Mejorando la seguridad del IEC 104 con la ayuda del estándar IEC 62351

Fecha de publicación 05/12/2018
Autor
INCIBE (INCIBE)
Ethernet_industrial

Definición del protocolo IEC 60870-5-104

El estándar IEC 60870-5-104, también conocido por IEC 104, es un protocolo industrial, extensión del IEC 60870-5-101, para abreviar IEC 101, que se encarga exclusivamente del telecontrol, monitorización y comunicaciones relacionadas con el sistema SCADA. En general, es utilizado en el sector eléctrico para la automatización de subestaciones y centrales de generación. El protocolo IEC 104 mejora la versión IEC 101 en los servicios proporcionados en la capa de red, de transporte, física y de enlace del modelo OSI, ya que permite una conectividad o acceso total a la red mediante TCP/IP.

El protocolo IEC 104 es el encargado de transportar la información desde las RTU (Unidad Terminal Remota), IED (Dispositivos Electrónicos Inteligentes), Gateway o servidores de comunicaciones hasta el sistema SCADA.

El funcionamiento del protocolo IEC 104 es el siguiente:

  • La estación de control, comúnmente con rol maestro, es la encargada de iniciar las comunicaciones o enviar comandos a dispositivos o aplicaciones; estos datos transmitidos van en una sola dirección, llamada de control.
  • Las subestaciones o estaciones controladas serán los dispositivos remotos que transmiten los datos recogidos a las estaciones de control. Esta dirección de envío se conoce por el nombre de supervisión. Al ser dependientes de la estación de control, reciben el nombre de esclavos.

La seguridad en IEC 104

Para poder hablar sobre la ciberseguridad en este protocolo, primero tendremos que recordar varios fallos de seguridad que tuvieron lugar durante estos últimos años y en los que se vio afectado en mayor o menor medida.

En estas últimas décadas, los ataques a infraestructuras críticas han aumentado en gran medida, siendo el protocolo IEC 104 uno de los afectados por malware. Entre los más conocidos se encuentran BlackEnergy y CrashOverride que afectaron a centrales eléctricas de Ucrania. El malware BlackEnergy se aprovechó del protocolo IEC 104 para buscar servicios abiertos que estuviesen relacionados con el sector de la energía. CrashOverride es un malware modular, el cual se aprovecha de las industrias o fábricas que usaban, entre otros, el protocolo industrial IEC 104. Este era de los pocos protocolos, al igual que su versión serie (IEC 101), con módulos con payload, es decir, solo el conjunto de datos transmitidos que representan el mensaje en sí, sin necesidad de cabeceras o metadatos. Para atacar se aprovecha de la relación en la comunicación maestro-esclavo que requiere el protocolo industrial.

El estándar IEC 62351, desarrollado por un IEC TC57, describe mejoras de seguridad para una serie de protocolos del sector eléctrico, donde se incluye la familia de protocolos IEC 60870-5. Entre las mejoras de seguridad incluidas se encuentra la autentificación de la transferencia de datos a través de firmas digitales, el control de acceso mediante autentificación y la prevención de las comunicaciones en claro, ya que al poder ser interceptadas pondrán en riesgos nuestros datos y podrían usurparnos, es decir, esto implicará una mejora de la confidencialidad e integridad además de la detección de intrusos.

Para poder hablar de las mejoras de seguridad que el IEC 62351 nos proporciona, primero veremos los problemas o desafíos a los cuales nos enfrentamos en la familia del protocolo IEC 60870-5:

  • Comunicación asimétrica: el protocolo se ve afectado debido al concepto de desigualdad entre las estaciones de comunicación. La existencia de una estación de control y una controlada tiene dos impactos en el diseño de este mecanismo de autenticación:
    • El formato de mensajes en cada dirección será diferente, incluso si las funciones son las mismas.
    • La distribución de claves se simplifica, ya que siempre serán emitidas por la estación de control.
  • Capacidad de procesamiento limitada: la falta de potencia de procesamiento disponible en muchos dispositivos ha sido una preocupación importante en el diseño de los protocolos desde su creación. Este requisito de diseño afecta también el mecanismo de autenticación.
  • Sin acceso al servidor de autentificación: debido al funcionamiento del protocolo y el tipo de redes en las que se implementa, el acceso a dispositivos de autenticación externos a la propia comunicación, puede ser complejo y poco práctico.
  • Suma de comprobación limitada: la integridad del mensaje es una alta prioridad en el diseño del protocolo. Sin embargo, las medidas de integridad para estos protocolos fueron diseñadas para proteger contra ruido aleatorio y no para hacer frente a un ataque.
    • La serie de protocolos IEC 60870-5 usan “frame type” FT 1.2, los cuales utilizan bits de paridad y suma de verificación de un solo octeto para proteger contra errores de bits. El uso de un solo octeto no es lo suficientemente grande para proporcionarnos un código de detección de errores de mensajes seguros.
    • El protocolo IEC 104 depende de las medidas de integridad de las capas inferiores del modelo OSI. Esto es debido a que esta especificación del protocolo solo se implementa en la capa de aplicación.

Por estas razones, el mecanismo de control de integridad que se requiere no puede hacer uso de las medidas de integridad del protocolo existente y proporcionar la seguridad de mensaje.

Algunas de las mejoras de seguridad que nos proporciona el estándar IEC 62351 serian:

  • Desafío y respuesta: este mecanismo se basa en que el cliente le enviará un desafío al maestro cada vez que inicie la comunicación y éste le ha de devolver la respuesta adecuada. Este principio ha sido aplicado por las siguientes razones.
    • Coloca la responsabilidad de la seguridad en el dispositivo que requiere ser autenticado, que es más práctica en una red diversa como las que se encuentran en el sector de la industria.
    • Permite cierta comunicación sin garantía o insegura, si así se desea, reduciendo el ancho de banda y requisitos de procesamiento.
    • Trabaja eficazmente en un entorno no orientado a la conexión.
  • Compatibilidad hacia atrás (backwards tolerance): una mejora sobre la comunicación de dispositivos no seguros que implica que:
    • Nuestro dispositivo seguro debe ser capaz de detectar que el dispositivo no admite o soporta el mecanismo de autenticación.
    • Nuestro dispositivo no seguro no debe continuar operando normalmente después de ser contactado por el dispositivo seguro, es decir, el mensaje de autenticación no puede hacer que el dispositivo no seguro falle.
    • Los dos dispositivos deben ser capaces de seguir para el intercambio de información, mientras no sea crítico para la conexión.
  • Uso con canales redundantes: al utilizarse con este medio, tal como se especifica en IEC 104, no se considerará que el enlace ha fallado y las claves de sesión son inválidas hasta que se hayan comprobado todos los canales.

Herramientas de seguridad

Aunque el propio protocolo ayude a mejorar nuestra seguridad, ahora veremos qué medidas externas (como cortafuegos industriales con DPI, herramientas de IDS o IPS, etc.) nos podrían servir para que la comunicación del IEC 104 sea más fiable.

Una de las medidas externas que mejor podemos aprovechar para asegurar comunicaciones IEC 104 es el uso de cortafuegos industriales con DPI (inspección profunda de paquetes). En nuestro caso, conseguiría una transmisión de datos para el protocolo IEC 104 más fiable gracias a la implementación o definición de reglas propias para nuestro protocolo industrial ya que, al analizar más exhaustivamente los paquetes, podrá detectar malware de una manera más eficiente, en este caso en la capa de aplicación, donde actuará.

Por otro lado, también tendremos los analizadores de tráfico de red como Network Miner o Wireshark, que podrían beneficiar al IEC 104 mediante la monitorización de la red para posibles intrusiones y así solucionar los problemas de la misma de una forma rápida.

Además el uso de herramientas IDS o IPS nos facilitará localizar fallos en la pila del protocolo para el tratamiento de algunos paquetes o mensajes que se vean en el análisis. Gracias a estos instrumentos, podremos analizar tramas de tráfico de protocolos concretos que ayudará a solucionar las vulnerabilidades que podamos encontrar en nuestros dispositivos industriales con más rapidez lo que implicará actualizaciones en los productos y más prevención.

También, podremos encauzar los eventos provenientes de las herramientas/dispositivos mencionados hacia un SIEM, lo que será un beneficio de nuestro protocolo industrial que se aprovechará del envío o transmisión de paquetes ya que estará en constante inspección del tráfico y así la seguridad del IEC 104 será más robusta.

La mayoría de los protocolos industriales como el IEC 104 no incorpora cifrado en su implementación. De esta forma, un acceso no autorizado a la red permitiría a un atacante inspeccionar y manipular el tráfico. Por este motivo, tunelizar SSH es altamente recomendable para la autentificación y el acceso a servicios de la red o dispositivos de esta. Esta técnica consiste en encapsular un protocolo de red sobre otro. Otra alternativa sería la utilización de VPN para el acceso remoto, aportando de igual medida el cifrado y autenticación necesaria que nuestra conexión necesitará.

Conclusiones

En el mundo de la ciberseguridad, enfocado al sector industrial, se sigue intentando mejorar la seguridad en protocolos que no la implementaron en una primera instancia, ya que o no se veía necesaria su aplicación por la ausencia de grandes ataques al entorno de infraestructuras críticas o no era posible en ese instante una mejora de los protocolos. Por los problemas de integridad y confidencialidad entre otros, que hay hoy en día, se intentan aplicar mejoras externas a estos protocolos que ayuden a un aumento de la seguridad o como se ha visto, se usa la encapsulación en protocolos seguros que ayuden a otros más desprotegidos. Aunque al fin y al cabo, lo más importante es que estos avances en la seguridad sean implementados por todos los actores implicados.

Etiquetas