Son muchos los factores que intervienen en posibilidad de sufrir un incidente de seguridad en un entorno industrial. Las vulnerabilidades no sólo afectan a cuestiones técnicas sino también en cuanto a organización, arquitectura en componentes, políticas, procedimientos, etc.
Uno de los más importantes es el progresivo aumento en el grado de exposición de sistemas y componentes a través de su conexión a redes. Los motivos y propósitos pueden ser muy variados, desde la recogida de datos para mejora de coeficiente OEE, telemetría, diagnosis, soporte remoto, envío de programas y recetas, entre muchos otros.
Sin embargo, muchos de ellos no disponen de conexiones Ethernet tal y como conocemos en redes IT. Las comunicaciones serie RS-485, RS-232 están muy muy extendidas y seguirán estando. La migración a aquéllas supone una inversión de recursos que pueden ir desde el despliegue de nuevo cableado, nuevos módulos de comunicaciones, ajuste de programas en controladores, cambio de hardware, etc. que pueden hacerlo inviable o no ser razón suficiente para ello.
Para su integración se pueden emplear las denominadas pasarelas en los que nos permitirán la integración de una a otra. Es decir, por un lado, tenemos una conexión serie y, en la otra, Ethernet, tal y como e muestra en las imágenes siguientes.
Estos dispositivos a menudo pasar desapercibidos, pero también deben ser foco de atención desde el punto de vista de la Seguridad ya que un simple cambio en la dirección IP, valores en la comunicación serie, borrado de configuración, podría dejar sin comunicación al equipo final.
Por ello aspectos tan básicos como la asignación de una contraseña, cambiar la que viene por defecto, o restringir su acceso mediante los cortafuegos perimetrales son tareas a realizar de manera obligada. También, según modelos, la definición de una ACL, Lista de Control de Acceso en la indiquemos desde qué direcciones IP podremos conectarnos y hacer cambios.
No obstante, estos dispositivos cuentan con alguna otra funcionalidad que también conviene mencionar. Como sabemos resulta necesario ejercer una monitorización de nuestros dispositivos y componentes, y una de las maneras es el envío eventos como puede ser por Syslog o SNMP. A partir de la recepción del log en cuestión podremos habilitar o desencadenar otras acciones o al menos ser consciente de la ocurrencia del hecho.
Así pues, en este caso en concreto la pasarela nos permitirá hacerlo bien por SNMP o envío de correo electrónico, para lo cual deberemos proporcionar los valores oportunos.
Claro está otra de las recomendaciones es emplear estos recursos a través de versiones seguras, es decir, SNMPv3 en lugar de SNMPv1, SNMPv2c, sin embargo, esto no siempre estará disponible. Todo dependerá de lo nuevo o viejo del equipo o versión de firmware si es que a través de una actualización se puede conseguir tales versiones seguras.
Finalmente habrá que definir sobre qué eventos querremos ser informados y sobre qué medio, correo o Trap de SNMP.
Las pasarelas juegan un papel muy importante cara integrar equipos con comunicaciones serie en redes Ethernet. Sin embargo, también debemos de cuidar su acceso ya que de ganarse, bien por una mala configuración, una vulnerabilidad, un permiso excesivo, la falta de asignación de contraseñas, etc. algo o alguien podría efectuar un cambio y dejarnos sin conectividad. Y claro, hecho esto, un posible impacto en las operaciones de aquello que esté detrás, una máquina, un Centro de Transformación, un controlador numérico o cualquier otro componentes o sistema.
Así pues, no las dejemos de lado y dediquémosles la atención que merecen.
Un saludo!