Analizadores de red en sistemas de control

Publicado el 10/02/2017, por INCIBE
Analizadores de red en sistemas de control

Dentro de las tareas de administración de redes se encuentra la monitorización del tráfico que trasmiten los equipos conectados a las mismas. Esta monitorización es clave en multitud de tareas como puede ser determinar errores con algún dispositivo o con la propia red o la realización de un análisis del tráfico para determinar si existe tráfico no deseado o inesperado, o si los paquetes que se envían y reciben están correctamente formados y su interpretación no va a suponer un problema para los equipos finales.

En las redes corporativas este análisis debe incluir la salida hacia Internet, ya que ese suele ser el enlace con mayor carga de tráfico y por tanto el más complejo de gestionar. En las redes industriales, la complejidad radica en la cantidad de protocolos diferentes que se utilizan, por lo que es necesario interpretar múltiples tramas diferentes separándolas por tipo de protocolo.

Tipos de analizadores

Las herramientas utilizadas para llevar a cabo el análisis de red pueden ser tanto hardware como software.

  • Los analizadores software suelen ser genéricos y con capacidades de análisis sólo para protocolos ampliamente extendidos y documentados. Habitualmente suelen ser herramientas gratuitas.
  • Los equipos hardware están más orientados hacia entornos concretos con protocolos muy específicos. Suelen ser herramientas de pago debido al hardware requerido y su precio depende de los protocolos que sean capaces de interpretar.

-Analizadores de red de tipo software-

Así, mientras que en entornos corporativos suelen utilizarse los analizadores software,  en los sistemas de control industrial suelen ser en su mayoría de tipo hardware.

   

-Analizadores de red de tipo hardware-

Modo de funcionamiento

En el caso de utilizar un analizador software es necesario redirigir el tráfico de red que se pretende analizar, para ello pueden utilizarse dos métodos:

  • Puerto hub o concentrador: Se trata de conectar un concentrador en la red, y en uno de los puertos libres se sitúa el analizador. La cantidad de tráfico que se puede analizar es limitada.

Captura de tráfico a través de puerto de hub

-Captura de tráfico a través de puerto de hub-

  • Puerto espejo: Se ha de configurar un puerto espejo en un switch de la red para que todo el tráfico se redirija a dicho puerto, que será donde escuche el analizador de red. Todo el tráfico que pasa por el switch será copiado y enviado al puerto espejo para que el analizador pueda monitorizar todo el tráfico. Ha de tenerse en cuenta que el puerto puede llegar a saturarse si el número de paquetes es muy elevado, en cuyo caso la monitorización será parcial al perderse tráfico.

Captura de tráfico a través de puerto espejo

-Captura de tráfico a través de puerto espejo-

En el caso del analizador hardware, se hace uso de un dispositivo específico encargado de dicha tarea.

  • Network Tap: Se trata de un dispositivo hardware especialmente diseñado para capturar el tráfico y redirigirlo hacia la aplicación de análisis. Estos dispositivos son capaces de trabajar con diferentes medios (Ethernet, RS-232, RS-485, fibra, etc.) y se comunican con la aplicación típicamente a través de una conexión USB.

Captura de tráfico a través de equipamiento hardware

-Captura de tráfico a través de equipamiento hardware-

Los analizadores de red software suelen limitarse a tareas de monitorización del tráfico, identificando protocolos, orígenes y destinos; sin embargo, los analizadores hardware proporcionan más funciones, entre las que suele destacar la función fuzzer para comprobar la implementación de protocolos, osciloscopio para comprobar frecuencias, analizadores de señal para medir los valores de voltaje, etc. Por el contrario, los analizadores software también son capaces de analizar capturas realizadas previamente, aspecto no suele estar disponible en los analizadores hardware.

Analizadores de red en sistemas de control

La elección de los analizadores hardware para los sistemas de control se debe a que muchos protocolos no son abiertos ni usados de forma masiva, por lo que las herramientas típicas no los contemplan y deben adquirirse productos específicos de acuerdo a los protocolos a analizar. Los productos destinados a los sistemas de control solo son capaces de comprender un conjunto de estos protocolos,  en su mayoría trabajan con los protocolos más extendidos como ModBus, DNP3, etc., pero también existen productos específicos para un protocolo determinado.

Estás analizadores utilizados no solo se centran en el propio tráfico que puedan monitorizar y capturar, sino que también comprueban la implementación que se realiza de la especificación del protocolo en uso para evitar posibles fallos y brechas de seguridad, siendo esta su función más importante. Esta comprobación la realizan mediante la generación e inserción de tráfico en la red.

El uso de analizadores de red para comprobar el tráfico en tránsito no supone problemas para el funcionamiento de un sistema industrial, exceptuando el periodo de tiempo que se tarde en instalar el equipo en el medio de la red. Sin embargo, si se pretende analizar la implementación del protocolo es necesario hacerlo en entornos de prueba o cuando el sistema principal se encuentra fuera de producción, ya que el equipo generará muchos paquetes de tráfico, la mayoría inválidos, para realizar las pruebas de validación del protocolo que casi con toda seguridad llevarán al sistema a un estado inestable que puede obligar a su parada y posterior reinicio.

Herramientas y productos

Existen numerosas herramientas, tanto libres como de pago, capaces de realizar análisis de red. Dependiendo de la herramienta será más o menos necesaria la intervención de un operador que la gestione.

El analizador de red software más conocido tal vez sea Wireshark, pero existen otras muchas con funciones muy similares, como Windump o TCPDump.

Dentro de las herramientas hardware existe un gran abanico de productos comerciales, como Achilles, Netdecoder, Line Eye, etc., todo depende de las necesidades en cuanto a protocolos e interfaces a analizar.