Los beneficios de un OPC Clásico

Invensys Operations Management
InTech México Automatización,
Edición Octubre – Diciembre 2010.

La razón por la que el OPC es tan popular es simple: es la única interfaz universal para la comunicación con diversos dispositivos y aplicaciones industriales, independientemente del software o protocolo de comunicación.

INTRODUCCIÓN

El funcionamiento seguro y confiable de las implementaciones de un OPC clásico vale la pena. No hay un estándar único de comunicación industrial que haya logrado una aceptación generalizada para las diversas industrias y fabricantes de equipos. El antes conocido OLE para control de procesos y ahora conocido oficialmente como OPC Clásico, es un estándar que interconecta una gran variedad de sistemas industriales y de negocios, que van desde la interface hombre máquina (HMl), estaciones de trabajo, sistemas instrumentados de seguridad (SIS) y sistemas de control distribuido (DCS) en la planta hasta bases de datos, sistemas ERP y software orientado a los negocios en el mundo corporativo.

Antes del OPC, fue necesaria la creación de controladores específicos de comunicaciones para cada uno de los cientos de sistemas de control o dispositivos que se buscaba conectar. Sin embargo con el OPC, es posible concentrarse en un controlador OPC optimizado, que permite la conexión a cualquier servidor OPC, independientemente de lo que el fabricante o controlador suministre.

Esto liberó a los usuarios finales de tener que tratar con la arquitectura interna del dispositivo de control. La Integración de los equipos permite trabajar con elementos (o grupos de elementos) en lugar de números de registro y tipo de datos.

Esto simplifica la adición o el cambio de los sistemas de control, por ejemplo, facilitando la migración de un protocolo de un propietario a uno basado en Ethernet. La configuración de un OPC es sencilla por las siguientes razones:

  • No requiere asignación intermedia de los datos que se desean mantener.
  • Proporciona la información, el formato y sintaxis original.
  • Proporciona un navegador universal para facilitar la información.
  • La capacidad de nombrar partidas específicas (tales como 40020 o N7:2) reduce la posibilidad de que ocurra un error humano durante el diseño, configuración y operación.

Comparando las tecnologías tradicionales de comunicación, muchos ingenieros encontraron que al emplear un OPC se ahorra tiempo considerable en la configuración y operación. Actualmente es raro encontrar una instalación industrial cuyo sistema de integración no esté basado en un OPC.

La vulnerabilidad del OPC

Mientras que los fabricantes del sistema de control, integradores y usuarios finales eran felices con el desarrollo del OPC en sus plantas y fábricas, investigadores de seguridad y la comunidad hacker- notaron “las serpientes en el jardín del Edén”: La primera cita en la prensa fue que los protocolos subyacentes del OPC clásico (DCOM Y RPC1) pueden ser vulnerables a los ataques de virus y gusanos. Informes como el siguiente indicaban que las amenazas eran reales: “En los últimos meses, los dos tipos de ataque que vimos fueron en contra del DCOM (Distributed Component Object Model) de Windows, de la interfaz RPC (Remote Procedure Call) de servicio…

Estas parecen ser actualmente las favoritas para los creadores de virus y gusanos y creemos que la tendencia continuará. Más grave aún, el RCP y el protocolo DCOM fueron diseñados antes de que las cuestiones de seguridad se entendieran ampliamente y en consecuencia, asegurar un OPC con firewalls convencionales resulta casi imposible.

A diferencia de la mayoría de las aplicaciones en red, los servidores OPC asignan dinámicamente los puertos TCP a cada proceso ejecutable de los clientes y a los objetos de los mismos.

Entonces los clientes de OPC descubren los puertos asociados a cada objeto mediante la conexión al servidor y preguntando qué puerto puede utilizar. El hecho de que el OPC pueda asignar libremente los puertos 1024 Y 65535 pueden hacer que el firewall sea poco amigable. La configuración de un firewall implica dejar varios puertos abiertos, constituyendo así un problema de seguridad grave e inaceptable en la práctica.

La búsqueda de un OPC clásico seguro

Inicialmente las soluciones de seguridad giraban en torno de la mejoras al DCOM que Microsoft incluyera en Windows y Windows Server XP/SP2 2003/SP1, pero esto llegó a ser insuficiente.

En 2006, por ejemplo, un equipo de investigación de Kraft Foods Inc. y el departamento de Seguridad de Estados Unidos, descubrieron que pocos ingenieros podrían implementar las mejoras: “Nuestra investigación indica que el problema más grave no son los protocolos, más la implementación de aplicaciones ha demostrado ser un desafío para la mayoría de los ingenieros y técnicos. Si bien el OPC es un protocolo abierto a las especificaciones disponibles, los ingenieros deben abrirse paso a través de una gran cantidad de información detallada para responder cuestiones de seguridad que pueden ser básicas.

Hay poca orientación sobre la seguridad del OPC y nuestra investigación indica que la mayor parte de la información disponible es incorrecta o inservible”. Este estudio dejó tres documentos de “prácticas recomendadas”; en ellos se describen los pasos para mejorar el sistema OPC.

Estos están disponibles para los operadores de sistemas críticos de SCADA en el http://csrp.inl.gov/ del US-CERT Sistemas de control de sitio y en http://www.tofinosecurity.com/articles/professionaI/white-papers.

Figura 2. A Secure OPC Network for Safety Systems

Casi por el mismo tiempo, productos de terceros que salieron al mercado solucionaron el problema de puerto múltiple mediante un túnel OPC/DCOM. Aunque estos productos hicieron más sencilla la vida del administrador de sistemas, no está claro que hayan mejorado la seguridad. Estos diseños también requieren de un ordenador personal intermediario (PC) para administrar el túnel. Esto agregó costos a largo plazo pues las PC’s necesitan mantenimiento y actualizaciones de antivirus continuas.

En 2008, Byres Security Inc. propuso una alter nativa para la solución del problema de seguridad del OPC, basado en la administración del firewall del OPC modificando los registros de base del servidor de Windows conforme al juego de reglas de Tofino Industrial Firewall. Esta solución fue por lo general efectiva, pero hizo más compleja la configuración del sistema y no funcionó muy bien con algunos productos del OPC Finalmente … Seguridad simple y rentable para un OPC.

Mientras que las soluciones como el tunelaje y driven-solutions ciertamente tienen su lugar, estas no son suficientes para asegurar las aplicaciones criticas actuales.Los usuarios de OPC necesitan herramientas más sencillas y robustas. En 2008, reconociendo las necesidades del cliente para una mayor interoperabilidad de los sistemas de seguridad Triconex, Invensys Operations Managenent comenzó a incluir servidores OPC directamente dentro de sus módulos de comunicación Tricon” (TCM).Lo anterior elimina la necesidad de una PC intermediaria para suministrar los servicios de OPC.

También permitió la creación de la capacidad de control de acceso de sólo lectura cliente-cliente, algo poco común en sistema OPC En 2009, para asegurar una mayor seguridad en la inserción de los servidores, Invensys se unió con Byres Security para crear un firewall de alta seguridad que ya está disponible con el Triconex TCM con la solución integrada del OPC.

La combinación del Triconex TCM con el Firewall de Triconex Tofino direccionado a una gran variedad de cuestiones de seguridad de los OPC,  ofrece varias capas de defensa:

  1. Un firewall cerrado y un seguimiento automático para todos los puertos TCP asignados por los servidores OPC para las conexiones DA y A&E, abriendo adinámicamente a continuación los puertos en el servidor de seguridad solo cuando sea necesario y solo entre los pares client/server adecuados.
  2. Built-in OPC sanity checking blocks OPC session requests not conforming to the DCElRPC standard, preventing many common malware attacks.
  3. los filtros predefinidos Anti-Dos administran los niveles de tráfico, de modo que las tormentas de tráfico no impacten la seguridad del sistema.
  4. las funciones de control de acceso read/write en el TCM permiten el bloque completo de lo que los dispositivos pueden leer o escribir en el sistema de seguridad.

El usuario final sin experiencia o capacitación en seguridad en la red puede implementar todas las funciones de seguridad de última generación con facilidad. El firewall es preconfigurado desde la fabrica de Trinconex para que pueda operar en las instalaciones de Triconex sin ajuste. Los usuarios simplemente se conectan a la línea de control de la red y puerto de Ethernet en el Triconex Communications Module como se muestra en la Figura 2.

La instalación del firewall es muy sencilla. una amplia gama de voltajes de OC que van desde 9 a los 32 VCD, alimentaciones comunes para los instrumentos que pueden ser aprovechados para alimentar a la misma. Los técnicos de campo únicamente trabajarán con las dos interfaces de Ethernet siguientes:

  1. Una interfaz inferior (“confiable”), marcada como candado “cerrado” y conectada a la interface en el servidor TCM donde reside el servidor opc.
  2. Una interfaz (poco confiable), marcada como candado “abierto” conectada con el resto de la red de control (DCS, HMI, etcétera) donde el OPC cliente reside.

No hay interruptores para ajustar, ni cables para conectarse y tampoco es necesario configurar direcciones IP. Una vez que el firewall es instalado y puesto en marcha, los servicios del técnico ya no son necesarios.

El firewall revisa la información de la red que va dirigida al TCM y al servidor OPC, bloquea aquella que es potencialmente peligrosa antes de que ésta llegue al TMC. El Tricomex Tofino Firewalle también ofrece las siguientes características:

  • Relaciones de limites de la información que entra el TMC para que este no se sobrecargue.
  • Todas las soluciones de conexión son “Sanitychecked” conforme a la especificación del protocolo RPC, de lo contrario son bloqueadas.
  • Con Triconex Tofino Firewall todas las codificaciones  de las entradas pueden ser detectadas, incluyendo la información bloqueada . Estos registros pueden guardarse en un sus positivo USB para su inspección con un editor de texto estándar.

Configuración del Triconex Tofino Firewall

Para la mayoría de los Firewalls es necesario tener un conocimiento detallado de complejos lenguajes de Access Control List o cotosos sistemas de programación. Peor aún, estudios realizados han demostrado que la complejidad de la mayoría de las configuraciones de Firewall pueden dar lugar a errores que deja al sistema vulnerables a ataques.

Para resolver esto todas las configuraciones de seguridad se definen automáticamente con el TriStation en todos los sistemas Triconex. Por ejemplo en algunas instalaciones el modulo de comunicaciones de Triconex será configurado para utilizar una TCP personalizado y puerto UDP.

En las instalaciones mencionadas anteriormente ,Triconex Tofino Firewall debe reconfigurarse para poder utilizar los puertos del mismo, de lo contrario, en Firewall bloqueara la red completamente mediante los números de puertos personalizados. Triconex Tofino Firewall hace esta tarea muy simple:

  1. El software TStation explota la configuración estándar de datos del TCM en un archivo XML.
  2. El Triconex Tofino configuration Utility lee el archivo XML y guarda la configuración de archivos encriptados del Firewall en un dispositivo USB, basándose en la configuración actual del TCM.
  3. Los usuarios pueden cargar los archivos encriptados de configuración con un dispositivo USB.

Una vez hecho lo anterior, la configuración personalizada se almacena permanentemente en el firewall.

Comunicaciones de sólo lectura del OPC

El Triconex TCM Access List permite limitar el acceso al Triconex 515 de dispositivos específicos en la red de control y también restringir el tipo de acceso por protocolo. Por ejemplo, a los clientes del OPC se les puede limitar el acceso a “solo lectura’: Al combinar el control de acceso con Triconex Tofino Firewall, el usuario podrá, de una forma sencilla y rápida, implementar la protección de varias capas de seguridad para el SIS.

Debido a que el OPC clásico no es el único protocolo que tiene que pasar por el firewall, el sistema también permite protocolos como el Modbus TCP, Simple Network Time Protocol (SNTP), protocolos de administración de Triconex, impresoras e ICMP (“ping”) de tráfico. Estos protocolos son por default, pero esto podría deshabilitar la herramienta de configuración del firewall si no es activado en el archivo de configuración de la TriStation. Lo anterior proporciona un nivel de seguridad adicional ya que bloquea el trafico de información innecesaria y permite el buen funcionamiento de la planta. 

Resumen

Triconex Tofino Firewall es la primera solución de seguridad en un OPC clásico diseñado conforme a las necesidades y habilidades de los técnicos de control.

No es necesario cambiar la configuración en los clientes y los servidores OPC y ofrece mayor seguridad en comparación con los firewalls convencionales o la soluciones por “tunelaje”. Interpreta automáticamente los archivos del controlado TriStation de explotación y crea reglas de Firewall.En combinación con la función de lista de acceso del TCM, Triconex tofino Firewall crea una defensa ideal, rentable y segura.

 

0
Compartir:

Dejar un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.