Si eres un fiel lector del blog, ya habrás leído varias notas que hemos publicado sobre la tecnología Modbus. Un protocolo fiable, fácilmente implementable y que encontramos en muchísimas aplicaciones e industrias diferentes. Sin embargo, es ciertamente vulnerable, aqui te explicamos a proteger Modbus.
Antes de nada, si no sabes nada de Modbus, te recomiendo que leas nuestro índice de la serie.
Modbus es un protocolo simple, no fue diseñado para lidiar con ninguna cuestión relativa a seguridad. ¿Por qué? Bueno, Modbus existe desde hace muchos años y, en el momento en el que se desarrolló (ya hace varias décadas), nadie tenía una preocupación excesiva en la ciberseguridad. De hecho, Modbus ha estado normalmente comunicando datos de forma aislada y en un ambiente controlado, entre equipos de campo y software industrial.
Sin embargo, el panorama ha ido cambiando con el tiempo. Es evidente que existen virus y ciberataques cada vez más enfocados a la industria y, desde luego, Modbus es una presa fácil para los ciberdelincuentes.
Una aplicación puede acceder a MODBUS a través del puerto 502 en la pila TCP / IP. En Modbus, se utiliza un esquema simple de solicitud-respuesta para todas las transacciones MBAP. El cliente inicia una solicitud y el servidor responde.
Por ejemplo, cuando un SCADA requiere un valor de un PLC, envía un mensaje de solicitud para iniciar el proceso de transferencia de datos.
La implementación del protocolo MODBUS / TCP contiene múltiples vulnerabilidades que podrían permitir a un atacante realizar una actividad de reconocimiento o emitir comandos arbitrarios.
La solución más rápida y sencilla es sin duda implementar OPC UA sobre Modbus. OPC UA es el protocolo de la industria 4.0 y está pensado para ser seguro. Si quieres saber más sobre OPC UA, te recomiendo leer nuestra serie.
OPC UA implementa seguridad en tres niveles diferentes para la autenticación, la firma y encriptación y el uso de certificados digitales.
En la práctica, implementar OPC UA sobre Modbus es fácil gracias a nuestro ProsysOPC UA Modbus Server, que además de Modbus TCP, también implementa OPC UA sobre Modbus RTU.
Si necesitas más información no dudes en contactarnos, estaremos disponibles!
Este es un caso de éxito, para una empresa dedicada al sector de la energía localizada en Tucumán, Argentina.
El sector tiene diferentes PLC’s Allen Bradley. Ya hace varios años que las redes de control, donde residen los SCADA, PLC’s, etc, se encuentran en una red diferente al resto. Esto es así porque se quiere asegurar la integridad de las redes y no poner en riesgo la producción.
El sector tiene un responsable de asegurar que los sistemas de información de la planta funcionan correctamente. Ello incluye asegurar que las redes están configuradas correctamente, pero también que el software y el resto de la infraestructura se encuentran libres de riesgos.
Al responsable del área se le encomienda la misión de llevar algunos datos críticos de su sistema de control al software ERP de la empresa. Los gerentes quieren además poder tener algunos datos en tiempo real en las oficinas centrales, localizadas a varios cientos de kilómetros.
El desafío es mayúsculo. Se precisa asegurar la integridad de las redes, y al mismo tiempo, llevar datos del sistema SCADA al ERP sin poner en riesgo la integridad de los sistemas.
¿Cómo hacerlo? ¿Con qué protocolo? ¿Cuántos puertos tendré que liberar? Las preguntas son muchas y las respuestas son más bien limitadas.
El responsable del área nos contactó después de leer varios de nuestros articulos en el blog. Después de intercambiar algunos correos, hicimos una videconferencia, donde revisamos el caso y explicamos la mejor solución.
En este caso, ni siquiera tuvimos que ir físicamente a la planta, con algunas sesiones remotas y algunas otras instrucciones, el problema quedó resuelto en menos de 8 días.
Fantásticos. El ERP tiene datos. El SCADA quedó inmune de cualquier inconveniente. Se siguen respetando las políticas de seguridad de la empresa.
¿Te ha resultado interesante la historia? ¿Tienes un problema similar? No dudes en contactarnos.