Routers eWon: controlar remotamente de forma segura

La empresa Side, suministradora en España de los conocidos routers eWon, celebró en Barcelona una jornada, titulada “Vulnerabilidades de dispositivos industriales conectados a Internet”, en la que reunió a un buen número de clientes para plantearles, no solo las ventajas de utilizar los routers eWon para el control remoto de máquinas desde un punto de vista operativo, sino también desde el punto de vista de la ciberseguridad.

Muy oportuna e interesante fue la charla impartida por Jose Valiente, del Centro de Ciberseguridad Industrial. Después de presentar el centro y sus actividades y de señalar las diferencias existentes en cuanto a vulnerabilidades entre la red TI y la red OP (de operación en planta) de una instalación industrial, Valiente explicó los resultados obtenidos por diferentes “proyectos de investigación” llevados a cabo a nivel mundial que demuestran cómo de vulnerables pueden ser las instalaciones o máquinas industriales conectadas a Internet, demostrando que los sistemas de control y los scadas son accesibles y objeto de posibles ataques. Por ejemplo, existe un indenxador de contenidos (denominado Shodan) que permite indexar todas las máquinas que están conectadas a Internet, además de localizar sistemas de control industrial. Otros proyectos de estas características son el Proyecto Internet Census 2010-2012, cuyo objetivo también fue descubrir todos los dispositivos conectados a Internet y a los que se podía acceder, el proyecto Shine 2010-2013 o el IRAM 2013 a nivel europeo. Todos ellos concluyen que es fácil detectar todas aquellas instalaciones que están conectadas a Internet y que no presentan ningún tipo de protección, con lo que se evidencia la facilidad de ser saboteadas. El responsable del CCI presentó a los asistentes un estudió elaborado para el Scada Security Scientific Symposium que demuestra cuál es el grado de vulnerabilidad de los sistemas de control de las principales empresas a nivel multinacional. Valiente alertó también sobre el hecho de que los programas de malware más maliciosos, como Stuxnet, Duqu, Flame o Careto ya hacía 5 años que funcionaban cuando fueron descubiertos, con lo que lo más probable es que en estos momentos estén funcionando otros malware de los que todavía no tenemos noticia.

Frente a esta situación se evidencia que la inversión en ciberseguridad por parte de las empresas debe convertirse en una prioridad. Incorporar requisitos de ciberseguridad ya desde los diseños de los sistemas de control o de los componentes tendrá que convertirse en una realidad, pero también será necesario saber gestionar los riesgos de todos aquellos equipos y sistemas que ya están en funcionamiento.

Desde el Centro de Ciberseguridad Industrial se está trabajando intensamente, no solo para coordinar todas las acciones que se están llevando a cabo desde el punto de vista de la ciberseguridd industrial, sino también en la organización de cursos de formación, en la participación en actividades como la que nos ocupa, en la elaboración de documentos (Mapa de ruta 2013-2018, Estudio sobre la Ciberseguridad en España, etc.), etc.

Side Automatización organiza estas jornadas con la finalidad de que los equipos de ingeniería conozcan cuáles son las vulnerabilidades de los dispositivos industriales conectados a Internet, cómo debe ser la configuración y puesta en marcha de los sistemas de conectividad remota, y qué tarificación se aplicará en las comunicaciones máquina a máquina. Dirigida a técnicos en electricidad o electrónica, programadores de scadas, ingenieros de automatización y control de procesos con inquietudes sobre seguridad telemática en sus instalaciones industriales, a esta jornada asistieron más de 25 personas, que siguieron con mucho interés lo planteado tanto por el responsable del CCI como de los propios técnicos de Side y el representante de Telefónica, que habló de las características específicas de las líneas M2M.

Como es sabido por nuestros lectores, la línea de routers industriales eWON ha sido desarrollada para ofrecer todo tipo de soluciones de conectividad en el sector industrial: teleservicio o telemantenimiento de autómatas programables, pantallas táctiles y otros dispositivos industriales por VPN, y también dispone de todo un conjunto de soluciones orientadas al control de procesos de manera que puede monitorizar variables, gestionar alarmas, hacer notificaciones por SMS o email, hacer histórico de datos, visualización scada, etc. Gracias a que lleva integrados los protocolos nativos de la mayoría de autómatas programables industriales, se puede conectar con la mayoría de autómatas y equipos, tanto por puerto serie como Ethernet, de las firmas Siemens, Vipa, Schneider Electric, Omron, Mitsubishi, Hitachi, etc.

La conexión segura a través de VPN se hace mediante un servidor VPN propio llamado Talk2M: esto hace que la conexión sea fácil e intuitiva y que no se requiera de un experto informático para la parametrización. El principal valor añadido de Talk2M, una herramienta de conectividad de Internet diseñada para realizar tareas de mantenimiento remoto y acceder a maquinaria remota en el sector de la automatización, es su plena integración de los estándares de seguridad informática que permiten el túnel de Internet entre el usuario y la máquina remota sin que se deban realizar cambios en la configuración de seguridad de la red en ninguno de los dos extremos. Las características de la versión Talk2M Free+ son las siguientes: Gratuita, conexión instantánea de banda ancha con las máquinas, conexión con túnel VPN totalmente seguro mediante SSL de 128 bits, sin necesidad de asistencia técnica por parte de expertos informáticos, posibilidad de realizar un seguimiento de los usuarios que acceden a las máquinas con informes de conexión y in inversión inicial (alojamiento SaaS). Mientras que las características adicionales que ofrece la versión Talk2M Pro son alojamiento SaaS crítico (redundancia), gestión de usuarios y accesos y pago por conexión simultánea.

La oferta eWon

La gama eWon está compuesta por distintos modelos.
El modelo eWON Cosy es un completo router industrial con funcionalidades de enrutado entre la LAN de la fábrica y la LAN de la máquina con características de túnel VPN. Se conecta a Internet mediante puerto Ethernet y se integra perfectamente con el entorno de programación del PLC. El eWON 2005CD/4005CD se conecta a Internet principalmente mediante puerto Ethernet y, opcionalmente, mediante modem auxiliar. Por su parte, el eWON 2101CD/4101CD se puede conectar a Internet por PSTN, RDSI, GPRS / UMTS / HSDPA / HSUPA, y el eWON 2104CD/4104CD se conecta a Internet mediante puerto telefónico ADSL (RJ11) y, opcionalmente, mediante modem auxiliar.

El eWON Flexy es un concepto de router industrial que permite a los constructores de maquinaria e integradores de sistemas vincular dispositivos remotos en un entorno donde las tecnologías de comunicación están en constante cambio, así como comunicarse universalmente con los equipos de campo más variados. El router industrial Flexy 100 funciona como pasarela para la recogida de datos, pero no permite enrutamiento entre redes LAN, WAN ni puertos serie. Las principales aplicaciones con el Flexy 100 son la monitorización y recopilación de datos de los equipos remotos. El Flexy 200, a parte de la monitorización y recopilación de datos, sí permite el acceso remoto a los dispositivos conectados por LAN o por puerto serie y por tanto, hacer telemantenimiento.

Para finalizar, eFive es una solución de administración remota centralizada, compatible con protocolos de autómatas industriales y sistemas de software scada. Con esta solución, los responsables de infraestructuras pueden conectar sus instalaciones remotas con un sistema scada a través de un servidor VPN central. eFive hace de puente entre el autómata remoto y el software scada en una amplia gama de aplicaciones: tratamiento de agua, fotovoltaica, biogás, turbinas eólicas, ... Diseñado para satisfacer los requerimientos industriales, ofreciendo interoperabilidad y continuidad entre instalaciones remotas (PLC) y la central de monitorización (scada), el eFive soporta además redes DMZ y con él se pueden establecer conexiones ininterrumpidas en tiempo real con las instalaciones remotas.