Estándar IEC 61850, todos para uno y uno para todos

Fecha de publicación 24/01/2019
Autor
INCIBE (INCIBE)
subestacion_automatizada

El estándar IEC 61850, desarrollado por la Comisión Electrotécnica Internacional (IEC, International Electrotechnical Commission), define una serie de protocolos de comunicación entre los distintos dispositivos de subestaciones eléctricas. Estos protocolos son Sampled Measured Values (SMV), Simple Network Time Protocol (SNTP), Manufacturing Message Specification (MMS) y Generic Substation Events (GSE), que a su vez se dividen en Generic Object Oriented Substation Events (GOOSE) y en Generic Substation State Events (GSSE, actualmente en desuso).

Modelo de capas

- Modelo de capas -

Los protocolos que conforman el estándar IEC 61850

  • Sampled Measured Values es utilizado para proporcionar una comunicación rápida de valores de medición, protección y control. Funciona a través de Ethernet (Capa 2 OSI) y los mensajes son encapsulados como multicast, siguiendo una estructura de emisor – suscriptor, donde el emisor envía los datos a todos los equipos de la red y cada equipo se suscribe a los datos para acceder a los mismos.
  • GOOSE es utilizado para la transmisión en tiempo real de eventos críticos y funciona, al igual que Sampled Measured Values, a través de mensajes multicast de Ethernet (Capa 2 OSI). El modelo de funcionamiento de GOOSE también sigue la estructura emisor – suscriptor.
  • Para la sincronización de tiempo de los dispositivos se utiliza el protocolo SNTP. Como su propio nombre indica, es una versión simplificada del protocolo NTP, utilizado en equipos que no necesitan la funcionalidad completa del protocolo. Para la transmisión de los mensajes SNTP se utiliza el protocolo UDP (Capa 4 OSI).
  • Por último, el protocolo MMS es la base de las comunicaciones de datos de aplicación en el estándar IEC  61850. El protocolo envía sus mensajes a través de conexiones TCP (Capa 4 OSI) y es utilizado para las comunicaciones cliente/servidor. Así, es utilizado para el intercambio de datos de la aplicación, así como parámetros de configuración de los dispositivos o datos de monitorización.
  • En definitiva, GOOSE y Sampled Measured Values son utilizados para el envío de datos críticos en tiempo real, al contrario queMMS..

Seguridad en las comunicaciones IEC 61850

Incidentes recientes de seguridad como BlackEnergy y CrashOverride (malware con un módulo exclusivo para comunicaciones IEC 61850) dejan claro que las empresas de distribución eléctrica no están libres de ser objetivo de ataques. Estos incidentes, en los que se han visto involucrados ciertos protocolos industriales, incluido el IEC 61850, ponen de manifiesto la necesidad de aumentar el conocimiento y la seguridad sobre estas comunicaciones, así como de recibir instrucción en las medidas que se pueden aplicar para aumentar la resiliencia de dicho protocolo y en las herramientas a utilizar para asegurar las mismas.

En cuanto a SMV y GOOSE, al no ser protocolos orientados a conexión  multicast, son susceptibles a una serie de ataques ya conocidos, como por ejemplo el ataque de inundación o el de inyección de mensajes capturados, los cuales deben tenerse en cuenta durante el análisis de riesgos. Otra debilidad intrínseca de estos protocolos por su definición es que no poseen ningún mecanismo de cifrado ni de autenticación, lo que hace que sean susceptibles a ataques de captura de paquetes, en los que se extraen información sobre las comunicaciones, o a ataques de man in the middle, en el que los paquetes son capturados y retransmitidos con valores modificados que podrían causar fallos en los dispositivos receptores.

Otro escenario que debe tomarse en consideración sería el relativo a los ataques de inundación en los dispositivos suscriptores de los datos, que afectarían a su disponibilidad. Todos estos aspectos deben estar contemplados en nuestro análisis de riesgos, para tomar medidas de protección adicionales cuando éstas sean necesarias, o asumirlas, dependiendo de la defensa en profundidad que aplique a cada caso en particular.

Por otro lado, al igual que ocurre con los protocolos anteriores, el MMS tampoco implementa ningún mecanismo de cifrado ni autenticación, por lo cual también es susceptible a todos los problemas de seguridad anteriormente nombrados. Uno de ellos es el acceso sin autorización a la información transmitida mediante la captura de los paquetes. Por un lado, un posible atacante podría realizar un ataque man in the middle y modificar los paquetes MMS, y por otro, realizar un ataque de repetición en el que captura los paquetes y los reenvía a los dispositivos.

Todas estas debilidades de seguridad fueron abordadas dentro del estándar IEC 62351, en el que se presentan las medidas y mecanismos a seguir para solucionar o mitigar estos problemas y evitar o paliar la mayoría de estos vectores de ataque.

Mapeo de los estándares de comunicación TC57 a los estándares de seguridad IEC 62351

- Mapeo de los estándares de comunicación TC57 a los estándares de seguridad IEC 62351 -

En el caso de SMV y GOOSE, el estándar IEC 62351 establece el uso de las siguientes medidas para garantizar la seguridad de las comunicaciones:

  • Cifrado: los equipos deberán ser capaces de soportar y cifrar sus mensajes mediante TLS.
  • Autenticación: se establece la necesidad de verificar la autenticidad de los mensajes. Para ello, se recomienda el uso de la generación de un Código de Autenticación de Mensaje (Message Authentication Code, MAC). Este código deberá ser generado mediante hash SHA256 (HMAC) y posteriormente firmado digitalmente (RSA).
  • Los mensajes deberán soportar el uso de etiquetas VLAN.
  • Protección frente a retransmisión de paquetes GOOSE:
    • Los suscriptores deberán verificar la autenticidad de los paquetes siguiendo el mecanismo descrito anteriormente.
    • Los clientes deberán establecer y seguir su hora actual. Si un paquete recibido cuya marca de tiempo supera un límite determinado, deberá ser descartado.
    • Los paquetes deberán ser numerados en el servidor y el cliente realizará la comprobación de dicha numeración en los paquetes recibidos.
  • Protección frente a retransmisión de paquetes SMV:
    • Se debe utilizar el campo security del protocolo.
    • Al igual que GOOSE, los clientes deberán establecer y seguir su hora actual. Si un paquete recibido cuya marca de tiempo supera un límite determinado, éste será descartado.
  • Ambos protocolos deberán ser usados únicamente en redes de área local (LAN), de manera que en caso de no poder utilizar el cifrado de los mensajes por requisitos de tiempos de respuesta y/o consumos de CPU muy bajos, la confidencialidad de los mensajes no se vea afectada, de esta manera se podrá evitar que un ataque situado en otra red pudiera realizar una captura de los paquetes y extraer información de ellos.

En el caso de MMS, el estándar IEC 62351 define medidas de seguridad para sus perfiles de Aplicación (Capas 5 a 7 OSI) y de Transporte (Capas 1 a 4 OSI).

  • Para el perfil de Aplicación se establecen las siguientes medidas de seguridad:
  • Se ha de implementar un mecanismo de configuración de la información de certificación.
  • Validación de la información de los certificados para autenticación de acceso.
  • Configuración del perfil de asociación entrante aceptable para el mecanismo del control de acceso.
  • Configuración del perfil MMS a utilizar.
  • Verificación de los parámetros de asociación.

Las medidas de seguridad establecidas en el perfil de la capa de transporte son:

  • Cifrado de las comunicaciones mediante TLS. Cambio del puerto TCP del 102 al 3782.
  • TP0: imposición de tamaño máximo de TPDU y eliminación de primitivas.
  • Renegociación de cifrado por tiempo o paquetes
  • Uso de certificados.

Herramientas de seguridad adicionales

Para aumentar la seguridad en las comunicaciones IEC 61850 y detectar posibles anomalías, sería recomendable el despliegue de uno o varios NIDS/IPS en la red de comunicaciones. Un NIDS (Network Intrusion Detection System) con inspección profunda de paquetes (Deep Packet Inspection, DPI) permitiría realizar una monitorización del tráfico de la subestación eléctrica y detectar posibles anomalías en la red, como cambios de MAC, cambios de enrutamiento de las peticiones o cualquier otra.

Además, estos sistemas permitirían detectar y prevenir algunos de los posibles vectores de ataques comentados para los diferentes protocolos de comunicación que conforman el estándar IEC 61850, por ejemplo, los ataques de repetición de paquetes, mediante un control extra del número de secuencia, DPI sobre estos protocolos o análisis de tendencias y anomalías que puedan detectar algún cambio en los valores más comunes de las comunicaciones.

Por otra parte, el despliegue de estos elementos en la red de las subestaciones debería ser cuidadosamente estudiado, sobre todo en los requisitos de los firewalls o del propio motor de DPI, debido a la cantidad de datos que pueden ser generados al tratarse de mediciones en tiempo real, como es el caso de las muestras en las comunicaciones GOOSE o SMV. Por un lado, si todo este tráfico es desviado hacia un cortafuegos, podría darse el caso de que éste no pudiera soportar el tráfico, por otro lado, también puede ser un problema realizar DPI sobre todo el tráfico GOOSE o SMV, ya que al tratarse de medidas en tiempo real, sus valores no van a ser lo suficientemente estables como para extraer información relevante durante un análisis.

Conclusiones

Las medidas de seguridad aportadas por el estándar IEC 62351 en las comunicaciones IEC 61850 proporcionan un mayor nivel de resiliencia en estos protocolos. Realizar un correcto análisis de riesgos, así como aplicar las medidas adicionales que sean oportunas para reducir éste hasta un nivel aceptable, serán medidas clave en el proceso de defensa de nuestras infraestructuras.

Etiquetas