logitek comunicación segura opc_jai_2014
TRANSCRIPT
![Page 1: Logitek Comunicación segura OPC_JAI_2014](https://reader034.vdocuments.site/reader034/viewer/2022042615/55a6b6a21a28ab112c8b4858/html5/thumbnails/1.jpg)
Comunicaciones industriales seguras MIÉRCOLES 5, 18:50-20:00
5ª SESIÓN
Comunicaciones industriales seguras con OPC UA
Ponente:• D. Héctor García
(Industrial Communications Manager, LOGITEK)
![Page 2: Logitek Comunicación segura OPC_JAI_2014](https://reader034.vdocuments.site/reader034/viewer/2022042615/55a6b6a21a28ab112c8b4858/html5/thumbnails/2.jpg)
1. Acerca de Logitek y Kepware2. Túneles OPC-UA3. Seguridad en OPC-UA3. Seguridad en OPC-UA4. Túnel seguro con Kepware5. Conclusiones
![Page 3: Logitek Comunicación segura OPC_JAI_2014](https://reader034.vdocuments.site/reader034/viewer/2022042615/55a6b6a21a28ab112c8b4858/html5/thumbnails/3.jpg)
Acerca de Logitek
Barcelona (Headquarters)
Bilbao
Madrid
www.logitek.es · [email protected] · 902 10 32 83
Referencia en el mercado español desde 1979 ayudando a nuestros clientes a alcanzar la excelencia operativa y la reducción de costes
Especialistas en sistemas de control, comunicaciones, gestión a tiempo real y ciberseguridad en entornos industriales e infraestructuras
Especialistas en capturar, analizar, discriminar y mostrar la información más relevante para una toma de decisiones inmediata y libre de incertidumbres
![Page 4: Logitek Comunicación segura OPC_JAI_2014](https://reader034.vdocuments.site/reader034/viewer/2022042615/55a6b6a21a28ab112c8b4858/html5/thumbnails/4.jpg)
Acerca de Logitek
www.logitek.es · [email protected] · 902 10 32 83
Logitek
Ciberseguridad InstalacionesComunicacionesGestión Tiempo Real
![Page 5: Logitek Comunicación segura OPC_JAI_2014](https://reader034.vdocuments.site/reader034/viewer/2022042615/55a6b6a21a28ab112c8b4858/html5/thumbnails/5.jpg)
División dentro de Logitek dedicada a la comunicación entre dispositivos , procesos y sistemas
www.logitek.es · [email protected] · 902 10 32 83
Entre dispositivos y sistemas Entre dispositivos
![Page 6: Logitek Comunicación segura OPC_JAI_2014](https://reader034.vdocuments.site/reader034/viewer/2022042615/55a6b6a21a28ab112c8b4858/html5/thumbnails/6.jpg)
Kepware Technologies
Proveedor de un software para comunicaciónindustrial utilizado en entornos discretos, procesosy lotesSu punto fuerte es el intercambio de informaciónentre aplicaciones y/o dispositivos
www.logitek.es · [email protected] · 902 10 32 83
entre aplicaciones y/o dispositivos
![Page 8: Logitek Comunicación segura OPC_JAI_2014](https://reader034.vdocuments.site/reader034/viewer/2022042615/55a6b6a21a28ab112c8b4858/html5/thumbnails/8.jpg)
1. Acerca de Logitek y Kepware2. Túneles OPC -UA3. Seguridad en OPC-UA3. Seguridad en OPC-UA4. Túnel seguro con Kepware5. Conclusiones
![Page 9: Logitek Comunicación segura OPC_JAI_2014](https://reader034.vdocuments.site/reader034/viewer/2022042615/55a6b6a21a28ab112c8b4858/html5/thumbnails/9.jpg)
Antes de OPC
Cada aplicación su propiodriverPoca IntegraciónSoluciones propietarias
ERP
Informes
www.logitek.es · [email protected] · 902 10 32 83
Soluciones propietarias
¿Dónde están los datos?
¿Adaptación a cambios?
![Page 12: Logitek Comunicación segura OPC_JAI_2014](https://reader034.vdocuments.site/reader034/viewer/2022042615/55a6b6a21a28ab112c8b4858/html5/thumbnails/12.jpg)
Características OPC
Especificación pública, no propietariaArquitectura Cliente/ServidorEnvío de datos como texto planoBasado en Microsoft ActiveX y COM/DCOM
www.logitek.es · [email protected] · 902 10 32 83
Basado en Microsoft ActiveX y COM/DCOM
![Page 13: Logitek Comunicación segura OPC_JAI_2014](https://reader034.vdocuments.site/reader034/viewer/2022042615/55a6b6a21a28ab112c8b4858/html5/thumbnails/13.jpg)
¿Protocolo Seguro?
Modbus TCP, el protocolo industrial más utilizado
Mucha documentación del protocoloPuerto 502
www.logitek.es · [email protected] · 902 10 32 83
Puerto 502Direcciones de memoria fijasMensajes sin codificar
![Page 14: Logitek Comunicación segura OPC_JAI_2014](https://reader034.vdocuments.site/reader034/viewer/2022042615/55a6b6a21a28ab112c8b4858/html5/thumbnails/14.jpg)
¿Por qué no es seguro?
Cualquiera podría leer los datos y entenderlosCualquiera podría hacerse pasar por el maestro o por el esclavo
www.logitek.es · [email protected] · 902 10 32 83
maestro o por el esclavoCualquiera podría modificar los mensajes
![Page 15: Logitek Comunicación segura OPC_JAI_2014](https://reader034.vdocuments.site/reader034/viewer/2022042615/55a6b6a21a28ab112c8b4858/html5/thumbnails/15.jpg)
¿Qué es un túnel?
¿Qué significa “tunneling” en este contexto?
Crear un canal de
www.logitek.es · [email protected] · 902 10 32 83
de comunicaciónentre dos puntos a travésde barreras
![Page 16: Logitek Comunicación segura OPC_JAI_2014](https://reader034.vdocuments.site/reader034/viewer/2022042615/55a6b6a21a28ab112c8b4858/html5/thumbnails/16.jpg)
¿Cómo es un túnel?
www.logitek.es · [email protected] · 902 10 32 83
Aplicación de TunnelingServidor
Aplicación de Tunneling
Cliente
Protocolo cliente Protocolos dispositivos
![Page 17: Logitek Comunicación segura OPC_JAI_2014](https://reader034.vdocuments.site/reader034/viewer/2022042615/55a6b6a21a28ab112c8b4858/html5/thumbnails/17.jpg)
¿Por qué crear un túnel?
Habilitar comunicaciones entre redes, routers o Firewalls (por ejemplo Internet)
Quizás para:• Permitir a un cliente OPC-DA en un red comunicar con un
dispositivo o un servidor OPC-DA en otra red
• Permitir a un cliente No-OPC comunicar con un
www.logitek.es · [email protected] · 902 10 32 83
• Permitir a un cliente No-OPC comunicar con un dispositivo o un servidor OPC en otra red
• Permitir a un dispositivo en una red comunicar con otrodispositivo en otra red
Añadir seguridad a las comunicaciones
• Algunos protocolos son abiertos y comprensibles por cualquiera con una guía (porejemplo, Modbus)
![Page 18: Logitek Comunicación segura OPC_JAI_2014](https://reader034.vdocuments.site/reader034/viewer/2022042615/55a6b6a21a28ab112c8b4858/html5/thumbnails/18.jpg)
Un buen protocolopara tunneling
Fácil configuraciónFácil configuración
Firewall-FriendlyFirewall-Friendly
SeguroSeguro
Debe ser más sencillo de configurar que DCOM
Los puertos deberían ser configurables
Debería autentificar la conexión y encriptar la
información
www.logitek.es · [email protected] · 902 10 32 83
SeguroSeguro
Comandos flexiblesComandos flexibles
Mensajes asíncronosMensajes asíncronos
Fácil diagnósticoFácil diagnóstico
información
Debe soportar recoger cambios de valores en bloque
y lecturas bajo demanda
Debe procesar los comandos de manera eficiente y
no retardar a otros clientes o al servidor
Debe seguir los estándares y tener la capacidad de
ser analizado por herramientas de red
![Page 19: Logitek Comunicación segura OPC_JAI_2014](https://reader034.vdocuments.site/reader034/viewer/2022042615/55a6b6a21a28ab112c8b4858/html5/thumbnails/19.jpg)
Un buen productopara tunneling
Fácil configuración
Múltiples interfaces de clienteMúltiples interfaces de cliente
Soporte a múltiples dispositivosSoporte a múltiples dispositivos
No debería ser tan dificil de configurar como DCOM si lo que quieres es
evitar DCOM
Debe poder insertar en el tunel otros protocolos ademas de OPC-DA
(quizás DDE, SuiteLink, etc.)
Aprovechar si el lado del servidor del tunel es capaz de acceder a los PLC u
otras fuentes de datos
www.logitek.es · [email protected] · 902 10 32 83
EscalableEscalable
Multi-HiloMulti-Hilo
DiagnósticosDiagnósticos
• Rendimiento consistente para pocos o muchos datos
• Capacidad de crear un túnel a múltiples servidores desde una
aplicación
• Opciones de configuración para ajustar el rendimiento
• Capacidad de manejar múltiples conexiones cliente sin degradar el
rendimiento
• Capacidad de manejar conexión a múltiples servidores sin degradar
el rendimiento
Herramientas de diagnóstico en el lado del servidor y del cliente para
resolver los problemas con mayor facilidad
![Page 20: Logitek Comunicación segura OPC_JAI_2014](https://reader034.vdocuments.site/reader034/viewer/2022042615/55a6b6a21a28ab112c8b4858/html5/thumbnails/20.jpg)
Protocolo Seguro
AutenticaciónIntegridadEncriptaciónAutorización
www.logitek.es · [email protected] · 902 10 32 83
AutorizaciónDisponibilidadAuditabilidad
![Page 21: Logitek Comunicación segura OPC_JAI_2014](https://reader034.vdocuments.site/reader034/viewer/2022042615/55a6b6a21a28ab112c8b4858/html5/thumbnails/21.jpg)
OPC-UA
Nueva especificación de OPC Foundationque mejora OPC clásico (IEC-62541)
Integra las especificaciones clásicas (DA, HDA, etc.)
www.logitek.es · [email protected] · 902 10 32 83
etc.)Independiente de la plataforma (S.O)Permite el uso de estructurasSeguridad nativa
![Page 22: Logitek Comunicación segura OPC_JAI_2014](https://reader034.vdocuments.site/reader034/viewer/2022042615/55a6b6a21a28ab112c8b4858/html5/thumbnails/22.jpg)
Seguridad en OPC-UA
Autenticación y autorización (Certificados X.509)
Public Key Infrastructure – PKI
Encriptación
www.logitek.es · [email protected] · 902 10 32 83
Claves privadas - AESClaves públicas - RSA
Integridad de datos (Hash - firma digital)SHA-1
Auditabilidad
![Page 23: Logitek Comunicación segura OPC_JAI_2014](https://reader034.vdocuments.site/reader034/viewer/2022042615/55a6b6a21a28ab112c8b4858/html5/thumbnails/23.jpg)
Necesidad de Seguridad
Para tomar las mejores decisiones, la información debe estar disponible a cualquiera, en cualquier lugar y en cualquiermomentoLa información crítica viaja por dominios
www.logitek.es · [email protected] · 902 10 32 83
La información crítica viaja por dominiospúblicosDebemos asegurar que solo lasaplicaciones, dispositivos y usuariosautorizados acceden a la información
![Page 24: Logitek Comunicación segura OPC_JAI_2014](https://reader034.vdocuments.site/reader034/viewer/2022042615/55a6b6a21a28ab112c8b4858/html5/thumbnails/24.jpg)
Objetivos de la Seguridad
Auditabilidad – Permite trazar todas lasacciones realizadas, por quién y cuándoAutenticación – Permite a las partes probarsu identidad como parte de una relación de
www.logitek.es · [email protected] · 902 10 32 83
su identidad como parte de una relación de confianzaAutorización – Marca las restricciones de acceso adecuadas a las partesautenticadas
![Page 25: Logitek Comunicación segura OPC_JAI_2014](https://reader034.vdocuments.site/reader034/viewer/2022042615/55a6b6a21a28ab112c8b4858/html5/thumbnails/25.jpg)
Objetivos de la Seguridad
Disponibilidad – Limita los factores quepueden afectar el tiempo de ejecuciónConfidencialidad – Asegura que la información intercambiada está oculta para
www.logitek.es · [email protected] · 902 10 32 83
información intercambiada está oculta paralas partes no autorizadasIntegridad – Asegura que la informaciónintercambiada no sufre alteraciones
![Page 26: Logitek Comunicación segura OPC_JAI_2014](https://reader034.vdocuments.site/reader034/viewer/2022042615/55a6b6a21a28ab112c8b4858/html5/thumbnails/26.jpg)
Anemazas
Credenciales Comprometidas – Permite a un atacante asumir una identidad válidaEavesdropping – Permite la interceptaciónde información confidencial
www.logitek.es · [email protected] · 902 10 32 83
de información confidencialMalformación de Mensajes – Puede causarque el recepetor del mensaje realice tareasinadecuadas o Denegación de Servicio(DoS)
![Page 27: Logitek Comunicación segura OPC_JAI_2014](https://reader034.vdocuments.site/reader034/viewer/2022042615/55a6b6a21a28ab112c8b4858/html5/thumbnails/27.jpg)
Amenazas
Alteración de Mensajes/Spoofing – Permitela falsificación de mensajes basándose en la documentación del protocoloMessage Flooding - Envío masivo de mensajes a un objetivo para afectar su
www.logitek.es · [email protected] · 902 10 32 83
mensajes a un objetivo para afectar sudisponibilidad (DoS)Repetición de Mensajes – Reenviarmensajes en el futuro para realizar tareasválidas, pero en momento inadecuado
![Page 28: Logitek Comunicación segura OPC_JAI_2014](https://reader034.vdocuments.site/reader034/viewer/2022042615/55a6b6a21a28ab112c8b4858/html5/thumbnails/28.jpg)
Amenazas
Profiling - Un atacante puede utilizar ciertasvulnerabilidades conocidas y publicadasSecuestro de Sesión – Permite a un atacante ponerse en medio de dos partes ya
www.logitek.es · [email protected] · 902 10 32 83
atacante ponerse en medio de dos partes yaidentificadas para coger el control
![Page 29: Logitek Comunicación segura OPC_JAI_2014](https://reader034.vdocuments.site/reader034/viewer/2022042615/55a6b6a21a28ab112c8b4858/html5/thumbnails/29.jpg)
Seguridad en Planta
Cyber Security Management System (CSMS)
Políticas de seguridad en las fronterasRequerimientos de auditabilidad
www.logitek.es · [email protected] · 902 10 32 83
Requerimientos de auditabilidadProcedimientos preventivos y correctivos
![Page 30: Logitek Comunicación segura OPC_JAI_2014](https://reader034.vdocuments.site/reader034/viewer/2022042615/55a6b6a21a28ab112c8b4858/html5/thumbnails/30.jpg)
Seguridad en Planta
Defensa en profundidadMúltiples capas de protección, asumiendo queno existe una solución únicaPuede incluir reglas
www.logitek.es · [email protected] · 902 10 32 83
Puede incluir reglasgenerales IT, firewalls, Sistemas de Prevención/Detección de Intrusos (IDS/IPS), Parches , Sistemas de gestión, …
![Page 31: Logitek Comunicación segura OPC_JAI_2014](https://reader034.vdocuments.site/reader034/viewer/2022042615/55a6b6a21a28ab112c8b4858/html5/thumbnails/31.jpg)
Arquitectura de Seguridad
OPC-UA - Diseño multi capa: Aplicación, Comunicación y Transporte
OPC UA Client OPC UA Server
Application Layer
Application Layer
www.logitek.es · [email protected] · 902 10 32 83
Application Layer • User Authorization • User Authentication
Application Layer • User Authorization • User Authentication
Communication Layer • Confidentiality • Integrity • App Authentication
Communication Layer • Confidentiality • Integrity • App Authentication
Transport Layer
Session
Secure Channel
![Page 32: Logitek Comunicación segura OPC_JAI_2014](https://reader034.vdocuments.site/reader034/viewer/2022042615/55a6b6a21a28ab112c8b4858/html5/thumbnails/32.jpg)
Arquitectura de Seguridad
Capa de aplicaciónManeja la mayoría de la funcionalidad OPC (lecturas, escrituras, …)Gestión para la autenticación y autorización de
www.logitek.es · [email protected] · 902 10 32 83
Gestión para la autenticación y autorización de usuarios a través del concepto de sesión entre aplicación cliente y servidor
![Page 33: Logitek Comunicación segura OPC_JAI_2014](https://reader034.vdocuments.site/reader034/viewer/2022042615/55a6b6a21a28ab112c8b4858/html5/thumbnails/33.jpg)
Arquitectura de Seguridad
Capa de ComunicaciónCanal seguro entre cliente y servidor paraautenticación de aplicaciones, confidencialidade integridad
www.logitek.es · [email protected] · 902 10 32 83
Intercambio de certificados digitales para la autenticación de aplicacionesEncriptación para la confidencialidadFirma de mensajes parala integridad
![Page 34: Logitek Comunicación segura OPC_JAI_2014](https://reader034.vdocuments.site/reader034/viewer/2022042615/55a6b6a21a28ab112c8b4858/html5/thumbnails/34.jpg)
Arquitectura de Seguridad
Capa de TransporteManeja el envío y recepción de los mensajesentre aplicacionesPuede implementar canales seguros
www.logitek.es · [email protected] · 902 10 32 83
Puede implementar canales segurosgestionados por la capa de Comunicación
![Page 35: Logitek Comunicación segura OPC_JAI_2014](https://reader034.vdocuments.site/reader034/viewer/2022042615/55a6b6a21a28ab112c8b4858/html5/thumbnails/35.jpg)
OPC UA: Cómo funciona
Certificado de Instancia de la Aplicación
Certificado digital único X.509 asignado durante la instalaciónPuede ser regenerado
www.logitek.es · [email protected] · 902 10 32 83
Puede ser regeneradoCompuesto por una pareja de claves Pública y PrivadaLas claves varían en longitud(cuanto más larga la clave, mayor es la seguridad)
![Page 36: Logitek Comunicación segura OPC_JAI_2014](https://reader034.vdocuments.site/reader034/viewer/2022042615/55a6b6a21a28ab112c8b4858/html5/thumbnails/36.jpg)
OPC UA: Cómo funciona
Canal SeguroUn cliente se conecta a un servidoren inmediatamente genera un canal seguroRequiere que el cliente y servidorintercambien información segura para
www.logitek.es · [email protected] · 902 10 32 83
intercambien información segura parala posterior comunicaciónSe debe configurar para que cliente y servidor confíen en el certificado del otroEste procedimiento permite la autenticación de la aplicación
![Page 38: Logitek Comunicación segura OPC_JAI_2014](https://reader034.vdocuments.site/reader034/viewer/2022042615/55a6b6a21a28ab112c8b4858/html5/thumbnails/38.jpg)
OPC UA: Cómo funciona
SesiónUn cliente crea una sesión quegestiona el canal seguropreviamente creado
www.logitek.es · [email protected] · 902 10 32 83
Requiere que la identidad del usuario de la aplicación sea conocido por ambas partesProvee al usuario de la autorización(qué puede hacer y qué no)
![Page 39: Logitek Comunicación segura OPC_JAI_2014](https://reader034.vdocuments.site/reader034/viewer/2022042615/55a6b6a21a28ab112c8b4858/html5/thumbnails/39.jpg)
Reducir amenazas
Canal seguro / SesiónProtege contra eavesdroppingProtege contra alteración de mensajes/spoofing
www.logitek.es · [email protected] · 902 10 32 83
mensajes/spoofingProtege contra la detección de credenciales de usuarioTodo mediante el uso de claves Públicas/Privadas, firma digital y encriptación
![Page 40: Logitek Comunicación segura OPC_JAI_2014](https://reader034.vdocuments.site/reader034/viewer/2022042615/55a6b6a21a28ab112c8b4858/html5/thumbnails/40.jpg)
Reducir amenazas
Especificación diseñada para la seguridad
Los clientes están limitados en quéacciones pueden realizar antes de ser autenticadosAcceso a información de seguridad y
www.logitek.es · [email protected] · 902 10 32 83
Acceso a información de seguridad y conexión, la cual es estática y requierepoco procesamientoComportamiento predefinido del servidorante intentos erróneos y repetidos de creación de canales segurosProtege contra message flooding
![Page 41: Logitek Comunicación segura OPC_JAI_2014](https://reader034.vdocuments.site/reader034/viewer/2022042615/55a6b6a21a28ab112c8b4858/html5/thumbnails/41.jpg)
Reducir amenazas
Detalles en los mensajesCada mensaje contiene un ID de sesión, ID de canal seguro, ID de transacción, Fecha y hora y número de secuencia, que no son modificables
www.logitek.es · [email protected] · 902 10 32 83
que no son modificablesLos clientes y servidores deben validarcada mensajeProtege contra la repetición de mensajesProtege contra malformación de mensajes
![Page 42: Logitek Comunicación segura OPC_JAI_2014](https://reader034.vdocuments.site/reader034/viewer/2022042615/55a6b6a21a28ab112c8b4858/html5/thumbnails/42.jpg)
1. Acerca de Logitek y Kepware2. Túneles OPC-UA3. Seguridad en OPC-UA3. Seguridad en OPC-UA4. Túnel seguro con Kepware5. Conclusiones
![Page 43: Logitek Comunicación segura OPC_JAI_2014](https://reader034.vdocuments.site/reader034/viewer/2022042615/55a6b6a21a28ab112c8b4858/html5/thumbnails/43.jpg)
Tunel con KepServerEx
PC: ClienteUA
S.O: Win XPPC: Server1
S.O: Windows 2003
www.logitek.es · [email protected] · 902 10 32 83
1. Instalar KepServerEx en Server1 con el driver del PLC
2. Instalar KepServerEx en ClienteUA con el driver OPC-UA Client
3. Configurar un Endpoint en Server1
4. Configurar OPC-UA Client driver en la máquina cliente
5. Importar en el cliente los tags del servidor
Vídeo
![Page 44: Logitek Comunicación segura OPC_JAI_2014](https://reader034.vdocuments.site/reader034/viewer/2022042615/55a6b6a21a28ab112c8b4858/html5/thumbnails/44.jpg)
1. Acerca de Logitek y Kepware2. Túneles OPC-UA3. Seguridad en OPC-UA3. Seguridad en OPC-UA4. Túnel seguro con Kepware5. Conclusiones
![Page 45: Logitek Comunicación segura OPC_JAI_2014](https://reader034.vdocuments.site/reader034/viewer/2022042615/55a6b6a21a28ab112c8b4858/html5/thumbnails/45.jpg)
Conclusiones
OPC-UA permite la interoperabilidad entre software y hardware de diferentes fabricantesLa interoperabilidad permite el intercambio de información crítica de cualquier sistema de control industrial
www.logitek.es · [email protected] · 902 10 32 83
control industrialPara poder tomar la decisiones adecuadas, se necesita la información inmediata y en cualquier lugar
![Page 46: Logitek Comunicación segura OPC_JAI_2014](https://reader034.vdocuments.site/reader034/viewer/2022042615/55a6b6a21a28ab112c8b4858/html5/thumbnails/46.jpg)
Conclusiones
El envío de datos por dominios públicos debehacerse de forma segura para proteger la auntenticidad, integridad y confidencialidad de la información
www.logitek.es · [email protected] · 902 10 32 83
OPC-UA “toma prestados” principios y técnicashabituales en el mundo IT, los cuales posibilitanel intercambio seguro de información
![Page 47: Logitek Comunicación segura OPC_JAI_2014](https://reader034.vdocuments.site/reader034/viewer/2022042615/55a6b6a21a28ab112c8b4858/html5/thumbnails/47.jpg)
GRACIASGRACIASGRACIASGRACIASPonente:
• D. Héctor García(Industrial Communications Manager, LOGITEK)[email protected]