Certes Networks. Humberto Añez Director de la Región CALA Skype: humberto.anez

Transcripción

1 Certes Networks Humberto Añez Director de la Región CALA Skype: humberto.anez

2 Certes Networks Desarrollamos soluciones de seguridad de alto rendimiento para redes multipunto, centros de datos y la nuble pública Líder Mundial en Encriptación Multicapa Oficinas en Norte América, Asia y Europa Representantes en el Caribe, Centro y Sur América. Instalaciones en más de 40 países CERTES

3 Nuestros productos e innovaciones Lanzamiento de nuestros productos: La primera familia de dispositivos de encriptación de 1GB Primera versión de CipherEngine Dispositivos de encriptación multicapa de la serie CEP Dispositivos de encriptación de Velocidad Variable Primer dispositivo de Encriptación multicapa de 10 Gbps TrustNet 3.0 consola integral centralizada de seguridad. CERTES

4 Clientes y Aliados QuickTime and a decompressor are needed to see this picture. QuickTime and a decompressor are needed to see this picture. 4

5 P: Qué tienen en común? CERTES

6 R: Todos inspiraron Innovación por parte de los amigos de lo ajeno CERTES

7 De quién nos defendemos hoy? CERTES CONFIDENTIAL 7

8 De quién nos defendemos hoy? Yo leo tú correo electrónico CERTES CONFIDENTIAL 8

9 De quién realmente nos defendemos hoy? CERTES

10 De quién realmente nos defendemos hoy? CERTES

11 En qué lugar su data NO está protegida? Cuál es su solución de seguridad aquí? Seguridad Perímetro Defensa Múltiple CERTES CONFIDENTIAL 11

12 Problemas Actuales Seguridad Virtual vs Seguridad Real Seguridad y Rendimiento: La Balanza Tecnología Obsoleta sobre Redes Modernas

13 Problemas Actuales del Cifrado Problemas Punto a Punto- Basado en túneles Difícil de configurar y administrar Requiere personal adicional Disminuye la velocidad de la red No tiene soporte para ambientes con doble proveedor Las aplicaciones multidifusión pierden la conexión o bajan su velocidad. Introduce latencia No hay soporte para múltiple proveedor No proveen servicios a la Capa 4 Rendimiento CERTES CONFIDENTIAL 13 Seguridad

14 Utilizamos una RED PRIVADA El Proveedor de servicios dice que la red es segura Proveedor: Los flujos de datos son independientes Hackers: Los mecanismos utilizados para separar el tráfico son los mismos que se utilizan para identificar los puntos de interés. Proveedor: Hay controles tanto en la implementación como. en la administración. Hackers: Configuración y administración significan los mismo que los semáforos y luces de transito son para los ladrones de bancos. Proveedores: Hay controles entre la internet y el MPLS Hackers: El tráfico no se compromete accidentalmente por que se pasa a la red de Internet. Los datos están siendo robados directamente de las redes MPLS. Proveedores: Porque tiene Netflow para identificar actividades no autorizadas Hackers: Identificación de huecos de seguridad después de ocurridos estos realmente no es «seguridad» CERTES

15 Donde está la RED PRIVADA? CERTES CONFIDENTIAL 15

16 Qué es MPLS? MPLS Multi Protocol Label Switching paquetes El envío del paquete se basa en etiquetas Un paquete puede tener múltiples etiquetas Otros servicios han sido añadidos a lo largo de los años VPN en capa 2 y 3 Manejo del la estructura del tráfico Servicios de Monitoreo es una tecnología de envío de 1. Una etiqueta es añadida al paquete en el borde de la red MPLS MPLS backbone 3. Las etiquetas son eliminadas al llegar a la red del cliente Los paquetes son transmitidos por la red utilizando las etiquetas. Luego la etiqueta es eliminada y una nueva asignada por el enrutador. CERTES

17 MPLS No es seguro! Realidad de MPLS : MPLS No provee Protección contra errores en configuración Protección contra ataques a la red. Confidencialidad, Autenticación o integridad de la data. Seguridad al cliente Una mirada al encabezado del paquete en MPLS y se ve claramente que no hay seguridad dentro de una red MPLS CERTES

18 Privacidad Virtual vs. Privacidad Actual Los Firewall de las sedes dejan vulnerables a las sedes corporativas o a los Data Centers. Usualmente no se actualizan tan frecuentemente en las sedes mas pequeñas. Los Firewall actualizados también pueden ser vulnerables. El costo puede ser alto al implementar y mantener un firewall en la sede principal y varias sedes. Un Firewall desactualizado puede ser penetrado por cualquiera Internet VPN Un Firewall bien configurado puede ser penetrado por un Hacker Una vez que la sede ha sido penetrada los hackers pueden navegar la seguridad de los data centers. Internet Los Firewall de las sedes principales con inspección de paquetes bloquean la mayoría de los vectores de ataque pero no son efectivas en costo. CERTES CONFIDENTIAL 18

19 Escalabilidad de IKE/IPsec La red envía data desde el punto A al punto B utilizado una red MPLS con balance de cargas Sede A Los paquetes puede llegar a cualquier enrutador en ambos lados. Para tener una red con cifrado una relación única debe establecerse entre los enrutadores en lugar de las sedes. Enrutador 1 La complejidad de las conexiones crece exponencialmente al agregar mas puntos. Enrutador 2 Ni la complejidad ni las topologías de punto a punto son compatibles con las aplicaciones o requerimientos de las redes modernas. Trafico en el claro Tráfico cifrado Sede B CERTES CIPHEROPTICS CONFIDENTIAL 19

20 Escalabilidad de IKE/IPsec 2 sites 2 keys 3 sites => 6 keys 4 sites => 12 keys 8 sites => 56 keys 1000 sites => 999,000 keys 20 Certes

21 Cifrado con Túneles IPSec 75% Throughput Throughput 14% 12% 47% 27% % 10% 8% 6% 4% 2% 0% Ancho de Banda % Incremento de Latencia 14% 10% 9% 8% 7% % Incremento de Latencia 100% 60% 40% Ancho de banda Ancho de banda disponible IPSec criptografía CERTES CONFIDENTIAL 21

22 El Cifrado Basado en Enrutadores es una Mala Idea Asumiendo que se tiene una conexión de 1Gbps conectando 2 enrutadores 1Gbps 1Gbps El Costo de cada enrutador es de $12k- La inversión de $24K ya esta realizada El acceso de cada nodo puede estarle costando de $3k a $10k por mes. Asumiendo que el costo sea de $3K por cada nodo. Ahora Tiene que aplicarle Cifrado El Proveedor del enrutador insiste en que se haga utilizando el enrutador. 100Mbps 100Mbps Al hacerlo ahora usted se da cuenta que su conexión se degrada en un 90% El Proveedor del enrutador insiste en que usted compre tarjetas aceleradoras. Ahora usted ha gastado $7K adicionales para después darse cuenta que solo son capaces de transmitir hasta 280 Mbps bajo IPsec 260Mbps 260Mbps Felicitaciones Usted ha gastado $7k para utilizar el 25% del Link por el que paga $6K al mes. -$7K a capital -$4.5K/ al mes de costo operacional El representante le recomienda comprar 2 nuevos enrutadores por $24K cada uno!

23 En Resumen Las Redes MPLS no son seguras. No es lo mismo Seguridad Virtual que Seguridad Real Basar la seguridad en puntos débiles de la rede utilizando solamente Firewalls es una pésima idea La complejidad en la configuración y administración de túneles con IPSEC crece exponencialmente al agregar nodos. Los túneles degradan el rendimiento y muchas veces impiden el uso de las funciones de la red Disminuye la velocidad de la red No tiene soporte para ambientes con doble proveedor Las aplicaciones multidifusión pierden la conexión o bajan su velocidad. Introduce latencia No hay soporte para múltiple proveedor No proveen servicios a la Capa 4 CERTES CONFIDENTIAL 23

24 La Solución: Encriptación para Grupos

25 El Cifrado de Grupo: Seguridad Transparente IPSec Tradicional Problema Cifrado de Grupo Solución Punto a Punto- Basado en túneles Difícil de configurar y administrar Requiere personal adicional Disminuye la velocidad de la red No tiene soporte para ambientes con doble proveedor Las aplicaciones multidifusión pierden la conexión o bajan su velocidad No proveen servicios a la Capa 4 No utiliza túneles! Trabaja a la velocidad de la línea Fácil de configurar y administrar Una solo persona puede administrarlo desde cualquier localidad Soporta ambientes con doble proveedor Compatible con VoiP y Video Compatible con aplicaciones Multidifusión Preserva los servicios de la Capa 4 IP (Público o Privado), MPLS, o Ethernet Site D CERTES CONFIDENTIAL 25

26 Certes Networks provee seguridad real Nuestra solución hace posible la protección de datos sin los costos o penalidades impuestas por las soluciones tradicionales de cifrado. Bloqueamos todos los ataques externos o no autorizado y lo hacemos a la velocidad real de la conexión. Los CEPs cifran todo el tráfico interno con AES 256 Todo el tráfico queda resguardado sin perder los beneficios de una conexión Metro E o MPLS La solución es fácil de administrar y tiene un bajo costo de implementación. Cualquier ataque directo (BotNets, o DDOS son bloqueados a la velocidad de la línea Internet VPN El tráfico de salida (Internet) puede ser dirigido a través del Firewall de la sede central sin impactar negativamente a las aplicaciones internas. Nuestra solución no utiliza túneles y de esta manera los servicios de la red permanecen intactos. Internet El Firewall de la sede corporativa (Con inspección profunda de paquetes) ahora puede filtrar todo el tráfico que llega de la Internet. CERTES CONFIDENTIAL 26

27 Transparencia en la seguridad de la red Centro de Datos de Respaldo Centro de Datos Primario Con TrustNet Manager ambos DCs (y los CEP asociados) son concentradores definidos y todas las sedes irradian la información. Debido a que los encabezados permanecen en el claro, el equilibrio de carga sigue funcionando cuando se utiliza el cifrado. Sede Remota En el caso de una falla, el tráfico es re dirigido manteniendo la perdida de paquetes al mínimo ya que no hay túneles y el Centro de Datos ya tenía la clave actualizada y correcta Sede Remota Sede Remota Tráfico Regular Tráfico Cifrado Sede Remota CERTES CONFIDENTIAL 27

28 Llaves Centralizadas Las pólizas de grupo son definidas Generación de llaves centralizada Distribuidas por TLS IP (Pública o Privada), MPLS, o Ethernet 28 28

29 Una Inversión en Seguridad Inteligente Compare estas dos soluciones en el mismo escenario. 1Gbps 1Gbps En lugar de convertir estos dos enrutadores en 2 pésimos cifradores, invierta en dos cifradores Certes 1Gbps 1Gbps CEP 1000 CEP 1000 El link esta cifrado, la velocidad no se degrada y el router funciona como es requerido Çifrado en el enrutador (Ancho de Banda bajo) CAP Ex $7k Ancho de banda adicional. $54k/año Más una actualización adicional de Ancho de banda. CAP Ex $48k Si se hace el cifrado en el router El costo de la degradación del ancho de banda aumenta significativamente. El costo del ancho de banda adicional para compensar la degradación $54k/yr y eventualmente tendrá que hacer una actualización de los enrutadores que puede costar $64k. Si utiliza los Cifradores de Certes. Con una inversión total de $21K el ahorro sobrepasa los $40K La velocidad no se degrada Se preservan los enrutadores existentes. CIPHEROPTICS

30 Obtener Rendimiento y Seguridad Un Enfoque Moderno al Cifrado Define Pólizas basadas en su red actual o en las aplicaciones Topologías Aplicaciones Mesh Voz Hub and Spoke Video Multicast Control de Data Híbridos FTP u otros protocolos Crea las claves necesarias para aplicar las pólizas TrustNet utiliza los protocolos de seguridad estándar AES 256 Autenticación de paquetes. SHA-256 (en desarrollo) Rendimiento No tiene que crear túneles para esforzar las pólizas Preserva el enrutamiento original y los protocolos Capa 2 Cifrado por VLAN Capa 3 Preserva las rutas de IP y las subredes Capa 4 - mantener el manejo de tráfico y Netflow/Jflow al cifrar Seguridad Nuestro diseño permite el cifrado para redes modernas, con una instalación sencilla, y transparente a las vías y manteniendo el rendimiento CERTES CONFIDENTIAL 30

31 Porque la Autenticación es Importante? Sin las autenticación por marco y por paquete su información está en peligro Los hackers pueden cambiar cualquier data no autenticada Cambiar que la ruta está ocupada a que la ruta esta en claro. Trenes pueden chocar Cambiar de relay abierto a relay cerrado- Los Generadores puede explotar Cambiar una orden de comprar 1000 acciones a vender 1000 acciones- Fraude en la bolsa de valores Cifrar trafico sin autenticación puede ser problemático para la red. Paquetes o data pueden ser introducidos por ataques sobre la línea El receptor de la data trata de descifrarla pero lo que recibe es sirve. El efecto en la red es el mismo de un ataque DOS si este es continuo o un comando de bloqueo o de alterar la orden es realizado en el momento correcto Encriptación sin Autenticación no es seguro El cifrado con autenticación provee confidencialidad y integridad de las data Ambos son requeridos para una seguridad completa La industria eléctrica recomendó el uso de encriptación con autenticación como estándar para la industria. CERTES

32 En Resumen La privacidad virtual no es lo mismo que Seguridad Actual. Las VPN solo proveen segmentación lógica. La idea de que la privacidad y la seguridad son iguales es anticuada La red WAN no es segura MPLS, VPLS, Metro-E Todas fueron creadas para mover datos. No para mantenerlos seguros. Todos envían datos en claro. No hay confidencialidad o integridad La encriptación sin autenticación no es segura Los Hackers pueden reconstruir la información El tráfico de datos puede estar sujeto a ataques Los desventajas del cifrado y la perdida del rendimiento en la red desaparecen. El cifrado en grupo es transparente para la red y las aplicaciones Se puede aplicar el cifrado a cualquier data sin tocar la configuración de la red CERTES

33 Casos de Estudio

34 Servicios Financieros Leyes y reglamentos que requieren que la data se transmitida de forma cifrada Múltiples data center o sedes centrales conectadas a 250 bancos a nivel mundial. Requieren alto rendimiento con baja latencia y cifrado AES 256 Soporte para doble proveedores (sin túneles IPsec) Data Center #1 Data Center #2 Data Center #3 Data Center #4 Bancos Miembros de la red 250 Proveedor B Proveedor A La redundancia es diseñada en la arquitectura de la red. La carga del tráfico cifrado es balanceado entre los proveedores utilizando una sola póliza No afecta los niveles de servicios establecidos Member Bank 1 34 CERTES CONFID

35 Fabricantes y Protección de la P.I. Empresas preocupadas por la seguridad de la data en la última milla. Las políticas y llaves de cifrado son generadas desde la sede principal de la empresa en USA. Múltiples aplicaciones en tiempo real corriendo en redes con aceleradores. Múltiples sedes en China China Telecom Sede en Hong Kong U.S. Headquarters Hong Kong Telecom KDDI Telecom Servicios MPLS Contratados Tata Indiacom SingTel Deutsche Telekom Singapore R&D Sede en Alemania Sede Japón Sede en la India 30 sedes en malla creciendo a 300 El cifrado de capa 4 ofrece una solución totalmente invisible y no puede ser detectada por los proveedores de la línea. 35 CERTES CONFID

36 Cifrado para Metro Ethernet Implementación por fases desde 4 sedes en mallas hacia un total de 26 sedes. Cifrado de capa 2 nativo para el nuevo servicio Metro E. El cifrado es segmentado por las identificaciones de las VLAN. La administración de las políticas y las llaves es realizada por el TrustNet situado en la sede corporativa. La expansión es sencilla cuando se agregan nuevas sedes. VLAN 5, 6 Red Metro Ethernet VLAN 7 VLAN 5 VLAN 6 36 CERTES CONFID

37 Gobierno El cliente necesitaba aplicar seguridad a sus aplicaciones de operaciones críticas Soporte para 288 sedes con balance de las cargas de la red Requiere baja latencia y alto rendimiento utilizando AES 256 Las sedes principales tienen soporte para balance de las cargas con interfaces de 1 GB y baja latencia MoFA Sede Principal Red MPLS CEP redundante en cada sede Tráfico cifrado entre todas las sedes. 288 puntos entre embajadas, consulados y oficinas comerciales 37 CERTES CONFID

38 Proveedores de Contenido en Video y TV por Internet. Protección de el contenido digital Baja latencia y alto rendimiento aún con AES 256 Soporte para Multidifusión Migración a largo plazo hacia los servicios de TV en la nube Fuente Video Distribución 45 Ciudades Red Capa3 Washington, DC Los Angeles, CA New York, NY Chicago, IL Miami, FL 38 CERTES CONFID

39 Servicios de Voz Cifrados 250 sedes interconectadas en una red MPLS (cifrado en Capa 4) Cada sede tiene múltiples usuarios y servicio de voz sobre IP Una sola política controla el cifrado total de la red. Las sucursales son replicadas con sus 248 sedes. Soporta VoIP y Multicast Soporta VoIP y Video sobre redes de alta velocidad sin introducir latencia Multicast Server IP PBX Data Center VoD Server Sede Principal Servicio MPLS Sucursales Sucursales 39 CERTES CONFID

40 Servicios Administrados T.I. Topología Hub y Spoke Más de 130 sedes Cada entidad financiera tiene una VPN hacia el proveedor del servicio. Necesitaba mejorar la seguridad entre las sedes y el centro de datos principal. Internet Router de respaldo Todas las sucursales están configuradas de la misma manera Internet Internet a una Red MPLS Red MPLS Sucursales Sede Principal Data Center Las entidades financieras instalaron los CEP10s en sus cajeros automáticos Además le exigieron a AT&T que el cifrado fuese parte de la estrategia de migrar a la red MPLS 40 CERTES CONFID

41 Gobiernos Locales Red inalámbrica de capa 2 compartida por tres ciudades pequeñas. El sistema de información policial requiere cifrado para acezar la base de datos del FBI Quieren mantener el rendimiento de la red del sistema de emergencias (911) El tráfico de data de la policía es cifrado en las vlan. Todo el resto es enviado en claro. Middleton Policía Sun Prairie Policía Red Municipal Fitchburg Departamento de Bomberos (Sin Cifrado) Fitchburg Centro de despacho y cuerpo de policía Todos los departamentos de policía deben cumplir con los requerimientos de cifrado del CJIS 41 CERTES CONFID

42 Seguridad en los Centros de Datos Hoy Storage Servers CEP10G TrustNet provee seguridad a los datos entre los Centros de Datos En líneas de hasta 10Gbps de rendimiento sin túneles Los CEP están instalados en el borde de la red de los Centros de Datos y dentro del perímetro en los Centros de Datos de terceros. Centro de Datos Red Privada Cage del Cliente En el Centro de Datos de un tercero el CEP de 10 GB puede encontrarse dentro de la red del cliente sin afectar la velocidad CEP10G CEP10G Centro de Datos El CEP de 10G puede instalarse en el borde del Centro de datos y proveer seguridad total al Centro de Datos. Centro de Datos subcontratado CERTES CIPHEROPTICS CONFIDENTIAL CONFIDENTIAL 42

43 Extensión Segura de la red hacia la Nube Las empresas utilizan su centro de datos o su nube privada como hoy pero con una conexión segura de alta velocidad y rendimiento En muchos casos las organizaciones tiene los recursos necesarios para el tráfico usual pero quieren utilizar la nube para demandas en tráfico pero no es fácil de configurar. Los CEP permiten a las empresas utilizar los servicios de la nube cuando lo necesiten manteniendo seguridad e integridad en la data Centro de Datos VCEP Red Privada CEP Extensión de la red Segura Nube Pública VCEP Los CEP Virtuales (VCEP) pueden mover una VM maquina virtual a la nube en el momento que sea necesario. Sencillo, Seguro y Económico. Para las aplicaciones es una extensión segura de la misma red. No necesita cambios. Cuando la demanda baja se pueden mover de nuevo para bajar los costos CERTES CIPHEROPTICS CONFIDENTIAL CONFIDENTIAL 43

44 Encriptado por Satélite Secured traffic can be routed in the most efficient manner to preserve low latency performance All infrastructures are supported TrustNet allows easy global management from a central location WAN Mesh Hub-and-Spoke or Hybrids Site 55 Site 1 CERTES CONFIDENTIAL 44

45 Servicios Básicos Redes Eléctricas Provee servicio hidroeléctrico a uno de los sistemas eléctricos más grandes de la nación. Sucursales Sede Corporativa Planta Hidroeléctrica La solución asegura que no se pierda el control y la administración del tráfico de energía como parte de un plan de desastres. Subestación Se requiere baja latencia en la red de capa 2. Subestación Centro de Control Los servicios críticos de infraestructura incluyen electricidad, comunicaciones y sistemas de control. Por políticas de seguridad el departamento de energía no puede publicar el plan al público pero lo han entregado a otras empresas proveedoras de servicios. 45 CIPHEROPTICS CERTES CONFID

46 Platte River Power Authority Para poder cumplir con la fecha establecida por NERC, necesitaban cifrar la información del sistema de controles digitales (DCS) entre las interfaces de interacción humana (HMI) y varios sistemas de control Solución de Encriptado en la capa 2 Perímetro de Segiridad Site 1 A Ethernet Site 2A Site 1 B Site 2 B Platte River: La solución de Certes Netwoks se instalo en nuestra infraestructura existente sin impactar la operación o el rendimiento de nuestros sistemas SCADA. CIP Compliance Officer, Platt River Power Authority 46

47 Preguntas

48 Gracias

49

50 SMART GRID y Cifrado para grupos Source: Application-Aware Secure Multicast for Power Grid Communications by Zhang and Gunter

51 La Amenaza es REAL Nuestra infraestructura de información incluyendo la internet, telecomunicaciones, los sistemas de computación, los procesadores y controladores en industrias críticas son atacadas cada vez más para explotar sus datos y potencialmente para interrumpir o destruir por grupos gubernamentales y no gubernamentales a nivel mundial. Conferencia a annual del estado de las amenazas de las organizaciones de inteligencia J. Michael McConnell Ex-Director de Inteligencia Nacional 51

52 Securidad en SCADA La seguridad no esta desarrollada en los procesos SCADA! Durante los próximos años los proveedores de equipos para la infraestructura critica van a implementar seguridad en sus diseños y productos. 52

53 Datos actuales sobre la seguridad de los sistemas SCADA Estudio del Instituto Ponemon : Mas del 75% de las empresas admiten haber sufrido al menos 1 caso de compromiso de datos en los últimos 12 meses. 69% piensan que les volverá a ocurrir en los próximos 12 meses. 22 días para detectar que se realizar cambios no autorizados. 21% de las organizaciones piensa que tiene los controles y protección suficientes. 67% no utilizan las tecnologías de seguridad avanzadas disponibles para la industria y redes SCADA. 53

54 Datos actuales sobre la seguridad de los sistemas SCADA El Center for Strategic and International Studies (CSIS) reportó en el 2010: Los sistemas de control y las redes que corren en la infraestructura critica necesitan desesperadamente una seguridad más fuerte. Los sistemas de gerencia están constantemente atacados. 76% de los que respondieron en SCADA dicen estar conectados a una red IP o la internet, haciéndolos vulnerables a los métodos de ataque más conocidos. 40% espera un incidente de gran envergadura en 1 año. 80% espera un incidente de gran envergadura en los próximos 5 años. 54

55 Vulnerabilidades del Sistema SCADA Los incidentes de terrorismo cibernético están en aumento y hasta el Pentágono( el cual ha sido atacado) ha dicho que la Seguridad de los sistemas de control son un tema de seguridad nacional y de defensa. En Abril de 2009, NERC emitió un aviso público en el cual decía que en los Estados Unidos el sistema eléctrico no está adecuadamente protegido contra un ataque cibernético. En Noviembre del 2009, el programa 60 Minutes transmitió un segmento mostrando las vulnerabilidades de un computador sin protección y los sistemas de comunicación que controlan los sistemas eléctricos y el agua de la nación. 55

56 Cuál es el Problema? Los requerimientos del Smart Grid no son compatibles con el cifrado tradicional de redes La capacidad de cifrar en multicast no está disponible en forma nativa. Hay maneras de complicadas de resolverlo aunque: Las soluciones no cumplen con los requerimientos del rendimiento. Las configuraciones son complejas y llenos de errores. Diseños complejos de los sistemas. Requiere herramientas de configuración propietarias de los diversos proveedores. El Resultado son vulnerabilidades debido a la falta de soluciones viables. 56

57 Comunicaciones en el Smart Grid El Smart Grid, no es solo un flujo de energía eléctrica si no también un flujo de datos/información Para garantizar el flujo continuo de electricidad, una variedad de tecnologías de comunicación son utilizadas para transmitir información crítica en el monitoreo y control del sistema eléctrico. El protocolo de multidifusión (Multicast) es uno de los protocolos que mas se utilizan en el envío de esta información para el funcionamiento del sistema eléctrico. En las subestaciones, los protocolos multicast en la capa 2, como el Generic Object Oriented Substation Events (GOOSE) y el Sampled Measured Value (SMV), son utilizados para recolectar información en tiempo real del status de la red eléctrica, actualizar dispositivos y entregar comandos de control. IP multicast (Capa 3) es utilizado en Phasor Measurement Units (PMUs) para entregar información periódica acerca del status en un área geográfica de gran tamaño ya que puede cruzar segmentos de redes y utilizar eficientemente el ancho de banda. Multicast en Capa 4 es utilizado en algunas aplicaciones Distributed Network Protocol (DNP3) (utilizadas en redes SCADA) para reiniciar los valores de varios dispositivos remotos de control de manera simultanea en varias localidades. 57

58 Multicast en el Sistema Electrico L2-L4 Multicast is used across the smart grid Substation Networks DNP3 PMUs 58

59 Redes en la Subestaciones (GOOSE) Abstract Communication Service Interface (ACSI) Generic Object Oriented Substation Event (GOOSE) Substation Bus * Ethernet Process Bus Data objects model Communication protocols suite Link layer multicast Substation Configuration Language (SCL) Sampled Measured Value (SMV) * Based on Baigent, D. et. al. IEC Communication Networks and Systems in Substations: An Overview for Users IEC: International Electrotechnical Commission HMI: Human Machine Interface PMU: Phasor Measurement Unit 59

60 Ataques de Seguriadad a las Subestaciones de la red Sin cifrar los protocolos la data puede ser comprometida, reconfigurada o alguien puede hacerse pasar por otra persona Amenazas a la Seguridad Confidencialidad Datos de valor Integridad Status de datos e integridad de los sistemas Comandos falsos Disponibilidad Paquetes de datos 60

61 Requerimiento de Latencia Tiene requerimiento de tiempo para operaciones en tiempo real * PMU: Se toman medidas 30 veces por segundo Subestación (GOOSE) Notificación de eventos para protección GOOSE Latencia debe ser menor de ~4ms Si la data no se procesa a tiempo el los equipos no funcionan correctamente VT: Volt Transformer CT: Current Transformer * IEEE Std. 1646: Communication Delivery Time Performance Requirements for Electric Power Substation Automation 61

62 NERC estandard CIP-005 Todos los activos de la operación crítica deben permanecer dentro de un perímetro de seguridad electrónico. Los puntos de acceso al perímetro son definidos como cualquier dispositivo externo de comunicación conectado y terminado en cualquier dispositivo dentro del perímetro de seguridad. NERC no especifica el tipo de dispositivo. Muchos asumen que esto significa un Firewall pero existe una mejor alternativa. El CIP (#15) dice Cuando la data en transmitida sobre una infraestructura compartida, el organismo encargado debe asegurarse que la data no ha sido modificada en el transito. Los firewall no proveen esta funcionalidad 62

63 Artículos de Prensa Algunos de nuestros clientes DOE Platte River Montana Dakota Ibertrola NAEA 63