes usar por lo tanto, un firewall con reglas definidas.  OPC Enforcer permite delimitar el tiempo que se dejan los puertos abiertos  Solo permite la conexión entre el puerto indicado por el servidor y entre cliente/servidor indicado  Todos los demás puertos cerrados 11
  12. 12. Una solución para cada situación – Tofino™ Referencias 12
  13. 13. Una solución para cada situación – IRF2200 Comunicaciones wireless (Wifi – 3G) – La tecnología 3G y wifi ha permitido ahorrar en cableado y infraestructura. – A pesar del abaratamiento en costes, hay que proteger esta entrada de comunicaciones de posibles ataques. – Surge la necesidad de firewalls industriales especializados en comunicaciones wireless/3G Firewall industrial para conexiones VPN & GPRS – Serie IRF2200. – Permite servicio en la nube con escritorio remoto 13
  14. 14. Una solución para cada situación – IRF2200 ADStec es una compañía alemana creada en 2009 Ofrece soluciones industriales para comunicaciones industriales y visualización Referencias importantes: 14
  15. 15. Una solución para cada situación – IRF2200 Mediante GPRS podemos conectar las estaciones de gas con sala de control y regular las válvulas remotamente. Al ser un firewall podemos definir reglas de acceso, privilegios y qué protocolos van a utilizarse y quién va a poder comunicarse. 15
  16. 16. Una solución para cada situación – IRF2200 Un operario puede comprobar qué sucede en las estaciones, o dispositivos Big-LinX como cromatógrafos, y interactuar con ellos desde su casa sin necesidad de desplazarse a planta. 16
  17. 17. Más información en: www.esindus.es esindus@esindus.esOficinas centrales en Madrid Avda. Manoteras nº42 28050 Madrid (España)

×