Buenas prácticas de configuración en la red inteligente

Publicado el 01/10/2015, por INCIBE
Relé de protección multifunción

La evolución de la red de distribución eléctrica hacia la red inteligente introduce nuevos elementos y dispositivos de control. Este progreso añade mayores capacidades de comunicación y supervisión entre los centros de control, las subestaciones y los clientes finales.

La cadena de valor de la  red inteligente es muy amplia y en ella conviven todo tipo de dispositivos y protocolos de comunicación en distintos niveles:

  • A nivel de campo (o subestación): se pueden encontrar sensores, actuadores, unidades terminales remotas (RTU, Remote Terminal Unit), dispositivos eléctricos inteligentes (IED, Inteligent Electronic Devices), etc.
  • A nivel de administración (centro de control): se pueden encontrar dispositivos del ámbito TI como son ordenadores, servidores, bases de datos, aplicaciones WEB, aplicaciones de escritorio, etc.

Proteger una red inteligente es una tarea compleja que requiere mucho esfuerzo y dedicación constante. Es frecuente encontrar en este tipo de infraestructuras dispositivos obsoletos, diseñados en tiempos en los que la seguridad no era una preocupación. Por otro lado, en estas infraestructuras intervienen muchos agentes: fabricantes, instaladores, integradores, consultores, etc.; que forman parte de la cadena de valor y donde la seguridad debería estar presente en todo momento.

La ciberseguridad en la red inteligente debería ser aplicada desde los dispositivos que hacen de extremo final hasta los centros de control, llegando a todo el sistema. Tener en cuenta la seguridad en su conjunto es muy importante porque, si en una infraestructura que se han aplicado determinadas medidas de seguridad se instalan nuevos dispositivos configurados inadecuadamente, como por ejemplo una RTU, toda la infraestructura podría verse comprometida.

arquitectura de red

- Arquitectura de red de la red de distribución eléctrica -

 Configuración de seguridad en sistemas de redes inteligentes

Un aspecto básico y frecuentemente olvidado en la seguridad de cualquier sistema de control industrial es el correcto ajuste de las configuraciones de los todos los elementos integrantes. Concretamente, en redes inteligentes se sugieren las siguientes pautas de configuración:

 Aspectos generales

La configuración de los dispositivos es un aspecto fundamental cuando se habla de ciberseguridad. En una subestación eléctrica, donde se encuentra todo el equipamiento de control, la configuración de seguridad debe ser sistemática  y tener en cuenta los siguientes aspectos:

  • Acceso físico: Con el objeto de reducir la exposición de los sistemas debe proporcionarse suficiente protección física a los dispositivos críticos del sistema, limitando la accesibilidad a los mismos.
  • Acceso de red: Su identificación debe ser específica a cada sistema/infraestructura. Existen guías específicas para asignar puertos a servicios. A continuación se muestra un ejemplo recomendado.

tabla de puertos

*Los estados pueden variar según el proyecto y estado del sistema

  • Acceso: Habilitar FTP sobre SSL
  • Cifrado: Utilizar algoritmos con TLS, usando AES de 128-256 bits
  • Monitorización de Estado: Funciones para medir el estado de los recursos de proceso del sistema.
  • Certificados: Gestión de autoridades de certificación (CA) y certificados autofirmados.

Configuración de IEDs

Los aspectos específicos de configuración de seguridad en los equipos IEDs, se basan en algunos de los siguientes puntos de control, conforme al estándar IEEE 1686:

  • Acceso de control electrónico: El acceso puede ser remoto o local con acceso in situ al dispositivo, siendo esta última opción la modalidad de acceso recomendada.
  • Cuentas de usuario: El dispositivo cuenta con un número de cuentas determinado para su acceso y control. Este factor dependerá del servicio y necesidad de control. El número de las mismas dependerá los tipos de perfil de usuario necesarios para una correcta administración.
  • Política de contraseñas: Definir criterios de longitud, sensibilidad a mayúsculas/minúsculas, uso de caracteres numéricos y especiales, etc.
  • Acceso a datos: Controlado por cuenta de usuario individual, según rol.
  • Acceso a las propiedades de la configuración: Controlado por cuenta de usuario individual con perfil privilegiado.
  • Forzado de valores (integridad): Controlado por cuenta de usuario individual
  • Cambio/actualización de firmware: Controlado por cuenta de usuario individual con privilegios.
  • Custodia de contraseñas en equipo: El almacenamiento de las mismas será siempre cifrado con un algoritmo robusto.
  • Gestión de identidad y contraseñas: Controlado por cuenta de usuario individual con privilegios.
  • Time-out de acceso: Activado y configurable por cuenta de usuario individual.
  • Eventos: Reporte de eventos relacionados con la ciberseguridad. Necesidad de perfiles para dicho reporte.
  • Alarmas: Activado. Alarmas en operación por parte del equipo para informar de eventos sospechosos o indicativos de amenaza (por ejemplo, si el cliente no utiliza certificados digitales salta alarma o si el equipo detecta una sobrecarga de datos en su conectividad).

Configuración de RTUs

Otro de los equipos destacados en la red inteligente a la hora de tratar, enlazar y retransmitir los datos es la RTU. La RTU utiliza protocolos como IEC 60870-5-101 y 104, Modbus o DNP 3.0, y cada vez hace más uso de Ethernet y TCP/IP. Los fabricantes de estos dispositivos están desarrollando nuevas caracterizaciones de seguridad acordes a los estándares NERC CIP e IEEE 1686. A continuación se muestran las propiedades de configuración por defecto para una subestación eléctrica:

  • Sistema de autorización: Basado en roles (RBAC – Role Based Access Control). 4 roles mínimo (operario, configurador, Administrador y operador). El sistema de roles varía según proyecto.
  • Control de acceso de usuarios: Configuración  basada en perfiles con distintos privilegios de acceso a recursos de la RTU y servicios de ésta. Autenticación requerida y autorización forzada para cada cuenta de usuario individual.
  • Complejidad de la contraseña:
    • Longitud mínima de clave: 8 caracteres
    • Ciclo vida máximo de contraseña: variable según proyecto.
    • Uso de caracteres alfanuméricos y especiales: Activado
    • Sensibilidad mayúsculas y minúsculas: Activado
  • Soporte HTTPS: Aceptación de certificados digitales autofirmados, debidamente gestionados e implementados.
  • Funcionalidad VPN: Función opcional para gestión remota. La comunicación se desarrolla entre la RTU y el router de la subestación (usando protocolo IPSEC). Si se configura la autenticación, será constituida con claves pre-compartidas.
  • Auditoria de eventos de seguridad: A nivel local, deben contener al menos los siguientes eventos:
    • Login
    • Logout
    • Cambio de parámetros
    • Cambio de configuraciones
    • Actualizaciones de firmware
  • Alarmas de seguridad: Capacidad de relacionar un grupo de eventos de seguridad en alarmas únicas y significativas para el HMI. Activado.
  • Bastionado del sistema: Según proyecto. Política de mínimos privilegios y mínimos servicios: Solo se abren los puertos y servicios requeridos, cerrándose el resto. Se bloquea el acceso a nivel de sistema operativo según la cuenta de usuario, controlado por el sistema de autorización.

Verificación de las configuraciones

Como se puede observar en la gráfica inferior, el 6% de las vulnerabilidades están relacionadas con la configuración de seguridad y mantenimiento, y es la única parte que puede ser mejorada directamente por el consumidor de productos. El resto de problemas detectados dependen directamente del fabricante.

Una vez configurados los dispositivos, una buena práctica es realizar test de seguridad orientados a optimizar la configuración y verificar si los parámetros establecidos soportan los niveles de seguridad requeridos. Es recomendable realizar las pruebas a todos los equipos destinados a instalarse en campo, tanto de forma individual como aislada. Aplicando esta medida es posible minimizar parte de los ataques orientados a los sistemas de control industrial, pero sobre todo evitar aquellas vulnerabilidades que no requieren altos conocimientos técnicos para ser explotadas, por ejemplo, las contraseñas por defecto o poco seguras, acceso trivial por SSH, etc. Según el ICS-CERT las vulnerabilidades encontradas en los sistemas de control industrial están repartidas  según se ve la siguiente imagen:

 Gráfico de vulnerabilidades

- Vulnerabilidades sistemas de control industrial -

Para poder comprobar las configuraciones existen algunas herramientas automatizadas para llevar a cabo los test de seguridad. Una de las opciones es Nessus, que, a través de una serie de plugins especialmente desarrollados para sistemas de control dentro del proyecto Bandolier, comprueba si la configuración de los dispositivos es la adecuada. Los ficheros de configuración se han desarrollado con la ayuda de fabricantes, vendedores y consumidores.

La realización de análisis de seguridad con estas herramientas automatizadas permite cumplir con algunos requisitos establecidos en estándares industriales, como por ejemplo el estándar NERC CIP-007 R8 que obliga a realizar un análisis de vulnerabilidades al año.

Proyecto Bandolier

- Funcionamiento del proyecto Bandolier -

Puntos de control en las configuraciones de seguridad

A partir de lo descrito en este artículo y de modo general, podemos resumir en la siguiente tabla los puntos clave a revisar en las configuraciones de los equipos presentes en una red inteligente:

Tabla configuraciones

La seguridad en una red inteligente es un asunto en el que todos los agentes implicados (fabricantes, distribuidores y consumidores) deben aceptar su correspondiente responsabilidad y tomar las medidas oportunas para mejorar la protección de los sistemas.