Retos y Soluciones en

Arquitecturas de Telecontrol

en Internet

Xavier Cardeña

Xavier.cardena@logitek.es

Red de Control

Internet

Zona de Control

¿Es la cloud para mí?

¿Sensación de pérdida de control?

¿Seguridad?

Recomendaciones

1. Usar VPNs o Secure Sockets Layer (SSL), para encriptar

desde origen a destino

2. Usar protocolos estandar y seguros (DNP3 Secure, OPC

UA)

3. Aplicar estándares de seguridad, por ejemplo IEC62443,

estrategias de defensa en profundidad: habilitar un

sistema de gestión y control de accesos (passwords,

firewalls, diodos de datos, etc…).

4. Soluciones de control redundantes.

5. Firmar buenos acuerdos con el proveedor de cloud,

entender los acuerdos de niveles de servicio (ver

programa STAR de la CSA Security)

Internet

1. Acceso Fácil y Seguro con OpenVPN

OpenVPN: Descripción

Open VPN es una red privada virtual basada en código abierto que

permite crear túneles encriptados entre hosts, tanto en configuraciones

punto a punto como en configuraciones multi punto a servidor.

Basado en Open SSL.

Una red VPN puede atravesar el NAT del Router y los Firewalls. Proporciona

3 métodos de autentificación:

– Certificado RSA

– Llave pre compartida SSL/TLS

– Nombre de Usuario y Password

OpenVPN: Ventajas

Seguridad

Todo el tráfico de entrada y salida del Router está encriptado.

Red Común

Todos los participantes pueden compartir la misma subred, con lo que es más fácil administrar la red

Reduce los costes y tiempo de mantenimiento

Si tenemos varios Router en la misma red, es posible ahorrar tiempo y

dinero al reducir el esfuerzo requerido a mantenerlos.

Uso de SIM

Los Clientes VPN pueden tener IPs dinámicas , estáticas, públicas o

privadas

OpenVPN

Cliente VPN en RTU.

Servidor VPN en Servidor PC / Mac /

Solaris/Android….

Internet

client

client

client

client

Server

OpenVPN

Cliente VPN en RTU.

Servidor VPN en RTU

Internet

client

client

client

client

Server

OpenVPN

Cliente VPN en RTU.

Servidor VPN en RTU

Internet

client

client

client

client

Server

OpenVPN

Cliente VPN en RTU.

Servidor VPN en Cloud

Internet

client

client

client

client

Server https

https

https

Portal de Gestión de Red

WAN/

Internet

Móvil

Red

Ethernet

Ethernet

VPN

OPEN VPN Client

2. Usar protocolos estandar y seguros (DNP3 Secure, OPC UA)

Internet

Características DNP3

Gestión por excepción y estampación fecha/hora en origen

• Disminuye tráfico de comunicaciones

• Ahorro energético

• Información en el momento

Almacenamiento Históricos y sincronización horaria

• Alta disponibilidad de los datos, incluso tras perdidas de comunicación.

Interoperabilidad entre fabricantes

• Estándar abierto independiente de fabricantes.

Orientado a la conexión

• Confirmación en las capas de datos y de aplicación

Flexible en arquitecturas

DNP3 Secure: Comunicaciones Industriales Seguras

IEC 62351 Parte 1: Retos

Mapeado de los estándares de comunicaciones TC57 a los

estándares de seguridad IEC 62351

IEC 62351 parte 2: Glosario

IEC 62351 parte 3: Profiles Incluyendo TCP/IP

IEC 62351 parte 4: Profiles Incluyendo MMS

IEC 62351 parte 5: IEC 60870-5 & derivados

IEC 62351 parte 6: IEC 61850

IEC 60870-6 TASE.2

IEC 60870-5-104 & DNP3

IEC 60870-5-101 & DNP Serie

IEC 61850 GOOSE, GSE, SMV

IEC 61850 sobre MMS

IEC

62

35

1 p

arte

7: M

IBs p

ara

gestió

n d

e re

des

* Diagrama por IEC TC57 WG15

2. Arquitecturas flexibles y escalables usando estándares

Internet

Integrar con OPC UA

Plataforma de comunicaciones estándar

Seguridad Firewall friendly

Autenticación

Autorización

Confidencialidad

Integridad

Auditabilidad

Disponibilidad

Independencia de S.O.

Integra todas las funcionalidades OPC

3. Protección

Internet

Firewall integrado en el equipo

Soporte de SSL , HTTPS

Inhabilitación de servicios y

conexiones

Fuertes controles de acceso

(passwords)

Fácilmente Parcheables (y a tiempo)

Soporte snmp para eventos

Internet

4. Soluciones de Control redundantes

4. Soluciones de Control redundantes

Internet

Por último….IoT con Redes Sigfox

Internet

IoT

Por último….IoT con Redes Sigfox

SigFox es una red celular independiente de banda ultra estrecha y de baja

velocidad para pequeños mensajes de muy bajo consumo y con capacidad

para conectar millones de dispositivo

Ideal para monitorizar puntos aislados

Muy bajo consumo eléctrico (300 veces menor que 3G)

Fácil instalación y configuración. No requiere desarrollar infraestructura

privada

No requiere pasarelas (directo del sensor a la cloud)

Muy bajo coste de uso (entre 5 y 20 € dispositivo/año)

Largo alcance

Sistema escalable

Por último….IoT con Redes Sigfox

Panel demo en sala expo

Demo remotas DNP3/OPC/VPN

Demo Sigfox a portal web

Enlace SCADA Wonderware OPC DNP3

RTUs de última generación

T 902 10 32 83

Xavier.cardena@logitek.es

Muchas Gracias