Documentos de Académico
Documentos de Profesional
Documentos de Cultura
© Siemens AG 2016
IT Security
IT Security
Industrial Security
■ Sinopsis
Web client ERP Domain controller
- OS
- Maintenance
- Information
Virus scan WSUS
server server
Front-end
Domain MES/MIS COMOS plant firewall
controller SIMATIC IT lifecycle management
Engineering
station
Terminal bus
Plant bus
G_PCS7_XX_00145
Ejemplo de una arquitectura de seguridad escalonada
Con el avance de la estandarización, la abertura y la interco- • Creación de una arquitectura de red con niveles de seguridad
nexión en redes han aumentado enormemente los riesgos de escalonados (defense in depth), combinada con la segmen-
seguridad a que están expuestos los sistemas de instrumenta- tación de la instalación en células de seguridad
ción y control. El potencial de peligro que proviene de progra- • Administración de red, asignación de direcciones IP y división
mas nocivos, tales como virus informáticos, gusanos y troyanos, en subredes
o bien de personas sin autorización, puede reflejarse en redes
sobrecargadas o caídas, espionaje de contraseñas y datos, o • Funcionamiento de instalaciones en dominios Windows
bien accesos no autorizados a la automatización de procesos. (Active Directory)
Además de daños materiales, el sabotaje premeditado puede • Administración de los derechos de acceso de Windows y de
tener graves consecuencias para las personas y el medio am- los derechos de acceso deSIMATIC PCS 7; integración de los
biente. derechos de acceso de SIMATIC PCS 7 en la administración
15 El sistema de seguridad desarrollado para SIMATIC PCS 7
ofrece la posibilidad de proteger ampliamente la planta de con-
de Windows
• Control absoluto de la sincronización horaria
trol de todos estos peligros. Siemens le ayuda en la medida de • Gestión de los parches de seguridad para los productos de
sus necesidades con prestaciones adicionales para el análisis, Microsoft
la implementación y la gestión de la seguridad durante el funcio- • Uso de antivirus, listas blancas y cortafuegos
namiento de la planta (más detalles en el capítulo "Servicios",
sección "Plant Security Services). • Configuración y funcionamiento de accesos al soporte
técnico y accesos remotos (VPN, IPSec)
Filosofía de seguridad de SIMATIC PCS 7
El manual "Sistema de seguridad PCS 7 y documentación bá-
La filosofía de seguridad de SIMATIC PCS 7 descrita detallada- sica de WinCC" está disponible en Internet en "Documentación
mente en el manual "Sistema de seguridad PCS 7 y documenta- técnica SIMATIC" - "Manuales SIMATIC PCS 7" - "Manuales
ción básica de WinCC" y también en la documentación deta- SIMATIC PCS 7 V8.2":
llada, proporciona recomendaciones (mejores prácticas) para
proteger una planta de control de procesos basándose en una www.siemens.com/simatic-docu
arquitectura del sistema con niveles de seguridad de tipo de-
fensa en profundidad (defense in depth). No se limita al uso de
métodos o dispositivos de seguridad independientes entre sí
(como p. ej. el cifrado o los cortafuegos). El secreto de este sis-
tema de seguridad global es la combinación de varias medidas
de seguridad distintas en un complejo de instalaciones.
IT Security
Industrial Security
■ Diseño
Por el lado del sistema, SIMATIC PCS 7 respalda la aplicación Gracias a los mecanismos de seguridad integrados, el CP 1628
de las normas y recomendaciones del sistema de seguridad puede proteger tanto las estaciones PCS 7 y su comunicación
mediante: de datos dentro de una red de automatización, como también el
• Compatibilidad con las actuales versiones de los programas acceso remoto a través de Internet. Permite un acceso seguro a
antivirus Trend Micro OfficeScan, Symantec Norton AntiVirus estaciones individuales o células de automatización completas
y McAfee VirusScan que están protegidas por módulos Security. En este caso es po-
sible combinar distintas medidas de seguridad como firewall y
• Aplicación de los cortafuegos locales de Windows VPN mediante túneles IPsec.
• Configuración automática de los parámetros relacionados
con la seguridad (por ejemplo, DCOM, el Registro y el corta- Encontrará información adicional y los datos técnicos del mó-
fuegos de Windows) ya desde el momento de la instalación dulo de comunicación CP 1628 en el catálogo IK PI, capítulo
Industrial Ethernet, dentro de Conexiones de sistema, Conexio-
• Gestión y autentificación de usuarios en SIMATIC Logon nes de sistema para PG/PC/IPC.
(los detalles los encontrará en la sección "SIMATIC Logon",
pág. 15/6)
• Módulo de comunicación CP 1628 con funciones de
seguridad integradas (Firewall, VPN) como alternativa a la
conexión Industrial Ethernet de SIMATIC PCS 7 Industrial
Workstations
• Integración de los módulos Industrial Security SCALANCE
S602, S612, S623 z S627-2M
• Automation Firewall
• Lista blanca de aplicaciones (Application Whitelisting)
IT Security
Industrial Security
■ Diseño (continuación)
Variantes de productos: Automation Firewall
• Módulo Industrial Security SCALANCE S602 El Automation Firewall (ver el capítulo "Arquitectura y configura-
- Protege segmentos de red contra accesos no autorizados ción" del catálogo ST PCS 7 AO) o cortafuegos para automati-
con Stateful Inspection Firewall zación está dotado de Stateful Inspection Paket Filter, Applica-
- "Modo Ghost" para la protección de dispositivos indivi- tion Layer Firewall, funcionalidad VPN Gateway, filtrado de URL,
duales, incluso distintos, gracias a la adopción dinámica de Web Proxy y prevención de intrusiones. Dependiendo de la en-
la dirección IP vergadura de la instalación, se puede utilizar como cortafuegos
• Módulo Industrial Security SCALANCE S612 frontal y posterior o en una configuración "three homed". Así pro-
- Con Stateful Inspection Firewall y funcionalidad VPN (Virtual tege el punto de acceso al entorno de la producción (por ejem-
Private Network) protege contra accesos no autorizados, plo, desde las redes de oficina o intranet). El cortafuegos para
manipulación de datos y espionaje automatización se entrega preinstalado.
- Posibilidad de usar hasta 128 túneles IPsec simultáneos Automation Firewall incrementa su valor gracias también a los
• Módulo Industrial Security SCALANCE S623 servicios integrados; por ejemplo:
- Con Stateful Inspection Firewall y funcionalidad VPN (Virtual • Asistencia telefónica
Private Network) protege contra accesos no autorizados,
manipulación de datos y espionaje • Servicio de sustitución
- Posibilidad de usar hasta 128 túneles IPsec simultáneos • Servicio de actualización del software
- Puerto RJ45 DMZ adicional (amarillo) para crear una "zona
desmilitarizada" (DMZ); puede terminar VPN y está La oferta se completa con servicios adicionales, como son
asegurado por firewalls hacia el puerto rojo y verde las soluciones personalizadas de firewall o la integración de
- Protección redundante de células de automatización firewalls en las instalaciones del cliente.
mediante redundancia de router y firewall, así como acopla- Lista blanca de aplicaciones (Application Whitelisting)
miento stand-by del dispositivo redundante a través del
puerto amarillo Los mecanismos de protección llamados Whitelisting o listas
• Módulo Industrial Security SCALANCE S627-2M blancas garantizan que en una estación del sistema de control
- Con Stateful Inspection Firewall y funcionalidad VPN (Virtual de procesos SIMATIC PCS 7 se ejecuten únicamente aplicacio-
Private Network) protege contra accesos no autorizados, nes y programas de confianza. Es decir, impiden que se ejecute
manipulación de datos y espionaje software no autorizado y que se modifiquen las aplicaciones ins-
- Posibilidad de usar hasta 128 túneles IPsec simultáneos taladas, ofreciendo así una protección adicional contra el
- Puerto RJ45 DMZ adicional (amarillo) para crear una "zona malware (software malicioso). Este tipo de protección se puede
desmilitarizada" (DMZ); puede terminar VPN y está implementar instalando aplicaciones adicionales como, por
asegurado por firewalls hacia el puerto rojo y verde ejemplo, McAfee Application Control V5.1.
- Protección redundante de células de automatización
mediante redundancia de router y firewall, así como modo
stand-by del dispositivo redundante; comparación del
estado del firewall a través de un cable de sincronización
entre los puertos amarillos
- Dos slots adicionales para un módulo de medio de 2 puertos
por slot (ver en SCALANCE X-300) para la integración
directa en topologías en anillo y redes de FO con dos
puertos conmutados por módulo, de color rojo o verde
- Superación de grandes longitudes de cable; aprovecha-
miento de los cables a 2 hilos ya existentes mediante los
módulos de medio MM992-2VD (distancia variable)
Nota:
La herramienta Security Configuration Tool (SCT) suministrada
con el producto permite crear y configurar con toda facilidad los
módulos Security que van a comunicarse entre sí de forma se-
gura. Para esta tarea no se requieren conocimientos especiales
15 en TI.
Toda la configuración puede guardarse en el soporte de datos
intercambiable C-PLUG (opcional; debe pedirse por separado)
y transferirse a otro módulo Security. Así es posible sustituir los
módulos de forma rápida y sencilla en caso de fallos.
Encontrará información adicional y los datos técnicos de los
módulos Security SCALANCE S en el catálogo IK PI, capítulo
"Industrial Ethernet", apartado "Industrial Ethernet Security".
IT Security
Industrial Security
■ Más información
Siemens comercializa productos de automatización y acciona- Para el funcionamiento seguro de una máquina o instalación, es
mientos con funciones de Industrial Security que contribuyen al
funcionamiento seguro de la instalación o máquina. Estos son
necesario tomar medidas de seguridad adecuadas (p. ej., sis-
tema de protección de células) e integrar los componentes de 15
un bloque importante de un sistema Industrial Security integral. automatización y accionamiento en un sistema Industrial Secu-
Atendiendo a este punto de vista, los productos son objeto de rity integral para toda la instalación o máquina que responda a
mejoras continuas. Recomendamos informarse periódicamente los últimos avances tecnológicos. También hay que tener en
de las actualizaciones de nuestros productos. Encontrará más cuenta los productos de terceros que tenga instalados. Encon-
información y la newsletter respectiva en: trará más información en
http://support.automation.siemens.com www.siemens.com/industrialsecurity