retos y soluciones en arquitecturas de telecontrol en...
Post on 20-Aug-2018
215 Views
Preview:
TRANSCRIPT
Retos y Soluciones en
Arquitecturas de Telecontrol
en Internet
Xavier Cardeña
Xavier.cardena@logitek.es
Red de Control
Internet
Zona de Control
Recomendaciones
1. Usar VPNs o Secure Sockets Layer (SSL), para encriptar
desde origen a destino
2. Usar protocolos estandar y seguros (DNP3 Secure, OPC
UA)
3. Aplicar estándares de seguridad, por ejemplo IEC62443,
estrategias de defensa en profundidad: habilitar un
sistema de gestión y control de accesos (passwords,
firewalls, diodos de datos, etc…).
4. Soluciones de control redundantes.
5. Firmar buenos acuerdos con el proveedor de cloud,
entender los acuerdos de niveles de servicio (ver
programa STAR de la CSA Security)
Internet
1. Acceso Fácil y Seguro con OpenVPN
OpenVPN: Descripción
Open VPN es una red privada virtual basada en código abierto que
permite crear túneles encriptados entre hosts, tanto en configuraciones
punto a punto como en configuraciones multi punto a servidor.
Basado en Open SSL.
Una red VPN puede atravesar el NAT del Router y los Firewalls. Proporciona
3 métodos de autentificación:
– Certificado RSA
– Llave pre compartida SSL/TLS
– Nombre de Usuario y Password
OpenVPN: Ventajas
Seguridad
Todo el tráfico de entrada y salida del Router está encriptado.
Red Común
Todos los participantes pueden compartir la misma subred, con lo que es más fácil administrar la red
Reduce los costes y tiempo de mantenimiento
Si tenemos varios Router en la misma red, es posible ahorrar tiempo y
dinero al reducir el esfuerzo requerido a mantenerlos.
Uso de SIM
Los Clientes VPN pueden tener IPs dinámicas , estáticas, públicas o
privadas
OpenVPN
Cliente VPN en RTU.
Servidor VPN en Servidor PC / Mac /
Solaris/Android….
Internet
client
client
client
client
Server
OpenVPN
Cliente VPN en RTU.
Servidor VPN en Cloud
Internet
client
client
client
client
Server https
https
https
2. Usar protocolos estandar y seguros (DNP3 Secure, OPC UA)
Internet
Características DNP3
Gestión por excepción y estampación fecha/hora en origen
• Disminuye tráfico de comunicaciones
• Ahorro energético
• Información en el momento
Almacenamiento Históricos y sincronización horaria
• Alta disponibilidad de los datos, incluso tras perdidas de comunicación.
Interoperabilidad entre fabricantes
• Estándar abierto independiente de fabricantes.
Orientado a la conexión
• Confirmación en las capas de datos y de aplicación
Flexible en arquitecturas
DNP3 Secure: Comunicaciones Industriales Seguras
IEC 62351 Parte 1: Retos
Mapeado de los estándares de comunicaciones TC57 a los
estándares de seguridad IEC 62351
IEC 62351 parte 2: Glosario
IEC 62351 parte 3: Profiles Incluyendo TCP/IP
IEC 62351 parte 4: Profiles Incluyendo MMS
IEC 62351 parte 5: IEC 60870-5 & derivados
IEC 62351 parte 6: IEC 61850
IEC 60870-6 TASE.2
IEC 60870-5-104 & DNP3
IEC 60870-5-101 & DNP Serie
IEC 61850 GOOSE, GSE, SMV
IEC 61850 sobre MMS
IEC
62
35
1 p
arte
7: M
IBs p
ara
gestió
n d
e re
des
* Diagrama por IEC TC57 WG15
2. Arquitecturas flexibles y escalables usando estándares
Internet
Integrar con OPC UA
Plataforma de comunicaciones estándar
Seguridad Firewall friendly
Autenticación
Autorización
Confidencialidad
Integridad
Auditabilidad
Disponibilidad
Independencia de S.O.
Integra todas las funcionalidades OPC
3. Protección
Internet
Firewall integrado en el equipo
Soporte de SSL , HTTPS
Inhabilitación de servicios y
conexiones
Fuertes controles de acceso
(passwords)
Fácilmente Parcheables (y a tiempo)
Soporte snmp para eventos
Internet
4. Soluciones de Control redundantes
4. Soluciones de Control redundantes
Internet
Por último….IoT con Redes Sigfox
Internet
IoT
Por último….IoT con Redes Sigfox
SigFox es una red celular independiente de banda ultra estrecha y de baja
velocidad para pequeños mensajes de muy bajo consumo y con capacidad
para conectar millones de dispositivo
Ideal para monitorizar puntos aislados
Muy bajo consumo eléctrico (300 veces menor que 3G)
Fácil instalación y configuración. No requiere desarrollar infraestructura
privada
No requiere pasarelas (directo del sensor a la cloud)
Muy bajo coste de uso (entre 5 y 20 € dispositivo/año)
Largo alcance
Sistema escalable
Panel demo en sala expo
Demo remotas DNP3/OPC/VPN
Demo Sigfox a portal web
Enlace SCADA Wonderware OPC DNP3
RTUs de última generación
top related