Objetivo propuesto: Un laboratorio para la práctica de segmentación de redes, siguiendo el siguiente diagrama y acercándonos al cumplimiento de normativas como la IEC 62443
Para el desarrollo de este, vamos a implementarlo con TIA Portal V20, para la programación y configuración de PLCSim Advanced v7 & WinCC Unified RT.
Para la práctica disponemos de las siguientes máquinas virtuales:
VM: Estación de ingeniería
VM: PLCSim Advanced
VM: WinCC RT Unified
VM: Firewall (PfSense)
Un documento de referencia que no te debe de faltar entre tu documentación es el siguiente
Network concept for discrete manufacturing
Como no tengo firewall físico, me he basado en PfSense que puedes descargar y crearte una máquina virtual para tu laboratorio.
La que vamos a utilizar es la siguiente que ya he preparado, con las diferentes interfaces para simular las diferentes “VLANs” para las distintas reglas que aplicaremos.
Configuración del PLC y WinCC RT Unified con TIA Portal
Siguiendo nuestro diagrama, vamos a configurar según el mismo: asignamos la IP a nuestro PLC S7-1500 y le configuramos el uso de router con la puerta de enlace que corresponda. Yo, por defecto, he dejado la 10.0.VLAN.254. para todas las puertas de enlace.
En el WinCC RT Unified vamos a realizar los mismos pasos y lo vamos a conectar en el mismo bus lógico para que sea posible crear el enlace.
El ejemplo sería como se muestra en la siguiente imagen:
Nuestro enlace entre el PLC (S7-1500) & SCADA (WinCC Unified RT)
Esa es la parte más fácil; ahora hay que dirigir el tráfico según las diferentes reglas y puertos.
Para familiarizarte con el troubleshooting, te aconsejo instalar Wireshark.
Con las siguientes capturas, he analizado el tráfico con Wireshark y se ve que el puerto 102 es el que se utiliza para cargar el proyecto desde la estación de ingeniería al PLC.
Y a su vez, necesitamos el puerto 20008 para cargar desde la estación de ingeniería a nuestro servidor WinCC RT Unified.
Configuración de las reglas en el firewall
Con esa información, ya podemos crear las siguientes reglas más básicas para nuestras pruebas y como no, agregamos otras reglas para poder ver el ping (Protocolo -> ICMP). 😉
Para la comunicación entre el PLC y el SCADA. Agregamos la siguiente regla 🙂
Si consultamos el estado de las diferentes interfaces, podremos observar cómo está nuestra comunicación entre el SCADA y el PLC, qué protocolo y puertos se están utilizando.
Y aquí nuestra pantalla de testing 🙂 Testeado con WinCC Unified RT & WinCC v8.1
PfSense es una excelente herramienta para aprender y profundizar en el tema de redes y seguridad. Seguiremos aprandiendo … 😉
“Cuanto más aprendo, más me doy cuenta de lo que ignoro.”