Capa de red

Dentro de todo el conglomerado de dispositivos y sensores nuestra capa de red

se desarrollara en por 2 medios principalmente: Ethernet, bluetooth y Wifi,
permitiendo redes 3G, 4G y LTE.
Pasemos a hablar un poco del concepto de “Industria 4.0” que es uno de los
requerimientos el cual implementaremos a este proyecto.

Este concepto (Industria 4.0), proporciona una visión para la aplicación de

CPS en la automatización industrial. Como se indica en, los requisitos clave
para la fábrica del futuro incluyen objetos inteligentes que son dispositivos
técnicos con una descentralización inteligencia rodeada de una red universal
ad-hoc que asegura una comunicación capacidad entre los objetos
inteligentes. Autoconfiguración, adaptabilidad y agilidad, El uso de estándares
de Internet para la comunicación por cable o inalámbrica (p. ej. TCP / IP,
Ethernet, Bluetooth, WiFi, etc.), integración vertical en la red y avanzada.
Nuestra capa de red estará relacionada prácticamente a todos los sensores q
recopilen datos, será de puente entre los proveedores de servicios y clientes
como por ejemplo para el navegador de energía (Energy Navigator), un
sistema implementado para nuestro sistema de edificios entre otros.

Los sistemas de información para monitorear y administrar la eficiencia

energética de los edificios se clasifican en cuatro grupos. Se dividen en
sistemas de información de energía (EIS), sistemas de respuesta a la
demanda (DRS), gestión de energía empresarial (EEM) y clasificación de
sistemas de control y gestión de energía basados en la web (EMCS).
Todos ellos pueden recopilar, agregar y mostrar datos. DRS se enfoca en
la comunicación entre los proveedores de energía y los clientes, EEM se
enfoca en permitir la evaluación comparativa y optimizar empresas
comerciales completas con diferentes sitios y crear informes de gestión
para el análisis financiero. Además de eso, Web-EMCS se enfoca en
tener un único servidor de aplicaciones y un servidor de base de datos
al que puedan acceder diferentes grupos de usuarios. El servidor de
aplicaciones puede conectarse a varios edificios y controlar el
comportamiento de los edificios y también puede agregar y visualizar
datos medidos al consultar el servidor de la base de datos.
Circulo de glasberg para capa de red
Las comunicaciones entre los distintos escenarios resultantes son
numerosas. En general, no hay una perspectiva común sobre cómo
para clasificar una casa o edificio inteligente. Si nos centramos en el
hogar inteligente, diferentes enfoques se presentan, por ejemplo, Una
representación de una versión extendida de La perspectiva de Glasberg
se muestra en la Figura de abajo. Su punto de vista parece ser el más
Descripción completa de la conexión entre dispositivos, funciones y
aplicaciones.
En una casa inteligente, por lo tanto, se puede usar perfectamente para
la orientación del escenario. El centro del "círculo" de Glasberg describe
los fundamentos técnicos, incluida la comunicación. y dispositivos
inteligentes. El círculo exterior es una de las partes más interesantes.
para la categorización de aplicaciones y escenarios de hogares
inteligentes. Se divide en la aplicación abarca energía, seguridad, salud,
entretenimiento y comodidad, incluyendo aplicaciones de ejemplo.
Ampliamos la versión original agregando el campo "energía" fuera de un
análisis de los enfoques citados anteriormente. Además, agregamos
Glasbergs agrega "entretenimiento" y "trabajo y comunicación" al
término "entretenimiento" ya que el trabajo se basa en técnicas de
comunicación que pueden usarse para ambos - privado y empresarial -
aplicaciones.
Versión adaptada de glasbergs. Representación del hogar inteligente que
incluye campos de aplicación, posibilidades funcionales y ciertos
componentes.

Todo este sistema esta enlazado a través de un medio, ya sea Wifi,

Ethernet, bluetooth, etc.
La capa de red y la capa de aplicaciones que tan fuerte están
relacionadas?
Los componentes en la capa de middleware proporcionan comunicación,
identificación y sincronización de componentes. Finalmente, los
componentes en la capa de aplicación proporcionan servicios
especializados como aprendizaje de actividad, fusión de sensores y
optimización para objetivos específicos de hogares inteligentes. Los
componentes del hogar inteligente se comunican entre sí a través de
"puentes" de software o enlaces de comunicación. Ejemplos de tales
puentes son el puente Zigbee para proporcionar comunicación de red, el
puente Scribe para almacenar mensajes y datos de sensores en una base
de datos relacional y puentes para cada aplicación.

Middleware a través de nuestra capa de red

existen diferentes tipos de soluciones de middleware para Internet de las
cosas (basadas en eventos, orientadas a servicios, basadas en agentes,
máquinas virtuales, máquinas intermedias de tuplas, orientadas a bases
de datos, etc.), aunque algunos enfoques use una combinación de estos
tipos para integrar dispositivos heterogéneos. En el caso de los
middlewares basados en eventos, es habitual utilizar el patrón de
publicación y suscripción, pero, en algunos escenarios, es mejor utilizar
un middleware orientado a mensajes que se base en los mensajes y su
estructura formal. Un ejemplo de middleware basado en eventos es
RUNES, que también está basado en componentes y está destinado a
proporcionar una arquitectura para obtener sistemas embebidos en
red. El middleware MUSIC ofrece otra arquitectura basada en
componentes, pero en este caso orientada a los servicios, que se centra
en los sistemas donde se producen cambios dinámicos en el contexto de
los proveedores y consumidores de servicios. El middleware de código
abierto proporcionado por universAAL IoT agrega una capa semántica y
utiliza tres canales de comunicación diferentes
(Context Bus, Service Bus y UI bus) para integrar dispositivos
heterogéneos, pero aumenta la complejidad del uso de esta solución y el
desarrollo de nuevas aplicaciones, en contraste con nuestro enfoque. Hay
otros middlewares que son específicos para aplicaciones con la necesidad
de resolver requisitos particulares en lugar de proporcionar soluciones de
propósito general.

Por ejemplo, el enfoque presentado en se centra en disminuir la

transmisión en el dominio específico de las aplicaciones para el hogar
inteligente. Nuestro enfoque ha tenido en cuenta este tipo de
middlewares e intenta mejorarlos proponiendo un modelo de
componentes basado en tecnologías web para admitir la interoperabilidad
y las características de extensión en sistemas dinámicos y volátiles con
dispositivos heterogéneos. La restricción de usar una tecnología basada
en componentes concretos puede definir nuestra solución como
específica de la aplicación, pero se ha desarrollado con el objetivo de
resolver la heterogeneidad de diferentes tipos de CPS con la única
restricción de usar puertas de enlace y componentes de software que
deben compartir la misma tecnología de comunicación basada en
protocolos web.

Tecnología IP sobre la capa de red

La tecnología IP sobre Ethernet es líder en automatización industrial, así
como la más creciente en proyectos de automatización de edificios y
eficiencia energética. Existen ya Economías de Escala que permiten
producción optimizada a los fabricantes de componentes económicos, así
como una elevada competencia en la transmisión de datos desde
ordenador, tabletas y teléfonos. IP y Ethernet se perfila como la mejor
tecnología en obra nueva y rehabilitación: cercano, económico, robusto,
veloz y potente.

Introducción

La luz roja de emergencia se ha encendido con la entrada en vigor del

R.D. 235/2013 asociado a la Certificación de Eficiencia Energética.
Aunque ya existía motivo suficiente, con el incremento de coste en
suministros energéticos y agua, para analizar consumos y potenciar
ahorros en cada inmueble.

La aplicación de la domótica e inmótica (automatización en edificios de

uso terciario/industrial) a las instalaciones del edificio evoluciona su
funcionalidad desde el confort hasta la medición y eficiencia de energía,
que, junto con la seguridad ante incidencias (rotura de tubería, fuego,
intrusismo, etc.), se convertirá en el ámbito principal de actuación. El
objetivo es reducir el consumo manteniendo las prestaciones necesarias.
Se plantea utilizar un sistema de control automático y programado de
forma inteligente capaz de medir, decidir y actuar en los escenarios o
usos recogidos en imprescindible análisis funcional previo.
El reto: sistema completo, económico y abierto

Con el objetivo de economizar la instalación original y de simplificar el

mantenimiento sin renunciar a ninguna funcionalidad, el principal reto
es diseñar un sistema de control abierto (multi-fabricante) y con un coste
de software único.

El ámbito del sistema de control se definirá en función del uso del

inmueble: sala de caderas, sistemas de calefacción, ventilación y aire
acondicionado (HVAC), iluminación, control de incendio, centralita de
alarma de seguridad, parking, zonas comunes, salas de reuniones, etc.

Actualmente es frecuente encontrar instalaciones de tamaño dispar con

diferentes sistemas de control independientes, lo que dificulta recopilar
la información necesaria de consumo, uso así como una gestión alineada
del conjunto. También se dificultan las tareas de mantenimiento (siendo
necesario conocer varios sistemas), así como la potencial evolución
funcional.

El sistema principal y 'único' del inmueble debe además integrar un

número limitado de controles dedicados como por ejemplo sistemas de
Fan coil y controladores de suelo radiante.

La elección óptima será una plataforma multiprotocolo con comunicación

directa, sin pasarelas, que permita controlar elementos regulables de luz,
temperatura… (Nivel de Control), comunicar con los sensores y
contadores (Nivel de Captación de Información), enviar órdenes a los
actuadores, monitorizar la instalación para mantenimiento y seguridad,
así como ofrecer un entorno de uso y visualización local/remota (vía IP)
adecuado al usuario (nivel SCADA/BMS).

Niveles de control

Habitualmente una decisión técnica a realizar es el nivel de control en el

sistema de control:

Figura 1. Niveles de control.

En el nivel A los componentes realizan el control de forma autónoma

centralizada o distribuida mediante comunicaciones. Los sistemas
abiertos permiten comunicar dispositivos multi-fabricante mediante
protocolos de comunicación estándar (KNX, Lonworks, BACnet o Modbus
principalmente), pero existen en el mercado también otros sistemas
propietarios que no permiten comunicar fuera del propio sistema del
fabricante.

En el nivel B los equipos de control no realizan propiamente el control de

los sistemas sino que actúan como un 'traductor bidireccional' a los
protocolos de comunicación estándar mencionados anteriormente,
completando esta carencia de los sistemas propietarios.

Los Cuatro Grandes para el proyecto

Existe actualmente un espectro de tecnologías de control que en

ocasiones parecen complicar con sus acrónimos y particularidades la
elección del protocolo de comunicación más adecuada.

Cada proyecto puede demandar una elección diferente en función de sus

características de uso funcional, espacio, etc. No existe una tecnología
superior a otra en todos los aspectos, aunque lógicamente habrá ventajas
competitivas parciales para cada proyecto. Sí deben tener, en todos los
casos, conexión directa a IP/Ethernet, por las posibilidades de acceso de
usuario y mantenimiento que se obtiene con ello.

Definidos como tecnología de comunicación principal en el inmueble

existen cuatro protocolos abiertos (multi-fabricante) dominantes, que
introducimos a continuación. Además existen otros protocolos
reconocidos para aplicaciones concretas o de nicho: DALI, enOcean, SMI,
M-BUS, Bluetooth, MP-BUS y DMX.

KNX

KNX es la tecnología de mayor crecimiento en el Mundo para el control

de edificios. Está regulado por la asociación KNX International desde
Bruselas. Su ámbito permite desde control del clima hasta la captación
de datos de sensores y mando en actuadores. Puede utilizar hasta cuatro
medios estándares de transmisión: par trenzado, cable Ethernet,
radioenlace o el propio cable de la instalación eléctrica existente (PLC).

LONWORKS

Lonworks sigue aumentando sus implantaciones en el Mundo, con

entrada tradicional en los proyectos desde las aplicaciones de clima. Está
regulado internacionalmente por la LONmark. Utiliza comunicación con
par trenzado, FTT o Ethernet.

MODBUS RTU / TCP-UDP

De origen industrial, por su sencillez ha aterrizado fuerte en instalaciones

de Eficiencia Energética en Europa. Regulado por la
asociación MODBUS. Utiliza comunicación tipo serie RS-232 o RS-485
para MODBUS RTU, o Ethernet en TCP y UDP.

BACNET

Bacnet es el protocolo que más ha tardado en aparecer en España debido

a su procedencia americana y foco principal en el clima y capa de gestión
del inmueble. Regulado por la asociación ASHRAE. Está orientado a la
integración en grandes edificios. Utiliza transmisión en RS-232 mediante
Bacnet PTP, par trenzado o Ethernet (Bacnet IP).

La seguridad en los protocolos de control de la capa

de red
Hace un tiempo, ya se comentan determinados aspectos relacionados
con los edificios inteligentes y los protocolos que se usan, en el
artículo BMS: Edificios inteligentes, ¿y seguros?. Aquí ya se citaban
ciertas características sobre los protocolos usados, pero sin hacer
demasiado hincapié en la arquitectura de los mensajes de los protocolos
y las medidas de seguridad y cómo implementarlas. Nos centraremos en
los protocolos BACnet y Lonworks, sobre los que se hace un análisis al
estilo del realizado en otros artículos sobre protocolos,
como zigbee o Bluetooth.
La característica más importante que diferencia a estos dos protocolos
domóticos es que Lonworks está más cercano al tratamiento de
información proveniente de sensores y actuadores, mientras que
BACnet se encuentra más orientado al plano de gestión y presentación
de datos al usuario.
Para nuestros edificios inteligentes podremos usar los 2 protocolos pero
principalmente Lonworks.

BACnet
La arquitectura de BACnet define cuatro capas que se corresponden
con las capas físicas, de enlace, de red y de aplicación del modelo OSI,
aunque solo la capa de aplicación y la de red son puramente BACnet.
- Arquitectura de capas BACnet -
A nivel de capa de enlace y capa física, utiliza diferentes protocolos,
como Ethernet, BACnet/IP, ARCNET, MS/TP, LonTalk o PTP; lo que se
traduce en la definición de diferentes variantes de BACnet:
 BACnet/IP: Especificación definida en el Anexo J del estándar de
BACnet para poder trabajar con direcciones IP y puertos, lo que
permite su uso sobre la arquitectura Ethernet disponible, así
como el uso de redes VLAN. El anexo define la utilización de 16
puertos UDP. Se diferencia de BACnet/Ethernet por la utilización
de direcciones IP en lugar de direcciones MAC.
 BACnet/Ethernet: Variante utilizada directamente con redes
Ethernet 8802-3. Soporta medios físicos variados, como cable o
fibra óptica. Está limitado a una infraestructura física que sólo
usa direcciones MAC para establecer las comunicaciones.
 BACnet MS/TP: BACnet basado en los modos maestro-esclavo o
de paso de testigo (token passing) en la capa de enlace. Es un tipo
de BACnet que utiliza un canal serie para la comunicación,
típicamente RS-485.
 BACnet PTP (Punto a punto): Este tipo de control de acceso al
medio sólo se utiliza en redes telefónicas. El estilo de conexión
directa EIA-232 está en desuso tendiendo a utilizarse Ethernet.
 BACnet over ARCNET: Esta versión permite su uso sobre cable
coaxial o cable serie RS-485. Incrementa un poco las prestaciones
de BACnet MS/TP, pero está soportado por muy pocos
fabricantes.
Nos vamos a centrar en la seguridad del protocolo BACnet, incluyendo
claves, modos de cifrado o sistema de autenticación.
Claves
BACnet define 6 tipos de claves diferentes a utilizar dependiendo de la
tarea a realizar. Las claves son distribuidas a todos los dispositivos
desde el servidor de claves de la red, algunas de ellas incluso son
distribuidas de forma conjunta. No es necesario que un dispositivo
tenga la funcionalidad de servidor de claves, pero debe existir un
servidor que contenga todas las claves y un listado de dispositivos a
gestionar. El estándar no define como se implementa este servidor. Los
tipos de claves son:
 General-Network-Access: Utilizada durante la vinculación de
dispositivos y objetos, para crear túneles cifrados y para la
interfaz de usuario de los dispositivos que no pueden autenticar a
los usuarios.
 User-Authenticated: Clave distribuida a los dispositivos cliente
que pueden asegurar la autenticación de los usuarios o a los
dispositivos que no disponen de interfaz de usuario.
 Application-Specific: Proporciona límites de seguridad entre las
áreas de las aplicaciones. Solo se distribuye a dispositivos que
comparten determinadas aplicaciones.
 Installation: Clave que solo se distribuye a un conjunto pequeño
de dispositivos, típicamente a la aplicación de configuración y a
los dispositivos que van a configurarse.
 Distribution: Esta clave se utiliza para distribuir las claves
General-Network-Access, User-Authenticated y Application-
Specific de forma segura.
 Device-Master: Usada únicamente para distribuir la clave
Distribution. Esta clave es única para cada dispositivo y debe
mantenerse lo más segura posible.
Políticas de seguridad de red
La seguridad en los mensajes BACnet es aplicada en la capa de red, los
mensajes sin cifrar de BACnet se sitúan dentro de la parte de datos de
un nuevo mensaje seguro. Este cifrado está sujeto a 4 políticas de
seguridad de red basándose en si utiliza seguridad física, alguna
característica de seguridad del protocolo o nada:
 Plain-trusted: Requiere seguridad física y no se aplica la
seguridad del protocolo.
 Signed-trusted: La seguridad física no es requerida, es asegurado
mediante firmas.
 Encrypted-trusted: Seguridad física no requerida, asegurado
mediante cifrado, realizado con AES(Advanced Encryption
Standard).
  Plain-non-trusted: Sin seguridad física, ni firma o cifrado
aplicado. Mensaje en texto plano.
Los mensajes de seguridad de BACnet usan el mismo formato de trama,
consistente en un encabezado fijo, un cuerpo opcional y una firma
requerida.

- Campos de un mensaje de seguridad BACnet -

El nivel básico de seguridad que se puede aplicar a un mensaje para
hacerlo de seguridad consiste en la firma de cada mensaje con
un HMAC(código de autentificación de mensajes en clave-hash).
Los dispositivos BACnet seguros son configurados con una política de
seguridad de dispositivo base que determina el nivel mínimo de
seguridad para el envío o la recepción de mensajes por parte del
dispositivo.
Autenticación
Siempre que la seguridad se elimine de un mensaje, ya sea en el
dispositivo final o porque se encamina hacia un destino con una política
de seguridad diferente, los mensajes deben ser autenticados. Esta
autenticación consiste en la validación de la MAC de origen, un ID de
mensaje único, un sello de tiempo y la firma del mensaje.
En cuanto a autenticación de usuarios, la arquitectura de seguridad de
BACnet permite múltiples métodos, pero sólo uno está definido: la
autenticación de usuario por proxy. Se prevé que en el futuro se definan
más métodos de autenticación.
Principales amenazas
Las características comentadas anteriormente, propuestas en
“Addendum g to BACnet Standard 135-2008”, permiten evitar unas
serie de ataques sobre las redes BACnet. Entre ellos destacan:
 BACnet spoofing: Ataque similar al ARP spoofing o IP spoofing
llevado a cabo en entorno TI. Los dispositivos comprometidos
generan mensajes falsos que fuerzan a otros equipos a enviar sus
mensajes a través del dispositivo atacante.
 Denegación de servicio: Ataque llevado a cabo mediante la
técnica de inundación de la red BACnet. El atacante envía
mensajes broadcast sin especificar un listado de dispositivos
objetivo, por lo que todos los dispositivos deben contestar,
generando tráfico innecesario en la red.
 Ataque a la propiedad de escritura: Cambia el valor actual de la
propiedad del objeto BACnet. El resultado de la acción puede
variar según el objeto afectado y su propiedad.
 Deshabilitar conexiones de red: Puede realizarse mediante
varios servicios de BACnet. Las tablas de enrutamiento de la red
BACnet pueden ser corrompidas por un dispositivo comprometido
que comparte información de enrutamiento defectuosa. También
es posible realizar desconexiones de red mediante el envío de
determinados mensajes falsos.
Lonworks
A diferencia de BACnet, LonWorks es una tecnología propietaria que
requiere de un chip de Echelon específico llamado Neuron. A pesar de
ello, LonWorks es utilizado por millones de dispositivos dentro de la
automatización de edificios dado su bajo coste y su flexibilidad a la hora
de mezclarse con componentes de otros fabricantes.
LonWorks define al conjunto de la tecnología, el protocolo utilizado se
conoce como LonTalk, con especificación abierta ISO/IEC 14908. La
tecnología se comporta de forma similar a una red LAN, de donde deriva
su nombre: LON (Local Operating Network – Red de Operación Local).
A nivel de infraestructura física, LonWorks puede funcionar sobre par
trenzado, Ethernet, cable de conducción eléctrica (PLC), fibra, radio,
etc., lo que le confiere una gran versatilidad de uso.
La arquitectura de la tecnología está pensada para funcionar en modo
parejas, de manera que cualquier dispositivo puede hablar con
cualquier otro sin ningún tipo de restricción, por ello se permiten las
topologías en bus, anillo, estrella o mixtas.

- Formato de trama de protocolo LonTalk -

Seguridad
El protocolo LonTalk no implementa cifrado de datos, solo se dispone de
la autenticación de remitente como medida de protección. El cifrado de
datos se utiliza comúnmente para ocultar los datos mientras que la
autenticación de remitente se utiliza para verificar que el remitente de
un mensaje es un remitente autorizado.
Esta comprobación se basa en una clave única de 48 bits para cada
dispositivo, que debe ser colocada antes o durante la instalación,
llamada clave de autenticación, que no se puede leer fuera del chip
Neuron y no se puede modificar sin conocerla. Cada dispositivo debe
conocer la clave de cada uno de los miembros de la red. El dispositivo
mandará todos los mensajes autenticándose, de manera que el receptor
responderá a cada mensaje con un reto en forma de número aleatorio
de 64 bits. El receptor del reto realizará una transformación de
autenticación basándose en su clave privada y devolverá la respuesta a
las operaciones al receptor del mensaje original, que habrá realizado las
mismas operaciones usando la clave que conoce del dispositivo emisor.
Si ambos resultados coinciden entonces se procesará el mensaje
original.
En ningún momento se transmite la clave de autenticación. Una
captura de tráfico solo mostraría el mensaje, seguido del número
aleatorio y de una transformación. Matemáticamente, dado el número
aleatorio y la transformación, es prácticamente imposible determinar la
clave.
Aunque a nivel de seguridad el mecanismo es adecuado para autenticar
al emisor, debe tenerse en cuenta que el mensaje sigue transmitiéndose
en claro, lo que permite realizar escuchas del tráfico de la red aunque
no se puedan insertar nuevos mensajes.
A nivel de tráfico de datos debe tenerse en cuenta que se incrementa
notablemente el intercambio de información, debido a los paquetes del
desafío-respuesta.
En abril de 2015 se publicó un informe sobre criptoanálisis en el que se
indicaba que el algoritmo utilizado por la norma ISO/IEC 14908, en la
que se basa LonTalk entre otros muchos protocolos, era inseguro por
defecto. La solución pasa por utilizar cifradores de autenticación como
AES-CCM o AES-GCM
Desde el año 2014 se permite utilizar BACnet sobre LonTalk, uniendo
las tecnologías de dos grandes rivales en la domótica. Esto permite
poder utilizar BACnet en toda la automatización, desde la gestión hasta
el control de los sensores y actuadores; aplicando las características de
seguridad que ofrece BACnet mejorando las características de
LonWorks.

https://www.incibe-cert.es/blog/seguridad-los-protocolos-control-edificios

https://www.casadomo.com/comunicaciones/ip-ethernet-vertebran-control-edificios-
inteligentes