v en los ataques se notó que los controladores programables son más descuidados con las entidades internas que con las entidades externas.
Las entidades externas son dispositivos inexistentes en las subredes E/S de un controlador programable, pero existen en otras partes en el entorno de manofactura, las entidades internas son redes E/S: EtherNet/IP, PROFINET IO, Modbus TCP, EtherCAT, entre otras, las entidades externas se les llama dispositivos al “Norte” y las entidades internas dispositivos al “Sur”.
Esto quiere decir que los fabricantes implementan mayor seguridad hacia los dispositivos al Norte que a los del Sur, centrándose mas en las redes de E/S, donde pueden surgir ataques a los controladores programables desde una dirección más vulnerable.
ODVA diseñó CIP Security para proteger los controladores y dispositivos programables en redes de E/S de los ataques que se originan en esas redes, A primera vista, los ataques en la red de E/S parecen poco probables, las redes de E/S generalmente no están conectadas a Internet, ¿cuál es el problema? En la práctica, este tipo de ataques no son tan improbables, por ejemplo, los contratistas entran y salen de una instalación, se conectan a redes con computadoras portátiles que pueden verse comprometidas, los empleados no deshabilitan los puertos abiertos en los switches, algunos empleados suelen implicarse en sabotaje, con ello cuentan innumerables formas de ataques para acceder a su red de E/S , CIP Secure Transport está diseñado para aumentar la inmunidad de ataques.
Un principio de diseño fundamental es que no todos los dispositivos en una red EtherNet / IP necesitan el mismo nivel de protección, algunos dispositivos son menos críticos que otros para un sistema de automatización, la protección requerida no es igual, y CIP Secure Transport define dos perfiles de seguridad para ofrecer ese nivel de protección diferente.
El perfil de confidencialidad EtherNet/IP proporciona comunicaciones seguras al requerir autenticación e integridad de datos para todos los mensajes EtherNet/IP, la autenticación verifica que la identidad de un dispositivo EtherNet/IP sea el dispositivo que dice ser y la integridad de los datos significa que se puede confiar datos dentro del mensaje EtherNet/IP siendo precisos y consistentes.
Con el perfil de confidencialidad, cualquier dispositivo que realice conexiones seguras a un controlador o dispositivo programable debe ser autenticado como una entidad autorizada, de lo contrario no pueden hacer una conexión segura.
El componente de integridad de datos del perfil de confidencialidad garantiza que los remitentes y receptores de mensajes EtherNet/IP tengan datos válidos y ayuda a evitar que un dispositivo no autorizado dañe los mensajes de EtherNet/IP.
El perfil de autorización EtherNet/IP va más allá del perfil de confidencialidad, proporciona autenticación de usuario y para realizar acciones en una aplicación se necesita de autorizaciones al ejecutarlas, el perfil de autorización EtherNet/IP no forma parte actualmente de la Seguridad CIP , y la descripción de la implementación del proceso no estará disponible por un tiempo.
Conoce más sobre los productos que manejamos en Logicbus con el protocolo EtherNet/IP by Logicbus
Los artículos futuros de esta serie de blogs analizarán cómo se implementan la autenticación, la integridad y la confidencialidad de los mensajes EtherNet/IP .
Publicado originalmente por JOHN S RINALDO