PRP y HSR: Protocolos redundantes

Los sistemas de control industrial han evolucionado hacia una automatización de la mayoría de los estados y eventos, relegando el control manual a una interacción mínima. El control de las interrupciones críticas de un proceso, y el tiempo de respuesta que requiere, planteó nuevas necesidades a nivel de red que debían ser cubiertas. La importancia que toman los protocolos de red y una correcta elección de éstos para el diseño de nuestras redes industriales es esencial en la seguridad de sistemas críticos.

La importancia de los protocolos de comunicación de red, así como sus tiempos de recuperación ante una pérdida de enlace, se considera crítica en ciertos sistemas industriales. Los protocolos tradicionales actúan recalculando todo el camino cuando se comunica un fallo en un enlace; sin embargo, los algoritmos de recuperación de estos protocolos de red son transparentes a las capas superiores, aunque el tiempo que tardan en recalcular los enlaces repercute el tiempo de transmisión de un mensaje.

Para un evento crítico, aunque hablásemos de incrementar el retardo en milisegundos, puede ser igual de grave que la pérdida de la información.

Los márgenes o la ventana de exposición de un dispositivo, cuando nos encontramos con un sistema de protección deben tender a “cero” o dejarían de ser sistemas de protección.

-Relación entre tipo de sistema y tiempos aceptables de recepción de mensajes-

Los protocolos tradicionales de comprobación de bucles y recuperación de enlaces en capa 2 de red Spanning Tree Protocol (STP) y Rapid Spanning Tree Protocol (RSTP), tienen limitaciones de tiempo a la hora de reconfigurar la tabla de red, por lo que no son adecuados para las demandas actuales de determinados sistemas críticos. Para atender esta demanda, se desarrollaron los protocolos de redundancia Parallel Redundancy Protocol (PRP) y Highly-available Seamless Redundancy (HSR), redactados en el estándar IEC 62439-3.

-Tiempos de recuperación de red de los protocolos más comunes-

Los protocolos redundantes se utilizan en los niveles inferiores definidos en la pirámide de la ISA-95, es decir, a nivel de campo y nivel de control.

PRP

PRP es un protocolo para asegurar la alta disponibilidad y reducir el tiempo de recuperación de red y por lo tanto el de transmisión a “cero”. Este protocolo se basa en el uso de dos redes independientes a todos los niveles, LAN A y LAN B, y enviar el mismo mensaje a la vez en las dos redes.

El dispositivo debe enviar por cada una de sus dos interfaces de red, una trama  con la misma MAC y la misma IP por un puerto diferente en ambas redes.

-Diferencias entre Dual LAN, Redundant LAN y PRP-

La configuración de estas dos redes, así como los enrutadores (“switch”) no cambian por el uso o no de este protocolo. La latencia de ambas redes debería ser parecida pero no igual, si las latencias fueran muy dispares siempre nos llegaría la trama por la misma red y se debería esperar esta diferencia de tiempos por la segunda trama.

EL protocolo PRP se encapsula dentro de una trama de red IP, esto nos permite una de las mayores ventajas de este protocolo, a efectos de la red es transparente el uso del protocolo, por lo que pueden comunicarse por ella tanto dispositivos que usen PRP como dispositivos que no lo usen.

Teniendo en cuenta esta característica del protocolo PRP, nos podemos encontrar con dos tipos de dispositivos en cada una de nuestras redes. Dispositivo donde la redundancia esté integrada, DANP (Double Attached Node implementing PRP), y un dispositivo sin redundancia, SAN (Single Attached Node).

-Esquema de Red con intercambio de tramas para protocolo PRP-

Los dispositivos DANP aplicarán una operativa adicional propia de este protocolo, a través de una entidad Link Redundancy Entity (LRE), encargada del duplicado de las tramas y la gestión de las tramas redundantes, siendo transparente al resto de capas del modelo OSI. Esta operativa se realiza a nivel de capa 2.

El trabajo realizado por el LRE consistirá en:

• Recibir una trama de la capa 3 de enlace. Ante este evento, crea dos nuevas tramas añadiendo después de la cabecera IP una serie de bytes llamados Redundancy Control Trailer (RCT).
• Enviar a la vez las dos tramas, por su correspondiente puerto, a cada una de las dos redes independientes.
• En el receptor, el LRE se encarga de remover el RCT y enviar la trama a las capas superiores. Existen varias formas de configurar el algoritmo de descarte de las tramas, lo normal es que se configure para descartar la trama duplicada en el LRE, otra configuración válida es el envío de las tramas duplicadas a las capas superiores. Normalmente se guarda el ID de la trama y cuando llega otra con el mismo ID se descarta.

El siguiente esquema muestra la trama Ethernet y la trama PRP (Ethernet + RCT). La estructura del RCT suma 6 bytes:

• Número de secuencia: 16 bits. Número incremental para identificar la duplicada.
• Indicador de Red: 4 bits. Identifica LAN A (0xA) o LAN B (0xB).
• Tamaño de la trama: 12 bits. Tamaño de la trama con el RCT.
• Sufijo PRP: 16 bits. Indica el tipo de trama Ethernet (0x88FB) PRP.

-Formato de tramas PRP con el Redundancy Control Trailer-

Las principales características de este protocolo son:

• Las redes LAN A y LAN B tienen que ser independientes en caso de fallo y operan en paralelo. Tienen que disponer de latencias parecidas. Las redes LAN A y LAN B no tienen que ser idénticas.
• Todos los dispositivos SAN deben estar solamente conectados a una de las dos redes LAN (A o B).
• Los switches de LAN A y los switches de la LAN B son considerados SAN.
• Todos los DANP tiene que conectar a ambas redes. Tienen que poseer la misma IP y la misma MAC en los puertos A y B y ser única en la red.

HSR

HSR es un protocolo de redundancia, igual que PRP. Asegura la alta disponibilidad y reduce el tiempo de recuperación de red y por lo tanto el de transmisión a “Cero”. Se basa en una redundancia en el dispositivo, una trama de nivel 3 de red, se convierte en 2 tramas HSR idénticas y son enviadas por los dos puertos del dispositivo hacia una red con topología de anillo, en direcciones opuestas. Los dispositivos enlazados en esta red de anillo son llamados DANH (Double Attached Node implementing HSR).

-Esquema de Red con intercambio de tramas para protocolo HSR-

La operativa del protocolo HSR es diferente a la del PRP. Los dos actúan en la capa nivel 2 de enlace, pero a diferencia de PRP, que encapsula su trama dentro de una trama estándar Ethernet en el campo de datos, el protocolo HSR modifica las cabeceras de la trama Ethernet al añadir sus nuevos campos HSR. Esta es la razón por la que la red debe ser exclusiva de nodos DANH.

Las principales diferencias con el protocolo PRP son:

• Existe una única red LAN con topología obligada en forma de anillo.
• Todos los dispositivos existentes en esta red deben entender el protocolo HSR. Son nodos DANH.
• Los switches son dispositivos SAN, por lo que no pueden insertarse dentro del anillo.
• Los dispositivos incorporan una operativa para enviar y recibir tramas. Al estar todos los nodos conectados entre sí, deben añadir una funcionalidad extra que actúa como puente para todas las tramas en las que no interviene como origen o destino. Simplemente reenvía las tramas recibidas en un puerto por el otro, dejando “fluir” las tramas hacia su destino.

Esquema de trama del protocolo HSR:

-Formato de trama HSR-

Los dispositivos SAN, mediante un dispositivo intermedio llamado RedBox (Redundancy Box), permiten convertirse en dispositivos VAND (Virtual Doubly Attached Node) tanto para HSR como para PRP. Esto permite integrar cualquier dispositivo a la red de redundancia.

Los dispositivos RedBox tienen dos características interesantes:

• Independientes del dispositivo que redundan.
• Reutilizables, pueden cambiar de dispositivo, de red o de protocolo.

Los dispositivos más actuales del tipo RedBox son muy versátiles y configurables por el administrador:

• Permiten elegir el protocolo de salida HSR, PRP.
• Permiten la duplicidad de tramas para más de un dispositivo a la vez, gracias a listas blancas de IP, por ejemplo.
• Pueden ser reconfigurados de manera remota. Permite eliminar un dispositivo redundado de la red, sin necesidad de una parada o recableado manual.
• Dispone de mecanismos de seguridad configurables, como SSL, elección de autenticación mediante varios sistemas, etc…

Redes y Seguridad

Los protocolos redundantes mejoran dos de los tres pilares de la seguridad disponibilidad y la integridad, por duplicidad que realizan de los mensajes. Pero no aportan mayor grado de confidencialidad a los mensajes, por lo que no incrementan el nivel de seguridad desde el punto de vista lógico.

Estos protocolos trabajan en las capas bajas del modelo OSI, por lo que hay que asegurarse de que los protocolos que se utilicen sobre ellos, sobre todo en la capa de aplicación, aporten ese nivel de seguridad que estos protocolos no disponen.

-Implementación de protocolos redundantes en un sistema de control-

Los sistemas críticos requieren unas medidas adicionales de Ciberseguridad. Los protocolos PRP y HSR nos permiten aumentar dos de los factores más importantes, la disponibilidad y la integridad. Reducir estos vectores de ataque al mínimo gracias a los protocolos redundantes, supone una gran ventaja para la seguridad en sistemas críticos. 

Antes de empezar a usar estos protocolos, debemos realizar un análisis en profundidad de las necesidades de nuestra industria. El coste de implantación y mantenimiento de los dispositivos necesarios para la implementación de estos protocolos, tanto técnico como económico, tiene que ser sopesado, aunque en determinados entornos sea obligatorio su utilización.