Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Características y seguridad en PROFINET

Fecha de publicación 16/02/2017
Autor
INCIBE (INCIBE)
Características y seguridad en PROFINET

PROFINET es el estándar abierto de Ethernet Industrial de la asociación PROFIBUS Internacional (PI) según IEC 61784-2 (Communication Profile Family 3 (PROFIBUS & PROFINET) – RTE communication profiles); y uno de los estándares de comunicación más utilizados en redes de automatización.

Profinet está basado en Ethernet Industrial, TCP/IP y algunos estándares de comunicación pertenecientes al mundo TI. Entre sus características destaca que es Ethernet en tiempo real, donde los dispositivos que se comunican por el bus de campo acuerdan cooperar en el procesamiento de solicitudes que se realizan dentro del bus.

Partiendo de una conectividad básica, como es el cable Ethernet, y unas tramas de comunicaciones establecidas que correspondería a los niveles 1 y 2 del modelo OSI, PROFINET va incorporando nuevas funcionalidades denominadas “perfiles” de utilidad como ProfiSafe o ProfiEnergy, mediante una interpretación específica para cada caso de los datos transmitidos, modificando el nivel 7 (de aplicación). En el caso de Profisafe, se transmiten datos de seguridad (safety), y en el caso de ProfiEnergy, datos y comandos para el ahorro y control energético.   

Con PROFINET es posible conectar dispositivos, sistemas y celdas (conjuntos de dispositivos aislados entre sí), mejorando tanto la velocidad como la seguridad de sus comunicaciones, reduciendo costes y optimizando la producción. Por sus características, PROFINET permite la compatibilidad con comunicaciones Ethernet más propias de entornos TI, aprovechando todas las características de éstas, salvo la diferencia de velocidad que posee una comunicación Ethernet situada en una red corporativa frente al rendimiento en tiempo real que necesita una red industrial.

Adicionalmente el uso del estándar PROFINET en el nivel E/S pueden proporcionar las siguientes ventajas:

  • Mejora la escalabilidad en las infraestructuras.
  • Acceso a los dispositivos de campo a través de la red. PROFINET al ser un protocolo que utiliza Ethernet en su comunicación facilita acceder a dispositivos de campo desde otras redes de una forma más fácil.
  • Ejecución de tareas de mantenimiento y prestación de servicio desde cualquier lugar. Es posible acceder a dispositivos de campo mediante conexiones seguras como por ejemplo VPN para realizar mantenimientos remotos.

Comunicación PROFINET

PROFINET utiliza 3 servicios de comunicación:

  • Standard TCP/IP: Este servicio se utiliza para funciones no deterministas, como parametrización, transmisiones de vídeo/audio y transferencia de datos a sistemas TI de nivel superior.
  • Real Time: Las capas TCP/IP no son utilizadas para dar un rendimiento determinista a las aplicaciones de automatización, funcionando con unos tiempos de retardo en el rango 1-10ms. Este hecho representa una solución basada en software adecuada para aplicaciones típicas de E/S, incluyendo control de movimiento y requisitos de alto rendimiento.

Real Time, Profinet

  • Isochronous Real Time: La priorización de señal y la conmutación programada proporcionan una sincronización de alta precisión para aplicaciones como el control de movimiento. Las velocidades de ciclo en rangos de sub-milisegundos son posibles, con jitter (variabilidad temporal durante el envío de señales digitales) en el rango de sub-microsegundos.

Isochronous Real Time, Profinet

Existen varios protocolos definidos dentro del contexto PROFINET. Una lista de estos protocolos junto con su uso concreto es la siguiente:

  • PROFINET/CBA: Protocolo asociado a las aplicaciones de automatización distribuida en entornos industriales.
  • PROFINET/DCP: Descubrimiento y configuración básica. Es un protocolo basado en la capa de enlace, utilizado para configurar nombres de dispositivos y direcciones IP. Se restringe a una red y se usa principalmente en aplicaciones pequeñas o medianas que no disponen de un servidor DHCP.
  • PROFINET/IO: A veces llamado PROFINET-RT (RealTime), es utilizado para comunicaciones con periferias descentralizadas.
  • PROFINET/MRP: Protocolo utilizado para la redundancia de medios. Utiliza los principios básicos para la reestructuración de las redes en caso de sufrir un fallo cuando la red posee una topología en anillo. Este tipo de protocolo es utilizado en redes en las que la disponibilidad ha de ser máxima.
  • PROFINET/MRRT: Su objetivo es dar soluciones a la redundancia de medios para PROFINET/RT.
  • PROFINET/PTCP: Protocolo de Control de Precisión de Tiempo basado en la capa de enlace, para sincronizar señales de reloj/tiempo en varios PLC.
  • PROFINET/RT: Transferencia de datos en tiempo real.
  • PROFINET/IRT: Transferencia de datos isócrono en tiempo real.

Seguridad

La accesibilidad proporcionada por PROFINET lo hace un protocolo muy expuesto a Internet, por lo que es necesario mejorar la ciberseguridad de las redes en las que se despliega.

Algunas de las buenas prácticas para asegurar entornos industriales que usan PROFINET aparecen reflejadas en el documento “PROFINET Security Guideline” publicado por PROFIBUS Internacional o en el documento de “Protocolos y seguridad de red en infraestructuras SCI” publicado por INCIBE:

  • Protección frente a errores, funcionamientos incorrectos y manejo adecuado de los incidentes que puedan originarse con procedimientos previamente creados.
  • Prevención frente a accesos no autorizados que podrían producir manipulaciones en la red o espionaje.
  • Uso de estándares y dispositivos de seguridad probados y certificados (Cortafuegos, VPN, IDS/IPS, etc.).
  • Medidas en la infraestructura de red. Las arquitecturas de redes planas simplifican y facilitan la comunicación entre sistemas y dispositivos. Sin embargo, éstas presentan un reto para mantener la disponibilidad, estabilidad y seguridad de la red, ya que un atacante con acceso a la red podría acceder a todos los nodos. La segmentación de red con uso de VLAN, router, cortafuegos, etc. contribuye de manera significativa a mitigar estos problemas.

Posible uso de VLAN para asegurar una red con Profinet

- Posible uso de VLAN para asegurar una red con Profinet -

  • Protección de los dispositivos finales. Gracias a la desactivación selectiva de servicios, desinstalación de aplicaciones innecesarias o modificación de contraseñas por defecto, podemos asegurar los dispositivos finales presentes en una red industrial minimizando puntos débiles y brechas de seguridad.

Estos puntos suponen algunas de las claves necesarias a implementar para poder conservar la integridad de una red PROFINET sin presentar restricciones a los empleados que necesitan acceso y así aprovechar todo el potencial del estándar.

Análisis de tráfico con Wireshark

Para profundizar en el estudio del estándar, se ha analizado una trama de red de este tipo de comunicaciones. Los datos recopilados son los siguientes:

Datos recopilados con wireshark

PROFINET/DCP (Discovery and Configuration Protocol)

Se trata de un protocolo del contexto PROFINET que tiene 2 funciones principales:

  1. Utilizado por el Supervisor (PC) para asignar un nombre único a un dispositivo (estación).
  2. Utilizado por el controlador (CPU) para asignar una dirección IP única a un dispositivo (cómo se define en la configuración de hardware) en conjunción con las peticiones ARP.

Filtrado de paquetes profinet

Tras realizar un filtrado para ver sólo los paquetes pertenecientes al estándar PROFINET, se observa que se está realizando un proceso para establecer la conexión entre 2 dispositivos.Las fases que se producen son las siguientes:

Proceso de trama analizada

Asignación de nombres a los dispositivos

El primer elemento de la trama analizada consiste en la asignación de nombres a los dispositivos. Estos nombres pueden configurarse manualmente, antes de conectarlos a la red o automáticamente al encenderlos (previamente conectados a la red). En este ejemplo, tanto la asignación de los nombres como la de las IP, utilizan PROFINET-DCP.

Análisis de la trama

Para la conexión de una periferia distribuida a un PLC utilizando PROFINET, aparte de las especificaciones propias del protocolo para el intercambio de datos, el dispositivo también responderá a mensajes de otros protocolos basados en Ethernet y necesarios para su configuración como por ejemplo ARP (Address Resolution Protocol), LLDP (Link Layer Discovery Protocol), SNMP (Single Network Management Protocol) del mismo modo que responden a un ping.

Como se ha podido leer a lo largo del artículo, PROFINET es un protocolo que proporciona grandes ventajas con respecto a la disponibilidad de las comunicaciones en entornos industriales, pero dadas sus características utilizando Ethernet la exposición que tienen los sistemas con PROFINET es elevado y por ello es necesaria una buena segmentación de red además del uso de buenas prácticas.

Etiquetas