Control de acceso remoto a redes industriales

Abstract

[Resumen] El acceso remoto a redes industriales es una de las contribuciones que la Industria 4.0 ha popularizado al habilitarse la integración de las tecnologías TCP/IP en las redes OT y poder realizarse dicho acceso a través de la red pública Internet. De esa forma se posibilita ejecutar operaciones de mantenimiento de forma remota con mejoras en recursos y costes respecto a las opciones previas. No obstante, este acceso hace que los riesgos de seguridad aumenten al abrirse una nueva e importante vulnerabilidad y existir la posibilidad de acceso desde cualquier equipo conectado a Internet. Para poder gestionar de forma eficiente estos accesos remotos, este trabajo propone el uso del protocolo industrial de telemetría MQTT en el intercambio de comandos de control de acceso entre las partes implicadas. Ello permite una modalidad de acceso oportunista que disminuye cuantitivamente hasta en cuatro los niveles de seguridad requeridos según la norma IEC62443. La propuesta incluye una topología basada en tres elementos, el Ancla, el UNet y el Nauta y en tres servicios ofrecidos en formato Open-Source, el servicio de redirección de puertos, el servicio de acceso y el servicio de control de acceso.

[Abstract] Remote access to industrial networks is one of the contributions that Industry 4.0 has popularized by enabling integration of TCP/IP technologies in OT networks and, therefore, to make industrial networks reachable using the public Internet. Remote maintenance is one of the great beneficiaries of this functionality. However, this access increases the security risks because a new and important vulnerability is opened by the possibility of remote access from any computer connected to the Internet. In order to fficiently manage these remote accesses, this paper proposes the use of the industrial telemetry protocol MQTT in the exchange of access control commands between the involved devices. This allows an opportunistic access modality that quantitatively reduces the security levels required by the IEC62443 standard by up to four. The proposal includes a topology based on three elements, the Anchor, the UNet and the Nauta and on three di erent services offered in Open-Source format; the port-redirection service, the access service and the access control service.