BMS: Edificios inteligentes, ¿y seguros?

Publicado el 26/01/2016, por INCIBE
BMS KUBIK

Los Sistemas de Gestión de Edificios (BMS - Building Management System), desde su aparición a finales de los años 70 hasta la actualidad, han sufrido una gran evolución, al igual que el resto de sistemas de control.

Un BMS moderno se basa en la integración de una serie de subsistemas que, en general, comparten una infraestructura como: base de datos, central de alarmas y otros subsistemas específicos como el control de la iluminación o la climatización. La figura inferior refleja la topología de un BMS complejo, con sistemas dedicados e independientes para la iluminación, climatización y control de accesos que comparten una infraestructura de integración. Así se puede observar la presencia de los correspondientes protocolos que operan en las distintas áreas de gestión como iluminación (DALI), climatización (BACNet), etc.

Topología de un sistema BMS

- Topología sistema BMS (Fuente: Pliego para Instalación de Control BMS; Ministerio de Economía y Competitividad y CNIO) -

A la hora de considerar el diseño de un sistema BMS es de gran importancia conocer las funcionalidades a cubrir en el entorno de aplicación. En este contexto, conviene no confundir sistemas BMS orientados a edificios terciarios (vertiente industrial) con BMS orientados a viviendas familiares (vertiente domótica). En ambos campos se pueden encontrar sistemas equivalentes pero con diferencias que pueden trasformar un caso de éxito en un rotundo fracaso.

En sistemas más pequeños, como las edificaciones privadas y hogares, se colocaba un PLC de pocas entradas/salidas para dar soporte a la climatización, iluminación y otros aspectos a controlar. Hoy en día, esta idea evoluciona hacia la implantación de elementos independientes basados en sensores de control, que mediante Ethernet mandan mensajes que son visualizados en una tableta o similar; es decir, se aprecia una evolución de los sistemas BMS hacia un subconjunto del paradigma IoT (Internet of Things).

La tecnología base de los sistemas de control de los sistemas BMS es similar a los sistemas basados en equipos PLC más tradicionales como las empleadas en el sector eléctrico. Lo que realmente diferencia este entorno de otros es la adecuación de los sistemas de control hacia los protocolos utilizados para comunicar los dispositivos entre sí y con los servidores.

Protocolos empleados en gestión de edificios

Dentro de un BMS existen multitud de protocolos, algunos de ellos específicos de este campo de aplicación y otros más generalistas. Entre los protocolos de comunicaciones especializados podríamos destacar DALI, para la gestión de la iluminación, o BACNet, usado en la gestión de sistemas de climatización. A su vez, entre los protocolo más generales se puede citar a KNX, LonWorks o ModBUS. Quizá debido a su sencillez, este último es implementado por gran cantidad de fabricantes de BMS y se ha convertido de facto en uno de los estándares más comunes.

Muchos de estos protocolos son muy antiguos y en el momento de su nacimiento la seguridad no era una de las prioridades de diseño. Hoy en día, es necesario que se incluyan mejoras de seguridad para los protocolos utilizados, como puede ser el cifrado o la autenticación, y que sean interoperables. Estas mejoras ya se están incorporando actualmente.

A la serie de protocolos citados anteriormente se ha unido en los últimos años una extensa familia de protocolos inalámbricos de nueva generación (ZigBee, Wifi, EnOCEAN,...), que pugnan por erigirse como el dominante en este sector. Los protocolos inalámbricos implementan mayores niveles de seguridad, que disminuyen sus amenazas frente a ataques externos, pero carecen de la fiabilidad, (en términos de alta disponibilidad, latencia, etc.) de sus homólogos por cable.

Seguridad de los protocolos más característicos en BMS

BACnet

La arquitectura de seguridad del protocolo BACnet es opcional dentro del despliegue BACnet. La seguridad en BACnet provee paridad en las entidades, asociación de datos en origen así como autenticación, confidencialidad e integridad.

La seguridad de este protocolo se basa en el despliegue de pares de claves. Existen seis tipos de pares de claves: los que permiten el acceso a la red general, los que autentican a los usuarios, los específicos de la aplicación, los utilizados para la instalación, los empleados para la distribución y los maestros.

Además BACnet proporciona una especificación extensa para:

  • Proporcionar seguridad a los mensajes enviados: Introduce una cabecera de seguridad a nivel de mensaje APDU de BACnet.
  • Implementar políticas de seguridad de red: Existen dos tipos de redes, las confiables (aquellas que bien físicamente o bien por su cifrado lo son) y las no confiables. Teniendo en cuenta esto, BACnet considera cuatro tipos de políticas de seguridad en red:
    • Confiable-texto en plano: requiere seguridad física de la red pero no la del propio protocolo.
    • Confiable-firmado: no se requiere la protección física, la seguridad está dada por el firmado que permite el protocolo.
    • Confiable-cifrado: sin protección física, seguridad por cifrado.
    • No Confiable-texto en plano: sin seguridad alguna.
  • Proporcionar un nivel de seguridad del dispositivo BACnet: asegura a niveles de seguridad según la política BACnet independientemente de si se sitúa en redes seguras o inseguras.
  • Proveer la autenticación de usuario: mediante la provisión de claves de usuario.

DALI

El protocolo DALI (Digital Addressing Lightning Interface) es ampliamente utilizado en BMS para la gestión de iluminación. Es un protocolo muy sencillo. El siguiente gráfico muestra la trama de datos del protocolo. Obsérvese que únicamente hace uso de dos campos que identifican el destino (address) y la instrucción (data).

Datagrama DALI

- Datagrama Dali -

DALI no incorpora ninguna medida de seguridad transmitiéndose los datos en claro a través del bus de comunicaciones. Este es un ejemplo de característica propia de un protocolo BMS que es necesario tener en cuenta en su despliegue, asegurando la incorporación de mecanismos adicionales que contrarresten el riesgo que supondría el acceso a esta información.

KNX

La extensión EIBsec de KNX provee los mecanismos de seguridad a nivel de aplicación para las tramas KNXnet. La capa de seguridad se asienta sobre los protocolos TCP o UDP. Para que un dispositivo se comunique de forma segura con este protocolo debe:

distribución de claves unicast

- Distribución del set de claves de forma unicast -

  • Crear los certificados: usando una autoridad de certificación con el ETS (Engineering Tool Software), firmando las claves públicas de los dispositivos comunicándose con KNX.
  • Distribuir los pares de claves. Los dispositivos KNX pueden autenticarse entre ellos tanto de forma unicast como multicast.
  • Establecer una comunicación segura mediante claves simétricas (por agilidad también para los casos multicast).

LonWorks

Lonworks es un protocolo proveniente de los fabricantes de climatización para controlar sus sistemas.

El protocolo se diseñó para ser utilizado con dispositivos de capacidad muy limitada (CPU de 8 bits utilizando 200 bits de procesamiento para datos), por ello es importante elegir algoritmos de cifrado adecuados para este tipo de dispositivos. El tiempo necesario para procesar algoritmos asimétricos puede llegar a emplear hasta 83 segundos para descifrar RSA por ejemplo. Por ello es imperativo el uso de algoritmos simétricos, como 3DES o AES de 128 bits, que requieren de menor coste computacional y por tanto menos tiempo, con sus bondades y debilidades.

Los servicios definidos en el protocolos están disponibles para comunicación tanto unicast como multicast.

EnOCEAN

EnOCEAN es un protocolo privativo de uso extendido en los BMS para las aplicaciones de captación de energía. Los equipos (sensores y dispositivos) se han diseñado para transmitir su información de estado y control a través de radio.

En el año 2012, se introdujeron los primeros mecanismos de seguridad en la API de EnOCEAN. El protocolo utiliza un cifrado para la autenticación a nivel MAC. Permite una función dinámica de cambiar la clave con un contador (vulnerable si el contador o el diferencial son débiles).

Autenticación por firmado a nivel MAC

- Autenticación por firmado a nivel MAC -

Otros aspectos genéricos de seguridad

En los sistemas utilizados en edificios inteligentes, además de escoger y configurar cuidadosamente un protocolo de control adecuado, deben contemplarse las medidas de seguridad habituales como es el control de usuarios, uso de cortafuegos, accesos remotos por VPN, etc. En cuanto a topología de red se refiere, puede optarse por un diseño de red segmentado como, el representado en la siguiente figura:

esquema de red de un BMS

-Diagrama de red de un BMS con medidas de seguridad-

Los mecanismos de seguridad que puedan aportar protocolos específicos de control, en ocasiones quedan invalidados por la no observación de otras medidas genéricas en sistemas informatizados.

En este sentido, la realidad es que, todavía muchos de los sistemas BMS existentes no aplican estas recomendaciones de seguridad globales y es común encontrar, por ejemplo, conexiones expuestas y accesibles de forma abierta desde Internet.

 

Por ello no hay que olvidar que, además de implantar la seguridad a nivel de protocolo, es importante aplicar las medidas genéricas habituales de protección de sistemas: políticas de contraseñas, segmentación de red apropiada, bastionado de equipos, así como controlar la información proporcionada por el sistema. Con esto, el esfuerzo de toda la industria que rodea la implantación y desarrollo de BMS sí concluye en una aproximación segura de toda la tecnología disponible.