seguritecnia 431

72 SEGURITECNIA Mayo 2016 Artículo Técnico VPN mal protegidas e inadecuada pro- tección de las redes privadas, no im- plementación de mecanismos avanza- dos de autenticación y cifrado. Autenticación débil en alguno de los dispositivos distribuidos y/o uso de usuarios compartidos. Inadecuada segmentación: Uso de la misma subred para labores de adminis- tración, control SCADA y telemedida. Inexistencia de supervisión de seguri- dad: falta de monitorización de segu- ridad en la Red o configuración inade- cuada de la misma. Por tanto, a la hora de elegir la tec- nología o dispositivos que vamos a desplegar en la Red se debe anali- zar cómo afrontar las vulnerabilida- des mencionadas. Entre otras tecno- logías, las siguientes tienen especial relevancia en la protección de las vul- nerabilidades mencionadas: Firewall e IPSEC en todas sus variantes Soporte de L2TP y L2TP/IPsec Multi-GRE con IPSec para implemen- tación de redes extensas VPN Multi- punto (DMVPN) Potentes políticas de priorización de tráfico y reserva de ancho de banda Control de acceso a los equipos ba- sado en radius o Tacas+ en todos sus interfaces Mecanismos de seguridad frente a intrusismo en sus interfaces locales: 802.1X, filtrado direcciones MAC, listas de acceso, etc. Las soluciones de comunicaciones que Teldat pone a disposición de las utilities para desplegar este tipo de re- des disponen de todos interfaces de comunicaciones WAN, protocolos y mecanismos de securización que pro- tegen los despliegues de estas vulne- rabilidades. S U no de los retos más importan- tes y exigentes que hay que tener en cuenta a la hora de implantar una red SmartGrid es conse- guir que dicha red sea estable, segura y fiable. El estado del arte de la tecno- logía disponible en la actualidad per- mite activar mecanismos de seguridad en los distintos dispositivos de comuni- caciones de la red que aseguran la con- fidencialidad de las comunicaciones, la integridad de los datos transmitidos y la disponibilidad de la información. ¿Cómo podemos proteger una red compuesta por decenas de miles de pun- tos remotos? ¿Cómo aseguramos la confi- dencialidad de las comunicaciones de los datos transmitidos a través de redes de terceros (operadoras)? ¿De qué manera podemos hacer frente a las amenazas de intrusismo en cada uno de los miles de puntos de conexión de nuestra red? El equipo de comunicaciones sirve de nexo de unión entre los diferentes sis- temas remotos de la eléctrica (telecon- trol, metering, etc.) y de las redes de co- municaciones (redes de operadoras, de F.O., PLC…). Este equipo suele estar ins- talado en ubicaciones críticas y vulne- rables ante ataques e intrusismo y con los mecanismos correctos puede con- vertirse en una de las mejore proteccio- nes frente a estas amenazas, ayudando a aumentar los niveles de seguridad en la Red. En una red compuesta por dece- nas de miles de puntos remotos es difí- cil controlar y asegurar las instalaciones en la cuales están ubicados los equipos de comunicaciones. Este tipo de despliegues se enfrentan con seis tipos de vulnerabilidades: Suplantación física: El fácil acceso físico permite intercambiar el dispositivo au- torizado por otro del atacante. Propagación malware específico que permita modificar el comportamiento de los dispositivos SCADA. Cómo mejorar la ciberseguridad de tu ‘SmartGrid’ aplicando tecnologías de ‘networking’ Francisco Guerrero Tur / Jefe de Producto de Industrial, Utilities y Auto de Grupo Teldat