Aplicando seguridad en WirelessHART

Publicado el 22/12/2015, por INCIBE
atrapando redes inalámbricas

Los medios de comunicación cableados típicos de los sistemas de control están siendo sustituidos en mayor o menor medida por medios inalámbricos. Una de las razones con mayor peso para este cambio es el ahorro económico, al no ser necesaria una línea de comunicaciones para cada dispositivo, sensor o actuador lo que se traduce en una mayor capacidad para el despliegue de equipamiento donde antes no era posible.

Las comunicaciones inalámbricas industriales pueden implementarse con diversos protocolos, bien sean protocolos industriales tradicionales que evolucionan para incorporar capacidades inalámbricas o bien con protocolos de nueva generación. Este artículo se centra en WirelessHART, la evolución inalámbrica del protocolo industrial HART.

Definición del protocolo

WirelessHART (especificación HART 7) es un protocolo basado en la especificación IEEE 802.15.4 en las capas bajas del modelo OSI, al igual que Zigbee o ISA 100, cubriendo la especificación las capas superiores. La característica principal de este protocolo es su bajo consumo, lo que le permite ser usado en dispositivos alimentados por baterías sin agotarlas en un corto periodo de tiempo.

Modelo de capas OSI vs. WirelessHART

- Modelo de capas de WirelessHART respecto al modelo OSI -

Entre las características del protocolo también destaca la gestión de la red, creando la arquitectura en forma de malla de manera dinámica.

ejemplo de red WirelessHART

- Red WirelessHART -

WirelessHART es una evolución del protocolo cableado HART mediante una especificación completa del protocolo, por lo que se han incorporado varias medidas de seguridad en el mismo, siendo este uno de sus puntos fuertes.

La especificación define diferentes equipamientos dentro de lo que es la red WirelessHART:

  • Dispositivos de red:
    • Dispositivos de campo: Sensores y actuadores comunicados mediante WirelessHART. Tienen capacidades para dirigir paquetes de otros dispositivos.
    • Dispositivos de mano: Dispositivos para interactuar en el sistema. Utilizados por los operadores.
  • Routers o repetidores: Dispositivo encargado únicamente de redirigir paquetes. En general estos equipos no son necesarios puesto que cualquier dispositivo de campo puede realizar esta función.
  • Adaptadores: Permite unir dispositivos HART a la red WirelessHART. Dispone de una interfaz cableada y una interfaz inalámbrica. Debe de ser capaz de interpretar el material de seguridad para equipamientos anteriores a la especificación HART 7.
  • Gateway: Encargado de conectar la red WirelessHART con otras redes. Es el punto único de conexión con la red WirelessHART.
  • Punto de acceso: Es el encargado de proporcionar la red inalámbrica. Se comunica directamente con el Gateway. Varios puntos de acceso pueden comunicarse con el Gateway.
  • Gestor de red (Network Manager): Mantiene y actualiza las rutas, contiene el listado de dispositivos y gestiona el ancho de banda.
  • Gestor de seguridad (Security Manager): Es el encargado de la creación y gestión de las claves utilizadas por la red para cifrar la comunicación.

Los dispositivos Gateway, punto de acceso, gestor de red y gestor de seguridad pueden estar integrados en un único dispositivo físico.

Medidas de seguridad

Las medidas de seguridad del protocolo WirelessHART no pueden ser deshabilitadas, y se puede distinguir entre las que afectan al nivel lógico y las que afectan a nivel físico.

Medidas de seguridad física

  • Salto de canales (FHSS). Cada vez que se realiza una transmisión se cambia el canal.
  • Potencia de emisión ajustable

Medidas de seguridad lógicas

  • Cifrado mediante AES de 128 bits.
  • Al menos 4 claves diferentes
    • 2 para cifrado de tráfico broadcast (para gestión de red y aplicación)
    • 2 para cifrado punto a punto (para gestión de red y aplicación)
  • Rotación de la clave de cifrado utilizada para unirse a la red, de manera automática o bajo demanda.
  • Autenticación de dispositivos e integridad de los datos
  • Clave de cifrado única para cada mensaje

Así, a nivel físico permite un control de las emisiones en entornos ruidosos, permitiendo adecuar la potencia de señal o el cambio de canal de emisión en caso de ser imposible la comunicación a través del canal que se está utilizando. A nivel lógico permite varios niveles de acceso y notificaciones de eventos de seguridad como reporte de fallos de integridad de mensajes o fallos de autenticación.

WirelessHART dispone de una clave de cifrado para el tráfico de red, pero también permite el intercambio cifrado de paquetes únicamente entre dos dispositivos, que dispondrán de una clave específica para ellos. Estas claves son comunicadas por el Gateway de la comunicación a los dispositivos de campo y almacenadas en el gestor de seguridad, un equipo aparte en la red y que sólo se comunica con el Gateway a través de la red cableada.

Si bien la comunicación a través de WirelessHART presenta diferentes características de seguridad, la comunicación de esta red con la parte cableada de la misma (dispositivos como gestor de red o seguridad), así como con otros dispositivos del protocolo HART, no está contemplada en la especificación.

Beneficios de la seguridad en WirelessHART

Por defecto, todo dispositivo WirelessHART requiere de una contraseña conocida como clave de unión (Join Key) para poder unirse a una red. La contraseña tiene que configurarse en el dispositivo antes de su asociación a la red, puesto que es necesaria para el intercambio de paquetes de control con el Gateway de la red.

Pero el uso de una única contraseña no es recomendable puesto que esta contraseña es la que se utiliza en todas las comunicaciones de tipo broadcast, lo que significa que su uso en la red es elevado. La alternativa es el uso de listas de control de acceso (ACL – Access Control List). Estas ACL para controlar el acceso a la red funcionan mediante la comprobación por parte del Gateway del origen del paquete (mediante MAC o número de serie del emisor). En caso de estar permitido el elemento, se procede a descifrar el paquete para su tratamiento mediante la clave de unión. Una vez aceptado el dispositivo en la red, todos los demás dispositivos recibirán el mensaje del nuevo miembro.

Existe otra opción para dotar de más seguridad a la red, que consiste en mezclar la opción de clave común y, una vez asociado el dispositivo a la red, crear una lista de control de accesos y dotar a los dispositivos con una nueva clave, trabajo realizado por el Gateway y el gestor de seguridad.

Una vez que los dispositivos están asociados a una red pueden comunicarse entre ellos o con el Gateway. Las comunicaciones entre dos dispositivos son también permitidas, pudiendo utilizar una clave especifica. La negociación de esta clave se lleva a cabo con el Gateway, que la distribuirá a los dos dispositivos para que la usen en la comunicación entre ellos, que ya no dependerá del Gateway.

Limitaciones de la tecnología

Pese a los esfuerzos de la especificación de WirelessHART por hacer un protocolo seguro y fiable, presenta algunas carencias que han de tenerse en cuenta a la hora de su elección e implementación. Entre ellas destacamos:

  • No se soporta el uso de certificados (criptografía de clave pública), por lo que no se puede garantizar el no repudio. Otras medidas como la autenticación fuerte tampoco son posibles al necesitar enviar el secreto por la red.
  • No hay mecanismos específicados para proporcionar servicios de autenticación y registro.
  • El sistema completo de gestión de claves (generar, renovar, revocar, almacenar y vetar) no está especificado; aunque sí se han especificado los comandos de distribución de claves.
  • La seguridad en la parte cableada de la red por ejemplo los dispositivos como los gestores de red y seguridad) no se específica, ni se hace cumplir, al igual que la integración entre WirelessHART y dispositivos HART antiguos (especificación HART 6 o anterior). Sin embargo, proporciona las formas de agregar dispositivos HART a la red WirelessHART utilizando adaptadores.
  • Sin redundancia de rutas en la parte cableada de la red.
  • La comunicación multicast segura entre los dispositivos de campo no es compatible.
  • La arquitectura del gestor de seguridad y de la interfaz entre éste y el Gateway no se especifica en la norma.
  • Los mecanismos de seguridad para proteger la red WirelessHART no se especifican en un documento concreto, estos mecanismos está repartidos entre los diferentes documentos que conforman la especificación de WirelessHART. Esto hace muy difícil para los diseñadores y desarrolladores implementar los servicios de seguridad ya que necesitan explorar la totalidad de la especificación WirelessHART.
  • Tampoco existen mecanismos de seguridad para proteger las comunicaciones entre el Gateway y las posibles aplicaciones (también llamado la aplicación de host) que hagan uso de la tecnología WirelessHART.