arquitecturas de referencia para...

1© 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.

Cómo diseñar las redes mediante Arquitecturas de Referencia para obtener un diseño Ethernet compacto y seguro


Agenda

• Convergencia de redes empresariales y de fabricaciónColaboración entre Cisco y Rockwell Automation

• Arquitecturas de referencia para la descripción general de la fabricación

• Las mejores prácticas para la conexión en redSegmentación de la red

Desempeño del tráfico en tiempo real para el tráfico de control

Políticas de protección


Convergencia de redes de fabricación

Tradicional

Red de controlRed a nivel de

dispositivoEthernet

Sensores y otros dispositivos de Entrada/Salida

Controlador

Motores, Variadores

Accionadores

ControladorBasado en PC

Robótica

Unidades centrales de back-office yservidores (ERP, MES, CAPP,PDM, etc.)

OficinasAplicaciones,Internetworking,Servidores de datos,Almacenamiento

Red de controlGateway

Red corporativa

Ethernet estándar

Ethernet

Sensores y otros dispositivos de Entrada/Salida

Controlador

Motores, VariadoresAccionadores

ControladorBasado en PC

Robótica

Unidades centrales de back-office yservidores (ERP, MES, CAPP,PDM, etc.)

OficinaAplicaciones,Internetworking,Servidores de datos,Almacenamiento

Red corporativa

Interface OperadorMáquina (HMI)


Convergencia de redes empresariales y de fabricación

• Línea de conmutador administrada Stratix 8000 TM Rockwell Automation con tecnología Cisco

• Arquitecturas de referencia• Series educativas http://www.ab.com/networks/architectures.html

http://www.cisco.com/web/strategy/manufacturing/ettf_overview.html

http://www.ab.com/networks/architectures.html

http://www.cisco.com/web/strategy/manufacturing/ettf_overview.html


Arquitecturas de referencia para fabricación

• Guía de diseñoBuenas prácticas y recomendaciones

Metodología

Ajustes documentados para configuración

Desarrollada en contraste con arquitecturas validadas y probadas

• Base de red “preparada para la tecnología del futuro”

Enlace GE para la

detección de migración en caso de fallo

Cortafuegos

(Activo)

Cortafuegos

(En espera)

Encaminador Capa 3

Switch Stack Capa 3

Interruptor Capa 2

Variador

Controlador

Controlador

VariadorHMI

Controlador

Variador

HMI

E/S distribuidas E/S

distribuidas

Nivel 0–2

HMI

Celda/Área #1

(Topología estrella redundante)Celda/Área #2

(Topología anillo)

Celda/Área #3 (Topología bus)

Zona Celda/Área

Zona de fabricación Nivel 3

Zona Desmilitarizada (DMZ)


Área empresa Niveles 4 y 5

Servidores Windows 2003• Conexión

remota del escritorio• VNC• PC en cualquier sitio

Aplicaciones FactoryTalk• Vista• Métrica• Historial• AssetCentre• Centro Productivo

Servicios de Red• servidor DNS, DHCP, syslog• Administración

de red y protección



• Ethernet y TCP/IP estándar sin modificar

• Segmentación jerárquicaAdministración de tráfico

Políticas de seguridad

• Desempeño en tiempo realLAN virtuales

Calidad del servicio

Administración de difusión múltiple

• Políticas de seguridadDesarrollado en contraste con arquitecturas validadas

y probadas

Enlace GE para la

detección de migración en caso de fallo

Cortafuegos

(Activo)

Cortafuegos

(En espera)

Encaminador Capa 3

Switch Stack Capa 3

Interruptor Capa 2

Variador

Controlador

Controlador

VariadorHMI

Controlador

Variador

HMI

E/S distribuidas E/S

distribuidas

Nivel 0–2

HMI

Celda/Área #1

(Topología en estrella redundante)Celda/Área #2

(Topología en anillo)Celda/Área #3

(Topología de bus)

Zona Celda/Área

Zona de fabricación Nivel 3



Zona de la empresa Niveles 4 y 5

Servidores Windows 2003• Conexión

remota del escritorio• VNC• PC en cualquier sitio

Aplicaciones FactoryTalk• Vista• Métrica• Historial• AssetCentre• Centro Productivo

Servicios de Red• Servidor DNS, DHCP, syslog• Administración de Red y seguridad



• TecnologíaIEEE – Ethernet estándar/sin modificar

Futuro – Wireless y PTP (1588)

IETF – Protocolo internet estándar (IP)

ODVA – Protocolo Industrial Común (CIP)

ISA 100 – Wireless (Futuro)

NIST – National Institute of Standards and Technology (Instituto Nacional de Estándares y Tecnología)

• FabricaciónISA 99 – Protección para sistemas de control y de fabricación

ISA 95 – Integración sistema de control – empresa

Modelo de referencia PurdueConstruido con estándares


Emisor Receptor

Cómo trabaja el modelo OSI

Aplicación – CIP Capa 7 Aplicación – CIP

Presentación – CIP Capa 6 Presentación – CIP

Sesión – CIP Capa 5 Sesión – CIP

Transporte – TCP/UDP Capa 4 Transporte – TCP/UDP

Red – IP Capa 3 Red – IP

Enlace de datos – Ethernet Capa 2 Enlace de datos – Ethernet

Físico – Ethernet Capa 1 Físico – Ethernet


¿Qué

es CIP ( Protocolo Industrial Común)?

• Estándar para integrar control de E/S, configuración de dispositivos y recolección de datos

en sistemas de automatización y de

control

• Compatible con tres protocolos de red de los cuales EtherNet/IP es Ethernet estándar no modificado

• Conjuntos estándar de servicios para acceder a datos y controlar el funcionamiento de los dispositivosOpen DeviceNet Vendor Association http://www.odva.org

EtherNet/IP™ DeviceNet™ ControlNet™

CIP

Mot

ion™

CIP Safety™

Protocolo Industrial Com

ún (CIP)

Adaptaciones de red de C

IP

Controladores de

movimientoServo/CA

VariadoresVálvulas

neumáticas Otros perfiles Bloque Safety

I/O

Otras prácticas

de seguridad

Biblioteca de objetos

específicos para la seguridad

Capa de seguridad

Biblioteca objetos

Mensajes explícitos de servicios de administración de datos, mensajes E/S

Administración de conexión, encaminamiento

Sincr. tiempo

IEEE 1588

TCP UDP

Protocolo Internet (IP)

Ethernet

CSMA/CD

Capa física de Ethernet

CAN

CSMA/NBA

Capa física de DeviceNet

Transporte DeviceNet

ControlNet

CTDMA

Capa física de ControlNet

Transporte ControlNet

http://www.odva.org/


Marco de fabricación

• Zona de la empresa para redes IT

• DMZ como zona de buffer para

compartir

datos y servicios

de manera segura

• Zona de fabricación donde existen sistemas de pisos de producción crítica

• Zona celda/área donde residen los dispositivos y controladores

• Zona de seguridad para

dispositivos de seguridad

• Niveles desde ISA SP95 y modelo de referencia Purdue

• Zonas desde ISA SP99

Red de la empresa Nivel 5

Planificación de negocios y red de logística Nivel 4

Operaciones y control de fabricación de site Nivel 3

Control supervisor del área Nivel 2

Control básico Nivel 1

Proceso Nivel 0

Seguridad-Crítico

Zona de la empresa


Zona de fabricación

Zona de seguridad

Zona Celda/Área


Marco de fabricación

No hay flujo de tráfico directo desde la zona de la empresa a la zona de fabricación

Nivel 5

Nivel 4

Nivel 3

Nivel 2

Nivel 1

Nivel 0

Servicios del terminal

Administración de parches

Servidor AV

Espejo Historial

Operaciones de servicios de Web

Servidor de aplicación

Encaminador Red de la empresa

Planificación de negocios y red de logísticaE-Mail, Intranet, etc.

Control de la producción

Optimización del Control

Historia del proceso

Controlador de dominio

Control supervisor

Interface de operador

Control supervisor

Estación de trabajo de ingeniería

Interface de operador

Control de lotes

Control discreto

Control secuencial

Control continuo

Control híbrido

Sensores Variadores Accionadores Robots

Zona de la empresa

DMZ

Zona de fabricación

Zona Celda/Área

WebE-Mail

CIP

Cortafuegos

Cortafuegos

Operaciones y control de fabricación

Control supervisor del

área

Control básico

Proceso


Descripción General de la zona celda/área – Niveles 0-2


Tráfico de red de fabricación

• Ethernet estándar sin modificar

• Suite estándar TCP/IP

• Protocolo capa aplicación –

Protocolo

Industrial Común (CIP)

• EtherNet/IP = Ethernet + IP + CIP

• TCP y UDP en transporte

• Difusión simple y múltiple de IP en la red

• Direccionamiento estático IP de dispositivos

FTP HTTP OPC SNMP BOOTP DHCP

IP

IEEE 802.3 Ethernet

OSPFICMP IGMP

RARPARP

Mensajesexplícitos

Control E/S en tiempo real

UDP

CIP

TCP

EtherNet/IP especifica cómo los paquetes de comunicación CIP pueden ser transportados por Ethernet estándar y tecnología

TCP/IP

Capa 2

Capa 3

Capas 5-7

Capa 4


• El tráfico de celda/área es predominantemente

(>80%) local, tráfico

de E/S cíclico

(a.k.a. Implícito)

Los productores generan mensajes UDP de difusión múltiple; el consumidor genera mensajes UDP de difusión simpleLos paquetes son pequeños: 100–

200 bytes pero

se comunican con gran

frecuencia

(cada

0.5 a 10 s de ms)Las difusiones múltiples no son encaminables

(TTL=1 por

aplicación)

• El resto es control informativo

y flujos

de tráfico de administración (o Explícita) intra-

e inter-celda/áreaTráfico de datos o administrativo no crítico basado en CIPInformación de diagnóstico vía HTTPAdvertencias de estado y fallos vía SNMP o SMTP Paquetes más grandes, ~500 bytes pero poco frecuentes (100s de ms)

Flujos de tráfico de la zona celda/área

Computadora portátil de ingeniería (RSLogix)

Gestión de Red

Gateway de correo

Cisco Cat.® 3750Switch Stack StackWise™

HMIHMI

Cisco Cat. 2955

Cisco Cat. 2955

Variador Zona Celda/Área Zona Celda/Área

Zona de fabricaciónDMZ

PAC


Clases de aplicación en tiempo real

Fuente: Grupo asesor ARC

FunciónSoluciones de información y

automatización

de procesos más lentosAutomatización discreta Control de movimiento

Tecnología de comunicaciones .Net, DCOM, TCP/IP Ethernet estándar + protocolo en

tiempo real Solución Hardware/Software

Período Un segundo o más 10 ms a 100 ms < 1 ms

Industrias Petróleo y Gas, Química, Energía, Agua

Automotriz, alimentos y bebidas, ensamblaje electrónico,

semiconductores, metales, farmacéutica

Subconjunto de automatización discreta

Aplicaciones

Bombas, compresores, mezcladores

Monitoreo de temp., pulsaciones, flujo

Manejo de materiales, rellenado, etiquetado, paletización, envasado

Soldaduras, estampado, corte, formación de metales, soldaduras,

clasificación

Sincronización de múltiples ejes: Prensas de imprimir, esquemas de cables, web

making, recogida y colocación


Las mejores prácticas para conexión en red

Rendimiento

de la red en tiempo realReducción

del tiempo de espera de la red y

fluctuaciones• Control difusión múltiple IP

Administración de IGMP

• SegmentaciónModelo de red multivinculadaTopologíaLAN virtuales (VLANs)

• PrioridadesCalidad del Servicio (QoS)

• Resiliencia – Alta disponibilidad


Difusión simple vs. difusión múltiple vs. difusión

Controlador

Interruptor

Difusión simple

Controlador

Interruptor

Difusión múltiple

Controlador

Interruptor

Difusión


Concepto grupo de difusión múltiple IP

1.

Ud. debe ser “miembro”

de un

grupo para recibir información

sobre el mismo

No es miembro del grupo

B

E

A D

C

Miembro grupo

1

Miembro grupo 3

Receptor

Emisor y Receptor

Emisor

Miembro grupo

2

Receptor

2.

Si envía a la dirección del grupo, todos

los

miembros la reciben

3.

Ud. no necesita ser

miembro de

un grupo para enviar a un grupo


Resumen IGMP Snooping

• En un modelo Consumidor-

Productor, el tráfico crece exponencialmente con el número de hosts a menos que se limiten las difusiones múltiples

• IGMP Snooping y Querier proporcionan la capacidad de escalado para los modelos de datos Consumidor-Productor limitando la cantidad de tráfico de difusión múltiple

• Se mantienen los beneficios de desempeño del modelo Consumidor-Productor (todos los consumidores tienen acceso a la información)

Mbp

s

Productor-Consumidor

Tráfico de difusión múltiple

Tráfico de difusión simple

Número de dispositivos de control

Difusión múltiple con

IGMP Snooping


Segmentación de red de plataformas múltiples

Árbol

de expansión

Encamina-

miento

HSRP

GLBP

troncal

Equilibrio de lacarga

Acceso

Distribución

Centro

Distribución

Acceso

• Ofrece topología modular jerarquizada

–

bloques

modulares• Fácil de desarrollar, entender y resolver

problemas• Crea pequeños dominios de fallos –

claras

demarcaciones y aislamiento

• Promueve el equilibrio de carga y la redundancia

• Promueve patrones deterministas de tráfico

• Incorpora el equilibrio de la tecnología de las capas 2 y 3, aprovechando la fuerza de ambas

• Utiliza el encaminamiento de la capa 3 para el equilibrio, rápida convergencia, capacidad de escalado y control de la carga


Opciones de topología zona celda/área

Estrella Anillo Bus

HMI

Zona Celda/Área

Cisco catalystSwitch Stack

3750 Stackwise

Controladores,Variadores y E/S distribuidas

HMI

Cisco Catalyst 2955

Zona Celda/Área

Controladores

Controladores, variadores y E/S distribuidas

Cisco Catalyst 2955

Zona Celda/ÁreaControladores, variadores y E/S distribuidas

HMI

Controladores

Estrella Anillo Bus

Requisitos cableado

Al Este de configuración

Costos de implementación

Ancho de banda

Redundancia y convergencia

Disrupción durante actualización de red

Preparación para convergencia de red

Zona Celda/Área

Cisco CatalystSwitch Stack

3750 Stackwise

Cisco CatalystSwitch Stack

3750 Stackwise


Configuraciones representativas

Zona Celda/Área Zona Celda/Área

Aplicaciones FactoryTalk Estación de trabajo de

ingeniería– RSLogix 5000

Topología de anillo

Zona Celda/Área Zona Celda/Área

Stackwise 3750de Cisco

Interruptor Capa 3

Cisco ASA 5520Cortafuegos

Cisco 2960Interruptor Capa 2Zona de

fabricaciónInterruptor 8000

Capa 2 administrado

Interruptor 6000 Capa 2

administradoETAPInterruptor Capa 2

incorporadoLineal o anillo

DMZ

Zona de la empresa ERP, Email, Intranet, etc.

Servidores terminal,Administración de parchesAntivirus, Espejo Historial,Servidor Web/Aplicación

Interruptor Capa 26000 administrado

Empresa Red


Simplificación del cableado con topología lineal

Lineal

Estrella

• No son necesarios interruptores externos Ethernet

• El cableado simple reduce los costos de instalación

• Es necesario un interruptor externo

• Gran extensión de cables = instalación costosa


¿Qué

es el Spanning Tree? ¿Porqué

es necesario?

• Una conexión redundante mata una red en puenteLos paquetes de capa 2 no tienen tiempo de vida (TTL)

Un sólo paquete puede abarcar todo el ancho de banda

• Sin embargo, queremos mantener vínculos en paralelo para obtener redundancia


¿Qué

es el Spanning Tree? ¿Porqué

es necesario?

• El protocolo Spanning Tree es un algoritmo de 2 capas adoptado en IEEE 802.1D en 1998 y ha sido mejorado en algunas ocasiones; este protocolo proporciona lo siguiente:

Red sin lazos

Mantiene la redundancia en caso de fallos

Opera de manera plug-and-play


¿Qué

se obtiene con el Spanning Tree?

• Transforma una topología redundante en un árbol, el cual, por definición, sólo proporciona una ruta entre dos nodos → sin lazo pero mantiene la resiliencia

• Se recupera de los fallos reabriendo los vínculos bloqueados

Spanning tree rápido: convergencia de topología de anillo > 500 ms y < 2.5 s


Redes de Area Local Virtuales (VLAN)

= VLAN Verde

= VLAN Roja

= VLAN Azul

2

73

4

15

6

• VLAN es un concepto Ethernet de 2 capas• Los puertos de un interruptor son asignados

a una VLAN• Los datos sólo son enviados a los puertos

dentro de la misma VLAN• Las difusiones y las difusiones múltiples

están restringidas a sus respectivas VLANs• Un dispositivo de 3 capas (encaminador o

interruptor de 3 capas) puede enviar mensajes entre VLAN diferentes

Encaminador – Subredes, IPInterruptor – VLAN, MAC


Ejemplo de uso de VLAN en un sistema Ethernet industrial

SiSi SiSi

VLAN 102 VLAN 103 VLAN 104

VLAN 105

VLAN 101

Red de conexión principal

Zonas Zonas Celda/Celda/ÁÁrearea

• Asigne VLAN a dispositivos cuando se conozcan los patrones de tráfico• Limite el flujo de tráfico productor-consumidor fuera de los dispositivos requeridos (ejemplo: una VLAN por zona de celda/área)• Use un interruptor o encaminador de 3 capas para intercambiar datos entre VLAN (ej. capa de enclavamiento PAC)


No todo el tráfico se crea de la misma forma

Moraleja Las redes de control deben priorizar el tráfico de control sobre otros tipos de tráfico para asegurar el flujo de datos deterministas con bajo tiempo de espera y baja fluctuación

Control (ej. CIP) Video

Datos (Mejor

esfuerzo)Voz

Ancho de banda

Bajo a moderado

Moderado a alto

Moderado a alto

Bajo a moderado

Sensibilidad a Random Drop Alta Baja Alta Baja

Sensibilidad al retardo Alta Alta Baja Alta

Sensibilidad a la fluctuación Alta Alta Baja Alta


Calidad de Servicio (QoS) –

¿Qué

es?

• Una red tradicional es de máximo esfuerzo (best-effort)

• Todo el tráfico tiene el mismo servicio, es decir, el comportamiento de envío de un dispositivo de red es FIFO

• QoS prioriza el tráfico en diferentes niveles de servicio y proporciona un tratamiento de envío preferencial al tráfico de algunos datos a costa del tráfico de menor prioridad

• QoS = Tratamiento Preferencial


Calidad de Servicio –

Interruptor Ethernet


Operaciones de Quality of Service ¿Cómo funcionan las herramientas QoS?

Clasificación y

MarcaciónPoner y retirar de la

cola (Selectivamente)Operaciones Post-Queuing


10 Mbps

64 kbps

Donde hay congestión, se requiere QoS

• Puntos de agregación

• Vínculos y búfers

• Puntos de desigualdad sustancial de velocidades

• Los búfers de transmisión tienden a llenarse

• El almacenamiento en memoria intermedia reduce las pérdidas, introduce retardos

10 Mbps

1000 kbps

Agregación Desigualdad de velocidades LAN a WAN


Consideraciones del diseño de QoS

• ObjetivosPrioridad más alta para el tráfico de E/S CIP sensible al tiempo de espera y a fluctuacionesEntrega garantizada para sincr. CIP, movimiento CIPMinimice los impactos de los ataques DDoS

• QoS a lo largo de la red de control• Con la actualización ODVA, la frontera de

confianza de QoS va desde los puertos

de acceso del interruptor hacia

el dispositivo que admite QoS

• Para los dispositivos existentes, la marcación en el puerto de acceso

es importante según el número de puerto

CIP E/S UDP 2222 CIP explicit 44818Otros: predeterminado en 0

• Establecimiento del cronograma de salida con cuatro colas

Primera prioridad: sincr. CIP, movimiento CIPSegunda prioridad: E/S CIPTercera prioridad: CIP explícitoPredeterminado: otros

Gigabit Ethernet Fast EthernetSin confianza + Policing + Marcación ToS + QueuingMarcación ToS de confianza + Queuing


Cómo conocer sus opciones de interruptores

• Industrial versus comercial

• Administrado versus no administrado

Ventajas Desventajas

Interruptores administrados

Interruptores no administrados

• Capacidad para administrar tráfico de difusión múltiple

• Proporcionan datos de diagnóstico• Proporcionan opciones de

protección• Proporcionan soporte a QoS,

VLAN y resiliencia

• No son costosos• De fácil configuración• De fácil sustitución

• Más costosos• Requieren algún nivel de

soporte y configuración para arrancar y ser sustituidos

• Sin funciones de administración• Sin protección• No proporcionan información de

diagnóstico• De difícil resolución de

problemas


Direccionamiento IP y Administración

Opción Descripción Ventajas Desventajas

EstáticoTodos los dispositivos están codificados con una dirección IP

• Simple

• Compatible con todos los dispositivos

• En grandes ambientes, su mantenimiento puede resultar dificultoso

• Cuando se reemplaza un dispositivo, el técnico debe configurar la dirección IP

BOOTP

El servidor asigna dirección IP a dispositivos

Precursor a DHCP

• Compatible con todos los dispositivos

• Cuando se reemplaza un dispositivo, el técnico debe configurar la dirección IP/Mac

• Añade complejidad y puntos de fallos

DHCPEl servidor asigna direcciones IP desde una lista (NO RECOMENDADO)

• Uso eficiente del rango de direcciones IP

• Puede reducir la carga de trabajo de administración

• Más complejo de implementar y añade un punto de fallo

• Al ser reinicializados, los dispositivos obtienen diferentes direcciones IP

Opción 82 DHCP

El servidor asigna direcciones IP consistentes desde una lista


• Puede reducir la carga de trabajo de administración

• Más complejo de implementar y añade un punto de fallo

• Los ambientes combinados pueden no funcionar

Asignación de DHCP

basada en puerto

Asigna automáticamente dirección IP para cada

puerto físico de interruptor


• Facilita el mantenimiento en ambientes grandes

• Sólo Cisco/RA• Requiere mantenimiento y reparación,

por interruptor


Mejores prácticas Zona Celda /Área

Mejores prácticas de las conexiones en redes industriales• Diseñe pequeñas zonas celda/área en una VLAN para manejar y

definir mejor el tráfico • Use interruptores administrados• Conecte en modo full-duplex para evitar colisiones• Use puertos Gigabit Ethernet para enlaces de

comunicaciones/enlaces ascendentes y así reducir el tiempo de espera y fluctuaciones

• Use las funciones IGMP snooping/querier para controlar el volumen del tráfico de difusión múltiple

• Use topologías de red resilentes, de anillo o preferentemente de estrella redundante; use RSTP para administrar lazos, recuperarse de la pérdida de conectividad para la convergencia de redes

• Aplicar la protección en el puerto para limitar el uso de puertos abiertos


Descripción general de la zona de fabricación

–

Nivel

3

Zona de Fabricación

–Distribución

Zona de Fabricación

–

Centro

Servidores Windows 2003• FactoryTalk Historian• FactoryTalk AssetCentre• FactoryTalk View• FactoryTalk ProductionCentre• MS Active Directory• Servidor SQL

Servicios de infraestructura de red• Servidor DNS, DHCP, Syslog • CNA Torre de servidores

• Independiente de DMZ y zonas de empresa

• Número mínimo de conexiones a DMZ

• Comunicación limitada entre sub-zonas

• Protección dentro y a lo largo de la zona de fabricación

• No impacta en el rendimiento del sistema


Mejores prácticas de zona de fabricación• Reiterar servicios críticos en la zona de fabricación, considerar lo siguiente:

Servicios de dominio ej. LDAP o Active DirectoryServicios de asignación de nombre ej. DNS y WINSServicios dirección IP ej. DHCP Servicios de Tiempo ej. NTP o PTP

• Disponibilidad: aplique encaminadores/interruptores redundantes de red y vínculos para mantener la disponibilidad general de la red

• Capacidad de escalado: los sitios pequeños usan interruptores combinados centrales y de distribución, pero los sitios más extensos o en crecimiento deben separarlos para evitar el exceso de suscripción en los enlaces ascendentes.

• Utilizar la administración de red y Protección• Encaminamiento: Use protocolos de encaminamiento link-state o EIGRP para la

convergencia y equilibrio de la carga de la capa 3Use EIGRP para simplificar la configuración Si son necesarios los protocolos estándar, use OSPF

• No hay superposición de direcciones IP con las redes empresariales. No hay direcciones IP redundantes (la traducción de dirección de redes es la tara de mantenimiento).


Diseño de protección de la empresa y zona de fabricación

• Modelo de protección completo para la defensa en Profundidad – La protección no es un componente incorporado

• Sección de fabricación de segmento de la Empresa con zona Desmilitarizada

• Defensa en ProfundidadDefendiendo los flancosProtegiendo el interiorProtegiendo los extremos

• Acceso a diseño remoto protegido / invitado

• Servicios de protección y de red de RA

Cisco Cat. 3750Switch Stack

StackWise

Nivel 0 – Proceso

Nivel 1 – Control Básico

Nivel 2—Control Supervisor Área

Nivel 3 – Operaciones y control de fabricación de site

DMZ

Web, Aplicación,Servidores de base de datos

Historial de respaldo

ASA 5500

CiscoCat. 6500/4500

HMI

Recolección de Historia de

Procesos

PAC

Variador C/A E/S Remotas

Mejores prácticas de diseño DMZ estándar

VLAN

ACLCortafuegos

IPS

Protección Infraestructura

Red, ACL

Seguridad Capa 2,

protección puertoVLAN

Agente de protecciónCisco

para dispositivos basados en

Windows

CS-MARS,

ASDM y CSAMC

HMI

Los servicios de protección no debenComprometer las operaciones de la zona de control o tráfico de E/S


Por qué

cortafuegos y DMZ

• La zona de fabricación requiere una “postura de protección” diferente

• Los dispositivos y las aplicaciones de la zona de fabricación son sensibles y vulnerables de manera diferente que los sistemas y aplicaciones de empresas. La protección es crítica para el desempeño y disponibilidad de los sistemas de control y automatización

• Pero no es necesario compartir los datos y servicios • Los cortafuegos modernos proporcionan esa segmentación

crítica entre las redes de fabricación y las empresariales, sin embargo, permiten el intercambio seguro de datos y servicios

• Los conceptos de la Zona Desmilitarizada permiten el intercambio de datos y servicios críticos entre ambas zonas


DMZ: Vista Lógica

Punto de desconexión

Punto de desconexión

Servicios de terminal

Administración de parches

Espejo Historial

Operaciones de servicios de Web

Servidor de aplicación

Múltiples Subzonas

Funcionales

Servid

or AV

DMZ

No hay Tráfico Directo

Zona de la empresa

Zona defabricación


Dominios de confianza

Desde la perspectiva del diseño de la protección, ¿cuál es la diferencia principal entre 1stcase.com y 2ndcase.com?

Segmentación del ambiente en dominios de confianza

Internet

WAN Interna

Plantas

Servidores externos

Empleados

1st

case.com 2nd

case.com

Acceso Remoto de VPN

Empleados

Plantas

Servidores externos

WAN Interna

Internet

Acceso Remoto de VPN


Aseguramiento de dispositivo

Característica Descripción MecanismoNetwork Foundation Protection

Protege de accesos, cambios y ataques no autorizados a la infraestructura principal de la red y los servicios

Protección de puerto, End-point protection, Protección Capas 2 y 3

Trust & Identity Confirmación de que un usuario o dispositivo que necesita mantenimiento es un dispositivo válido. Autenticación, Autorización y Contabilidad

ACLs, MAC-filtering, VLAN, FactoryTalk Security, autorización de aplicación

Threat Detection & Mitigation

Monitoreo continuo y proactivo de la actividad de red para la detección de comportamiento anormal

End-point protection, Cortafuegos, Intrusion Protection, Análisis y Respuesta

Application Security Protege aplicaciones ejecutadas en dispositivos o end-points (estaciones de trabajo, servidores y dispositivos).

End-point Security, Cortafuegos, QoS, FactoryTalk Security

Secure Connectivity Protege la comunicación en entornos de transporte no confiables

VPN, Encryption, IPsec

Security Management Configura, monitorea, analiza y responde a la actividad de la red.

Aplicación de políticas, monitoreo, análisis y respuesta, auditoría y generación de informes


Fuente: Wikipedia (www.wikipedia.com)

Cortafuegos

–

Definido

• Un cortafuegos es un dispositivo de seguridad configurado para permitir, denegar o intermediar en conexiones de datos establecidas por la política de seguridad de la organización. Los cortafuegos pueden basarse en hardware o software

• La tarea básica del cortafuegos es controlar el tráfico entre las redes de una computadora con diferentes zonas de confianza

• Los cortafuegos actuales combinan stateful packet inspection multicapa y application inspection multiprotocolo

• Virtual Private Network (VPN) e Intrusion Prevention Services (IPS) han sido combinados con el(los) motor(es) de inspección de cortafuegos

• A pesar de estas complejidades, el rol principal del cortafuegos es aplicar la política de seguridad


Servicios de protección de cortafuegos

Paquete multicapa y análisis de tráficoServicios avanzados de inspección de protocolo y aplicaciónControles de la aplicación de la red

Servicios flexibles de control de acceso basados en red y usuarioStateful packet inspectionIntegración con fuentes de autenticación populares que incluyenMicrosoft Active Directory, LDAP, Kerberos, y RSA SecurID

Protección en tiempo real contra ataques a nivel de aplicación y OSGusano basado en red y mitigación de virusDetección y control de spyware, adware, malwareCorrelación de eventos on-box y respuesta proactiva

Bajo tiempo de esperaDiversas topologíasSoporte de difusión múltiple

Virtualización de servicios Segmentación y partición de redesEncaminamiento, resiliencia, equilibrio de carga

Servicios VPN IPSec y SSL protegidos contra amenazasZero-touch, acceso remoto IPSec de actualización automáticaServicios VPN SSL full tunneling client y clientless flexibleVPN site-to-site habilitada por QoS/encaminamiento

Cortafuego con protección de la capa de aplicación

Control de Acceso

y

Autenticación

IPS y Defensas Anti-X

Intelligent Networking

Services

Conectividad SSL y IPSec

Los cortafuegos modernos proporcionan un rango de servicios de protección:

http://images.google.com/imgres?imgurl=http://www.ehs.washington.edu/images/BIOSGN2.jpg&imgrefurl=http://www.ehs.washington.edu/Manuals/BSManual/AppendixA.pdf&h=1028&w=850&sz=124&tbnid=HeNi2BPYUAgJ:&tbnh=149&tbnw=124&start=14&prev=/images?q=biohazard&hl=en&lr=&safe=off


Mejores Prácticas DMZ

• Única ruta hacia la zona de fabricación

• No hay tráfico atravesando la DMZ.No hay protocolos comunes en cada cortafuegos lógico

• Establezca las sub-zonas funcionales en la DMZ para segmentar el acceso a los servicios y datos (ej. zona Socio)

• Prepárese para “desactivar” el acceso mediante el cortafuegos

• No hay tráfico de control en la DMZ (o fuera de la DMZ)

• Limite las conexiones salientes desde la DMZ• Identifique los dominios de frontera de confianza y aplicar la

seguridad para mantener la política, probable con un cortafuegos


Resumen –

Arquitecturas de referencia

• Guía de diseño que consiste en metodología, recomendaciones, ajustes documentados de configuración y mejores prácticas desarrolladas en contraste con arquitecturas probadas y validadasFundamento para obtener el éxito al utilizar las tecnologías más nuevas e

innovadoras

Documentados – menos prueba y error – reducción de costos en equipamiento y de tiempo de puesta en marcha – mitigación del riesgo

Infraestructura de red sólida y segura que reduce el tiempo de espera y otorga gran disponibilidad

Acceda a la información crítica sobre la producción para obtener Indicadores Clave de Rendimiento (KPIs)

• Modelo de interruptor multicapa, más que sólo una red para interruptores de capa 2

• La colaboración entre Fabricación (Ingeniería/Mantenimiento) y Empresa (IT) es clave para un diseño exitoso

arquitecturas de referencia para...

Documents