Autenticación y Autorización, protegiendo proyectos. Parte I.

Hablaba en mi entrada “Autenticación y Autorización, conceptos básicos”, conceptos básicos” sobre la necesidad de aplicar controles de acceso en equipos, componentes, sistemas para garantizar que sólo aquél o aquello deba poder acceder o conectarse. Siempre de manera legítima.

Ahora bien, ¿cómo los podemos aplicar en materia de Ciberseguridad Industrial? ¿Sobre qué ámbito, escenario o circunstancia? ¿con el fin de proteger, qué? Veamos algún ejemplo.

Los entornos industriales son muy heterogéneos y muy especializados con lo que se requiere profesionales con conocimiento y experiencia sobre distintos ámbitos. No es lo mismo el que debe programar las trayectorias que debe seguir un robot para realizar un movimiento donde hablaremos de velocidades, precisión de trayectoria, cinemática directa, inversa, posición de reposo, etc. A otro que va a programar un autómata donde hablaremos de contactos normalmente abiertos, normalmente cerrados, marcas, contadores, temporizadores, palabra, doble palabra, etc. O incluso un “logic solver” para controlar las seguridades de una máquina por medio de cortinas, apertura de puertas, sensores de proximidad, pulsadores de emergencia.

Por ello es que el mismo equipo pueda contener distinto tipo de software, del mismo o distintos fabricantes, y que sea utilizado por distintas personas o técnicos que puedan abrir los proyectos por ejemplo de TIA Portal, Sysmac Studio, etc.

Lo que vamos a ver a continuación es la posibilidad de limitar los accesos a estos proyectos para evitar que sean modificados, accidental o intencionadamente y que al ser descargados, por ejemplo, sobre la CPU del un PLC.

Aunque se ejemplarice con el software TIA Portal v16, no pretende ser un manual de éste sino la funcionalidad que debemos buscar en cada fabricante y en los productos de éste, Sea SIEMENS, Phoenix Contact, Beckhoff, Mitsubishi, Snchneider Electric, o cualquier otro.

A continuación, vamos a crear un proyecto para la CPU del PLC de la serie S7-1200 con las características que se indican.

Una vez que hayamos accedido podemos encontrar la opción “Configuración de Seguridad” en donde localizamos la posibilidad de proteger el proyecto. Una vez apliquemos esta opción se nos habilitarán otro conjunto de opciones relacionadas con la seguridad.

Allí deberemos de indicar un usuario. Un usuario que inicialmente tendrá los máximos privilegios, es decir, editar los bloques de programa, crear otros usuarios, etc. Y así poder tener acceso completo al proyecto en sí. En nuestro caso “eng01”.

 

Cabe mencionar la posibilidad de establecer requisitos mínimos de la contraseña que cada usuario vaya a utilizar y así aportar mayor complejidad o reducir la posibilidad de su obtención. Estaría definiendo la “Autenticación”.

Luego cada usuario se asignará a un grupo, el cual tendrá unos derechos asignados. Es decir en función de en qué grupo incluyamos el usuario, éste podrá hacer tal o cual cosa. En nuestro caso el usuario “eng01” se incluirá en “Engineering Administrator” que como vemos tiene los máximos privilegios, pudiendo editar el programa del PLC, crear más usuarios, cambio de nombre, IPS, etc. Etc. En este caso estaríamos configurando la “Autorización”.

Hay que tener presente que estas opciones no tienen porqué estar presente en todas las versiones tanto de hardware, firmware o software de programación. Si intentamos hacer lo mismo con versión TIA Porta v11 con un hardware similar pero no igual, con diferente versión firmware, no encontraremos esa posibilidad.

Esto nos da una idea de cómo los fabricantes cada vez más están introduciendo distintos tipos de medidas para restringir los accesos, comunicaciones, permisos, etc. Y por tanto la necesidad aplicar medidas en este sentido.

Hasta aquí la entrada de hoy, en la siguiente seguiremos con ello.

Un saludo!!!

1 comentario en “Autenticación y Autorización, protegiendo proyectos. Parte I.

  1. Pingback: Enredando con redes ...Autenticación y Autorización, protegiendo proyectos. Parte II.Enredando con redes …

Deja un comentarioCancelar respuesta