Acceso a Internet en un Ambiente de Control de Procesos

Por Paul Reszka, Ingeniero de Aplicación, WAGO Corporation  
InTech México Automatización,
Edición Abril – Junio 2006.

INTRODUCCIÓN

La automatización industrial ya no está limitada por las paredes de la planta. Más y más automatización se maneja vía comunicación remota, ya sea desde la oficina, o del confort de su propio hogar. Mediante un sitio web, los PLCs de hoy son capaces de acceder al sistema de control para manejar tareas como el monitoreo para determinar las condiciones de una máquina o verificar otras estadísticas. Con las últimas tecnologías de PLC, casi cualquier cosa que se pueda obtener próximo al equipo, se puede obtener dondequiera que haya una conexión de Internet.

CONEXIÓN DE PLC DESDE UNA LOCALIDAD REMOTA

La última generación de PLCs tiene un puerto Ethernet integrado en el controlador para proveer dos operaciones importantes. La primera es para controlar entradas/salidas (E/S) remotas sobre protocolos basados en Ethernet, p. ej. Ethernet/IP, Profinet, o Modbus/ TCP (UDP), por mencionar algunos. La segunda es para programar y/o depurar el programa interno del controlador. Con estas características, y utilizando los otros servicios de Ethernet, tales como servidores web y FTP, la administración remota del control de proceso se hace posible.

El primer paso para conexión remota es ajustar el controlador para manejar la comunicación desde la red local, así como desde una red más amplia, tal como Internet. Esto se logra agregando en los ajustes de comunicación de Ethernet del controlador un domicilio de compuerta (gateway address). De esta manera, se permite que el controlador envíe y reciba mensajes IP que no se generan dentro de la red local. El domicilio de la compuerta se asigna generalmente a un ruteador de Ethernet.

El ruteador provee un camino para direccionar o “rutear” el tráfico de IP al dispositivo de Ethernet correcto dentro de la red de área local (LAN por sus siglas en inglés). Hay rute adores de todas formas y tamaños; desde una computadora (con dos tarjetas NIC y software ruteador) hasta un ruteador genérico de banda ancha, aunque ambos manejan el tráfico de comunicaciones de manera muy parecida.

La manera más común de rutear el tráfico entre las redes LAN y las redes de área amplia (WAN por sus siglas en inglés) es mediante la translación de domicilio de la red (NAT por sus siglas en inglés). NAT provee una forma de tomar el domicilio sencillo de IP proporcionado por el proveedor de Internet (ISP por sus siglas en inglés) para permitir que múltiples dispositivos compartan la misma conexión de Internet.

Desafortunadamente, el NAT no ofrece una verdadera conexión fin-a-fin. Esto significa, por defecto, que una conexión TCP que se establece fuera del LAN puede que no tenga la capacidad de conectarse con el dispositivo de destino- porque el domicilio IP del dispositivo de destino está escondido detrás del ruteador. Para que este tipo de comunicaciones ocurran se debe utilizar el proceso de retransmisión de puerto (port forwarding). Este proceso ocurre cuando la comunicación desde fuera de la red envía un mensaje al domicilio IP del ruteador; éste determina donde enviar el “packet” basado en el número de puerto. La falta de conectividad fin-a-fin del NAT puede considerarse un problema en algunas circunstancias aunque también provee una manera simple de proteger la red.

PROTECCIÓN

Cuando se conecta un controlador lógico programable (PLC por sus siglas en inglés) a una red con acceso a Internet, el dispositivo está expuesto a todas las amenazas posibles de seguridad que enfrentan las computadoras. Una de las mejores medidas de seguridad es seleccionar un controlador que utilice un sistema operativo inmerso que no se utilice popularmente por el público consumidor. Esto ayuda a que el PLC no sea vulnerable a ataques que utilicen debilidades conocidas del sistema operativo, porque la base de conocimiento es mucho más pequeña. “seguridad a través de oscuridad” es la frase que se acuña para este tipo de medida de seguridad. Además, un ruteador configurado apropiadamente puede proveer a la red de control protección efectiva contra ataques potenciales.

Utilizando la falta de conectividad fin-a fin se evitan la mayoría de las solicitudes no pedidas para comunicarse fuera de la red LAN. Cuando ajuste el ruteador, asegúrese de limitar el número de puertos abiertos. Por ejemplo, un puerto abierto FTP puede conducir a una posible explotación mediante la carga de un programa que tome el control de la operación del controlador. La mejor regla es nunca mantener abierto un puerto que no se usa regularmente. Para incrementar la protección, se puede establecer una red privada virtual (VPN por sus siglas en inglés) que incremente la seguridad mediante la encriptación de los datos transmitidos cuando transitan en una red pública tal como el Internet. En lugar de abrir todos los puertos que se necesitan para manejar la comunicación a la red de control, un simple puerto de red autentificado pasa las comunicaciones encriptadas para que el usuario pueda tener pleno acceso, como si estuviera dentro la red LAN.

RESUMEN

Mediante la aplicación de estas técnicas sencillas a las redes de control modernas, se ofrecen nuevas opciones para el diseño del control. La recolección de datos sobre grandes distancias es el mejor uso que se puede dar a estas tecnologías. Los sistemas de control se pueden integrar más fácilmente con las redes empresariales para acoplar las cadenas de suministros al piso de la planta.

0
Comparte:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This site uses Akismet to reduce spam. Learn how your comment data is processed.