Scribd Logo
Upload

Welcome to Scribd!

  • Características y Seguridad en PROFINET - CERTSI

    Uploaded by

    Anonymous dQZRlcoLdh
    237 views6 pages
    profinet

    Original Title

    Características y Seguridad en PROFINET _ CERTSI

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document
    profinet

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    237 views6 pages

    Características y Seguridad en PROFINET - CERTSI

    Uploaded by

    Anonymous dQZRlcoLdh
    profinet

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 6

    21/11/2017 Caractersticas y seguridad en PROFINET | CERTSI

    Inicio (/) / Blog (/blog) / Caractersticas y seguridad en PROFINET

    Caractersticas y seguridad en PROFINET (/blog/caracteristicas-y-seguridad-


    pro net)
    Publicado el 16/02/2017, por INCIBE

    PROFINET es el estndar abierto de Ethernet Industrial de la asociacin PROFIBUS Internacional (http://www.pro bus.com/) (PI) segn IEC 61784-2
    (https://webstore.iec.ch/publication/5879) (Communication Pro le Family 3 (PROFIBUS & PROFINET) RTE communication pro les); y uno de los
    estndares de comunicacin ms utilizados en redes de automatizacin.

    Pro net est basado en Ethernet Industrial, TCP/IP y algunos estndares de comunicacin pertenecientes al mundo TI. Entre sus caractersticas
    destaca que es Ethernet en tiempo real, donde los dispositivos que se comunican por el bus de campo acuerdan cooperar en el procesamiento de
    solicitudes que se realizan dentro del bus.

    Partiendo de una conectividad bsica, como es el cable Ethernet, y unas tramas de comunicaciones establecidas que correspondera a los niveles 1
    y 2 del modelo OSI, PROFINET va incorporando nuevas funcionalidades denominadas per les de utilidad como Pro Safe o Pro Energy, mediante
    una interpretacin espec ca para cada caso de los datos transmitidos, modi cando el nivel 7 (de aplicacin). En el caso de Pro safe, se transmiten
    datos de seguridad (safety), y en el caso de Pro Energy, datos y comandos para el ahorro y control energtico.

    Con PROFINET es posible conectar dispositivos, sistemas y celdas (conjuntos de dispositivos aislados entre s), mejorando tanto la velocidad como
    la seguridad de sus comunicaciones, reduciendo costes y optimizando la produccin. Por sus caractersticas, PROFINET permite la compatibilidad
    con comunicaciones Ethernet ms propias de entornos TI, aprovechando todas las caractersticas de stas, salvo la diferencia de velocidad que
    posee una comunicacin Ethernet situada en una red corporativa frente al rendimiento en tiempo real que necesita una red industrial.

    Adicionalmente el uso del estndar PROFINET en el nivel E/S pueden proporcionar las siguientes ventajas:

    Mejora la escalabilidad en las infraestructuras.


    Acceso a los dispositivos de campo a travs de la red. PROFINET al ser un protocolo que utiliza Ethernet en su comunicacin facilita acceder a
    dispositivos de campo desde otras redes de una forma ms fcil.
    Ejecucin de tareas de mantenimiento y prestacin de servicio desde cualquier lugar. Es posible acceder a dispositivos de campo mediante
    conexiones seguras como por ejemplo VPN para realizar mantenimientos remotos.

    Comunicacin PROFINET
    PROFINET utiliza 3 servicios de comunicacin:

    Standard TCP/IP: Este servicio se utiliza para funciones no deterministas, como parametrizacin, transmisiones de vdeo/audio y transferencia
    de datos a sistemas TI de nivel superior.
    Real Time: Las capas TCP/IP no son utilizadas para dar un rendimiento determinista a las aplicaciones de automatizacin, funcionando con
    unos tiempos de retardo en el rango 1-10ms. Este hecho representa una solucin basada en software adecuada para aplicaciones tpicas de
    E/S, incluyendo control de movimiento y requisitos de alto rendimiento.

    https://www.certsi.es/blog/caracteristicas-y-seguridad-profinet 1/6
    21/11/2017 Caractersticas y seguridad en PROFINET | CERTSI

    Isochronous Real Time: La priorizacin de seal y la conmutacin programada proporcionan una sincronizacin de alta precisin para
    aplicaciones como el control de movimiento. Las velocidades de ciclo en rangos de sub-milisegundos son posibles, con jitter (variabilidad
    temporal durante el envo de seales digitales) en el rango de sub-microsegundos.

    Existen varios protocolos de nidos dentro del contexto PROFINET. Una lista de estos protocolos junto con su uso concreto es la siguiente:

    PROFINET/CBA: Protocolo asociado a las aplicaciones de automatizacin distribuida en entornos industriales.


    PROFINET/DCP: Descubrimiento y con guracin bsica. Es un protocolo basado en la capa de enlace, utilizado para con gurar nombres de
    dispositivos y direcciones IP. Se restringe a una red y se usa principalmente en aplicaciones pequeas o medianas que no disponen de un
    servidor DHCP.
    PROFINET/IO: A veces llamado PROFINET-RT (RealTime), es utilizado para comunicaciones con periferias descentralizadas.
    PROFINET/MRP: Protocolo utilizado para la redundancia de medios. Utiliza los principios bsicos para la reestructuracin de las redes en caso
    de sufrir un fallo cuando la red posee una topologa en anillo. Este tipo de protocolo es utilizado en redes en las que la disponibilidad ha de ser
    mxima.
    PROFINET/MRRT: Su objetivo es dar soluciones a la redundancia de medios para PROFINET/RT.
    PROFINET/PTCP: Protocolo de Control de Precisin de Tiempo basado en la capa de enlace, para sincronizar seales de reloj/tiempo en varios
    PLC.
    PROFINET/RT: Transferencia de datos en tiempo real.
    PROFINET/IRT: Transferencia de datos iscrono en tiempo real.

    Seguridad
    La accesibilidad proporcionada por PROFINET lo hace un protocolo muy expuesto a Internet, por lo que es necesario mejorar la ciberseguridad de
    las redes en las que se despliega.

    Algunas de las buenas prcticas para asegurar entornos industriales que usan PROFINET aparecen re ejadas en el documento PROFINET Security
    Guideline (http://www.controlspecialists.co.uk/downloads_pdf/11789_PROFINET_Security_7002_V20_Nov13.pdf) publicado por PROFIBUS
    Internacional (http://www.pro bus.com/) o en el documento de Protocolos y seguridad de red en infraestructuras SCI
    (https://www.incibe.es/extfrontinteco/img/File/intecocert/ManualesGuias/incibe_protocolos_seguridad_red_sci.pdf) publicado por INCIBE:

    Proteccin frente a errores, funcionamientos incorrectos y manejo adecuado de los incidentes que puedan originarse con procedimientos
    previamente creados.
    Prevencin frente a accesos no autorizados que podran producir manipulaciones en la red o espionaje.

    https://www.certsi.es/blog/caracteristicas-y-seguridad-profinet 2/6
    21/11/2017 Caractersticas y seguridad en PROFINET | CERTSI
    Uso de estndares y dispositivos de seguridad probados y certi cados (Cortafuegos, VPN, IDS/IPS, etc.).
    Medidas en la infraestructura de red. Las arquitecturas de redes planas simpli can y facilitan la comunicacin entre sistemas y dispositivos. Sin
    embargo, stas presentan un reto para mantener la disponibilidad, estabilidad y seguridad de la red, ya que un atacante con acceso a la red
    podra acceder a todos los nodos. La segmentacin de red con uso de VLAN, router, cortafuegos, etc. contribuye de manera signi cativa a
    mitigar estos problemas.

    - Posible uso de VLAN para asegurar una red con Pro net -

    Proteccin de los dispositivos nales. Gracias a la desactivacin selectiva de servicios, desinstalacin de aplicaciones innecesarias o
    modi cacin de contraseas por defecto, podemos asegurar los dispositivos nales presentes en una red industrial minimizando puntos
    dbiles y brechas de seguridad.

    Estos puntos suponen algunas de las claves necesarias a implementar para poder conservar la integridad de una red PROFINET sin presentar
    restricciones a los empleados que necesitan acceso y as aprovechar todo el potencial del estndar.

    Anlisis de tr co con Wireshark


    Para profundizar en el estudio del estndar, se ha analizado una trama de red de este tipo de comunicaciones. Los datos recopilados son los
    siguientes:

    PROFINET/DCP (Discovery and Con guration Protocol)

    Se trata de un protocolo del contexto PROFINET que tiene 2 funciones principales:

    1. Utilizado por el Supervisor (PC) para asignar un nombre nico a un dispositivo (estacin).
    2. Utilizado por el controlador (CPU) para asignar una direccin IP nica a un dispositivo (cmo se de ne en la con guracin de hardware) en
    conjuncin con las peticiones ARP.

    Tras realizar un ltrado para ver slo los paquetes pertenecientes al estndar PROFINET, se observa que se est realizando un proceso para
    establecer la conexin entre 2 dispositivos.Las fases que se producen son las siguientes:

    https://www.certsi.es/blog/caracteristicas-y-seguridad-profinet 3/6
    21/11/2017 Caractersticas y seguridad en PROFINET | CERTSI

    Asignacin de nombres a los dispositivos

    El primer elemento de la trama analizada consiste en la asignacin de nombres a los dispositivos. Estos nombres pueden con gurarse
    manualmente, antes de conectarlos a la red o automticamente al encenderlos (previamente conectados a la red). En este ejemplo, tanto la
    asignacin de los nombres como la de las IP, utilizan PROFINET-DCP.

    Para la conexin de una periferia distribuida a un PLC utilizando PROFINET, aparte de las especi caciones propias del protocolo para el
    intercambio de datos, el dispositivo tambin responder a mensajes de otros protocolos basados en Ethernet y necesarios para su con guracin
    como por ejemplo ARP (Address Resolution Protocol), LLDP (Link Layer Discovery Protocol), SNMP (Single Network Management Protocol) del
    mismo modo que responden a un ping.

    Como se ha podido leer a lo largo del artculo, PROFINET es un protocolo que proporciona grandes ventajas con respecto a la disponibilidad de las
    comunicaciones en entornos industriales, pero dadas sus caractersticas utilizando Ethernet la exposicin que tienen los sistemas con PROFINET
    es elevado y por ello es necesaria una buena segmentacin de red adems del uso de buenas prcticas.

    Etiquetas: Buenas prcticas (/blog/ ltro/buenas-practicas) Industria (/blog/ ltro/industria)


    Sistemas de control industrial (/blog/ ltro/sistemas-control-industrial)

    (http://www.facebook.com/sharer.php?u=https%3A//www.certsi.es/blog/caracteristicas-y-
    seguridad-profinet&t=Caracter%C3%ADsticas%20y%20seguridad%20en%20PROFINET)
    (http://twitter.com/share?url=https%3A//www.certsi.es/blog/caracteristicas-y-seguridad-
    profinet&text=Caracter%C3%ADsticas%20y%20seguridad%20en%20PROFINET)
    (https://plus.google.com/share?url=https%3A//www.certsi.es/blog/caracteristicas-y-seguridad-
    profinet)
    Ir atrs

    https://www.certsi.es/blog/caracteristicas-y-seguridad-profinet 4/6
    21/11/2017 Caractersticas y seguridad en PROFINET | CERTSI

    ltimas entradas
    Diseo y con guracin de IPS, IDS y SIEM en Sistemas de Control Industrial (/blog/diseno-y-con guracion-ips-ids-y-siem-
    sistemas-control-industrial)
    Publicado el 09/11/2017, por INCIBE
    Los IDS, IPS y SIEM son equipamientos originalmente diseador para entornos TI pero cuya adaptacin a los entornos TO se ha visto obligada en
    los ltimos aos debido a una proliferacin de los...

    Cmo evaluar mi nivel de capacidades en ciberseguridad segn C4V (/blog/evaluar-mi-nivel-capacidades-ciberseguridad-


    segun-c4v)
    Publicado el 03/11/2017, por INCIBE
    Despus de haber analizado el porqu de un modelo de evaluacin de capacidades de ciberseguridad en la primera entrada de esta serie
    dedicada al modelo C4V y de haber explicado cmo llevar a cabo una...

    Los conocimientos del personal de seguridad industrial (/blog/los-conocimientos-del-personal-seguridad-industrial)


    Publicado el 18/10/2017, por INCIBE
    La industria demanda cada vez ms expertos en seguridad, y el mundo empresarial no es capaz de atajar la demanda por la falta de profesionales
    capacitados. Este no es un problema que afecte solo a...

    Ciberseguridad en las Comunicaciones Inalmbricas en Entornos Industriales (/blog/ciberseguridad-las-comunicaciones-


    inalambricas-entornos-industriales)
    Publicado el 28/09/2017, por INCIBE
    Las tecnologas inalmbricas estn cobrando ms y ms protagonismo en todos los mbitos, incluido el industrial, que se ve in uenciado por la
    inercia del resto de mbitos donde el uso de...

    SNMP Es tan Simple como el nombre indica? (/blog/snmp-tan-simple-el-nombre-indica)


    Publicado el 14/09/2017, por INCIBE
    El protocolo SNMP, usado en la mayora de los dispositivos industriales, ha pasado de un protocolo de intercambio de informacin referente a la
    con guracin de los dispositivos, a un verdadero...

    (https://www.cert.org/) (https://www.incibe.es/sites/default/ les/certi cado_ens_incibe_26102017.pdf)

    (https://www.incibe.es/sites/default/ les/certi cado_aenor_sgsi_27001.pdf)

    (https://www.incibe.es/sites/default/ les/certi cado_aenor_9001.pdf)

    (http://minetad.gob.es)

    (https://www.incibe.es/)

    (http://www.interior.gob.es/)

    (http://cnpic.es/)

    Contacto (https://www.incibe.es/contacto)

    Suscripciones (/suscripciones)

    Poltica de cookies (https://www.incibe.es/aviso-legal#cookies)

    Aviso legal (https://www.incibe.es/aviso-legal)

    Sguenos en:

    (http://twitter.com/certsi_) (http://www.youtube.com/user/intecocert)

    https://www.certsi.es/blog/caracteristicas-y-seguridad-profinet 5/6
    21/11/2017 Caractersticas y seguridad en PROFINET | CERTSI

    https://www.certsi.es/blog/caracteristicas-y-seguridad-profinet 6/6

    You might also like