Cisco y Rocwell en Español

1 2008 Cisco Systems, Inc. and Rockwell Automation. All rights reserved.

Cmo disear las redes mediante Arquitecturas de Referencia para obtener un diseo Ethernet compacto y seguro


Agenda

Convergencia de redes empresariales y de fabricacinColaboracin entre Cisco y Rockwell Automation

Arquitecturas de referencia para la descripcin general de la fabricacin

Las mejores prcticas para la conexin en redSegmentacin de la red

Desempeo del trfico en tiempo real para el trfico de control

Polticas de proteccin


Convergencia de redes de fabricacin

Tradicional

Red de controlRed a nivel de

dispositivoEthernet

Sensores y otros dispositivos de Entrada/Salida

Controlador

Motores, Variadores

Accionadores

ControladorBasado en PC

Robtica

Unidades centrales de back-office yservidores (ERP, MES, CAPP,PDM, etc.)

OficinasAplicaciones,Internetworking,Servidores de datos,Almacenamiento

Red de controlGateway

Red corporativa

Ethernet estndar

Ethernet

Sensores y otros dispositivos de Entrada/Salida

Controlador

Motores, VariadoresAccionadores

ControladorBasado en PC

Robtica

Unidades centrales de back-office yservidores (ERP, MES, CAPP,PDM, etc.)

OficinaAplicaciones,Internetworking,Servidores de datos,Almacenamiento

Red corporativa

Interface OperadorMquina (HMI)


Convergencia de redes empresariales y de fabricacin

Lnea de conmutador administrada Stratix 8000 TM Rockwell Automation con tecnologa Cisco

Arquitecturas de referencia Series educativas http://www.ab.com/networks/architectures.html

http://www.cisco.com/web/strategy/manufacturing/ettf_overview.html

http://www.ab.com/networks/architectures.htmlhttp://www.cisco.com/web/strategy/manufacturing/ettf_overview.html


Arquitecturas de referencia para fabricacin

Gua de diseoBuenas prcticas y recomendaciones

Metodologa

Ajustes documentados para configuracin

Desarrollada en contraste con arquitecturas validadas y probadas

Base de red preparada para la tecnologa del futuro

Enlace GE para la

deteccin de migracin en caso de fallo

Cortafuegos

(Activo)

Cortafuegos

(En espera)

Encaminador Capa 3

Switch Stack Capa 3

Interruptor Capa 2

Variador

Controlador

Controlador

VariadorHMI

Controlador

Variador

HMI

E/S distribuidas E/S distribuidas

Nivel 02

HMI

Celda/rea #1

(Topologa estrella redundante)Celda/rea #2

(Topologa anillo)

Celda/rea #3 (Topologa bus)

Zona Celda/rea

Zona de fabricacin Nivel 3

Zona Desmilitarizada (DMZ)


rea empresa Niveles 4 y 5

Servidores Windows 2003 Conexin

remota del escritorio VNC PC en cualquier sitio

Aplicaciones FactoryTalk Vista Mtrica Historial AssetCentre Centro Productivo

Servicios de Red servidor DNS, DHCP, syslog Administracin

de red y proteccin



Ethernet y TCP/IP estndar sin modificar

Segmentacin jerrquicaAdministracin de trfico

Polticas de seguridad

Desempeo en tiempo realLAN virtuales

Calidad del servicio

Administracin de difusin mltiple

Polticas de seguridadDesarrollado en contraste con arquitecturas validadas

y probadas

Enlace GE para la

deteccin de migracin en caso de fallo

Cortafuegos

(Activo)

Cortafuegos

(En espera)

Encaminador Capa 3

Switch Stack Capa 3

Interruptor Capa 2

Variador

Controlador

Controlador

VariadorHMI

Controlador

Variador

HMI

E/S distribuidas E/S distribuidas

Nivel 02

HMI

Celda/rea #1

(Topologa en estrella redundante)Celda/rea #2

(Topologa en anillo)Celda/rea #3

(Topologa de bus)

Zona Celda/rea

Zona de fabricacin Nivel 3



Zona de la empresa Niveles 4 y 5

Servidores Windows 2003 Conexin

remota del escritorio VNC PC en cualquier sitio

Aplicaciones FactoryTalk Vista Mtrica Historial AssetCentre Centro Productivo

Servicios de Red Servidor DNS, DHCP, syslog Administracin de Red y seguridad



TecnologaIEEE Ethernet estndar/sin modificar

Futuro Wireless y PTP (1588)

IETF Protocolo internet estndar (IP)

ODVA Protocolo Industrial Comn (CIP)

ISA 100 Wireless (Futuro)

NIST National Institute of Standards and Technology (Instituto Nacional de Estndares y Tecnologa)

FabricacinISA 99 Proteccin para sistemas de control y de fabricacin

ISA 95 Integracin sistema de control empresa

Modelo de referencia PurdueConstruido con estndares


Emisor Receptor

Cmo trabaja el modelo OSI

Aplicacin CIP Capa 7 Aplicacin CIPPresentacin CIP Capa 6 Presentacin CIPSesin CIP Capa 5 Sesin CIPTransporte TCP/UDP Capa 4 Transporte TCP/UDPRed IP Capa 3 Red IPEnlace de datos Ethernet Capa 2 Enlace de datos EthernetFsico Ethernet Capa 1 Fsico Ethernet


Qu

es CIP ( Protocolo Industrial Comn)?

Estndar para integrar control de E/S, configuracin de dispositivos y recoleccin de datos

en sistemas de automatizacin y de

control

Compatible con tres protocolos de red de los cuales EtherNet/IP es Ethernet estndar no modificado

Conjuntos estndar de servicios para acceder a datos y controlar el funcionamiento de los dispositivosOpen DeviceNet Vendor Association http://www.odva.org

EtherNet/IP DeviceNet ControlNet

CIP

Mot

ion

CIP Safety

Protocolo Industrial Com

n (CIP)

Adaptaciones de red de C

IP

Controladores de

movimientoServo/CA

VariadoresVlvulas

neumticas Otros perfilesBloque Safety

I/O

Otras prcticas

de seguridad

Biblioteca de objetos

especficos para la seguridad

Capa de seguridad

Biblioteca objetos

Mensajes explcitos de servicios de administracin de datos, mensajes E/S

Administracin de conexin, encaminamiento

Sincr. tiempo

IEEE 1588

TCP UDP

Protocolo Internet (IP)

Ethernet

CSMA/CD

Capa fsica de Ethernet

CAN

CSMA/NBA

Capa fsica de DeviceNet

Transporte DeviceNet

ControlNet

CTDMA

Capa fsica de ControlNet

Transporte ControlNet

http://www.odva.org/


Marco de fabricacin

Zona de la empresa para redes IT

DMZ como zona de buffer para

compartir

datos y servicios

de manera segura

Zona de fabricacin donde existen sistemas de pisos de produccin crtica

Zona celda/rea donde residen los dispositivos y controladores

Zona de seguridad para

dispositivos de seguridad

Niveles desde ISA SP95 y modelo de referencia Purdue

Zonas desde ISA SP99

Red de la empresa Nivel 5

Planificacin de negocios y red de logstica Nivel 4

Operaciones y control de fabricacin de site Nivel 3

Control supervisor del rea Nivel 2

Control bsico Nivel 1

Proceso Nivel 0

Seguridad-Crtico

Zona de la empresa


Zona de fabricacin

Zona de seguridad

Zona Celda/rea


Marco de fabricacin

No hay flujo de trfico directo desde la zona de la empresa a la zona de fabricacin

Nivel 5

Nivel 4

Nivel 3

Nivel 2

Nivel 1

Nivel 0

Servicios del terminal

Administracin de parches

Servidor AV

Espejo Historial

Operaciones de servicios de Web

Servidor de aplicacin

Encaminador Red de la empresa

Planificacin de negocios y red de logsticaE-Mail, Intranet, etc.

Control de la produccin

Optimizacin del Control

Historia del proceso

Controlador de dominio

Control supervisor

Interface de operador

Control supervisor

Estacin de trabajo de ingeniera

Interface de operador

Control de lotes

Control discreto

Control secuencial

Control continuo

Control hbrido

Sensores Variadores Accionadores Robots

Zona de la empresa

DMZ

Zona de fabricacin

Zona Celda/rea

WebE-Mail

CIP

Cortafuegos

Cortafuegos

Operaciones y control de fabricacin

Control supervisor del

rea

Control bsico

Proceso


Descripcin General de la zona celda/rea Niveles 0-2


Trfico de red de fabricacin

Ethernet estndar sin modificar

Suite estndar TCP/IP

Protocolo capa aplicacin

Protocolo

Industrial Comn (CIP)

EtherNet/IP = Ethernet + IP + CIP

TCP y UDP en transporte

Difusin simple y mltiple de IP en la red

Direccionamiento esttico IP de dispositivos

FTP HTTP OPC SNMP BOOTP DHCP

IP

IEEE 802.3 Ethernet

OSPFICMP IGMP

RARPARP

Mensajesexplcitos

Control E/S en tiempo real

UDP

CIP

TCP

EtherNet/IP especifica cmo los paquetes de comunicacin CIP pueden ser transportados por Ethernet estndar y tecnologa

TCP/IP

Capa 2

Capa 3

Capas 5-7

Capa 4


El trfico de celda/rea es predominantemente

(>80%) local, trfico

de E/S cclico

(a.k.a. Implcito)

Los productores generan mensajes UDP de difusin mltiple; el consumidor genera mensajes UDP de difusin simpleLos paquetes son pequeos: 100

200 bytes pero

se comunican con gran

frecuencia

(cada

0.5 a 10 s de ms)Las difusiones mltiples no son encaminables

(TTL=1 por

aplicacin)

El resto es control informativo

y flujos

de trfico de administracin (o Explcita) intra-

e inter-celda/reaTrfico de datos o administrativo no crtico basado en CIPInformacin de diagnstico va HTTPAdvertencias de estado y fallos va SNMP o SMTP Paquetes ms grandes, ~500 bytes pero poco frecuentes (100s de ms)

Flujos de trfico de la zona celda/rea

Computadora porttil de ingeniera (RSLogix)

Gestin de Red

Gateway de correo

Cisco Cat. 3750Switch Stack StackWise

HMIHMI

Cisco Cat. 2955

Cisco Cat. 2955

Variador Zona Celda/rea Zona Celda/rea

Zona de fabricacinDMZ

PAC


Clases de aplicacin en tiempo real

Fuente: Grupo asesor ARC

FuncinSoluciones de informacin y

automatizacin

de procesos ms lentosAutomatizacin discreta Control de movimiento

Tecnologa de comunicaciones .Net, DCOM, TCP/IP

Ethernet estndar + protocolo en tiempo real Solucin Hardware/Software

Perodo Un segundo o ms 10 ms a 100 ms < 1 ms

Industrias Petrleo y Gas, Qumica, Energa, Agua

Automotriz, alimentos y bebidas, ensamblaje electrnico,

semiconductores, metales, farmacutica

Subconjunto de automatizacin discreta

Aplicaciones

Bombas, compresores, mezcladores

Monitoreo de temp., pulsaciones, flujo

Manejo de materiales, rellenado, etiquetado, paletizacin, envasado

Soldaduras, estampado, corte, formacin de metales, soldaduras,

clasificacin

Sincronizacin de mltiples ejes: Prensas de imprimir, esquemas de cables, web

making, recogida y colocacin


Las mejores prcticas para conexin en red

Rendimiento

de la red en tiempo realReduccin

del tiempo de espera de la red y

fluctuaciones Control difusin mltiple IP

Administracin de IGMP

SegmentacinModelo de red multivinculadaTopologaLAN virtuales (VLANs)

PrioridadesCalidad del Servicio (QoS)

Resiliencia Alta disponibilidad


Difusin simple vs. difusin mltiple vs. difusin

Controlador

Interruptor

Difusin simple

Controlador

Interruptor

Difusin mltiple

Controlador

Interruptor

Difusin


Concepto grupo de difusin mltiple IP

1.

Ud. debe ser miembro

de un

grupo para recibir informacin

sobre el mismo

No es miembro del grupo

B

E

A D

C

Miembro grupo

1

Miembro grupo 3

Receptor

Emisor y Receptor

Emisor

Miembro grupo

2

Receptor

2.

Si enva a la direccin del grupo, todos

los

miembros la reciben

3.

Ud. no necesita ser

miembro de

un grupo para enviar a un grupo


Resumen IGMP Snooping

En un modelo Consumidor-

Productor, el trfico crece exponencialmente con el nmero de hosts a menos que se limiten las difusiones mltiples

IGMP Snooping y Querier proporcionan la capacidad de escalado para los modelos de datos Consumidor-Productor limitando la cantidad de trfico de difusin mltiple

Se mantienen los beneficios de desempeo del modelo Consumidor-Productor (todos los consumidores tienen acceso a la informacin)

Mbp

s

Productor-Consumidor

Trfico de difusin mltiple

Trfico de difusin simple

Nmero de dispositivos de control

Difusin mltiple con

IGMP Snooping


Segmentacin de red de plataformas mltiples

rbol

de expansin

Encamina-

miento

HSRP

GLBP

troncal

Equilibrio de lacarga

Acceso

Distribucin

Centro

Distribucin

Acceso

Ofrece topologa modular jerarquizada

bloques

modulares Fcil de desarrollar, entender y resolver

problemas Crea pequeos dominios de fallos

claras

demarcaciones y aislamiento

Promueve el equilibrio de carga y la redundancia

Promueve patrones deterministas de trfico

Incorpora el equilibrio de la tecnologa de las capas 2 y 3, aprovechando la fuerza de ambas

Utiliza el encaminamiento de la capa 3 para el equilibrio, rpida convergencia, capacidad de escalado y control de la carga


Opciones de topologa zona celda/rea

Estrella Anillo Bus

HMI

Zona Celda/rea

Cisco catalystSwitch Stack

3750 Stackwise

Controladores,Variadores y E/S distribuidas

HMI

Cisco Catalyst 2955

Zona Celda/rea

Controladores

Controladores, variadores y E/S distribuidas

Cisco Catalyst 2955

Zona Celda/reaControladores, variadores y E/S distribuidas

HMI

Controladores

Estrella Anillo Bus

Requisitos cableado

Al Este de configuracin

Costos de implementacin

Ancho de banda

Redundancia y convergencia

Disrupcin durante actualizacin de red

Preparacin para convergencia de red

Zona Celda/rea

Cisco CatalystSwitch Stack

3750 Stackwise

Cisco CatalystSwitch Stack

3750 Stackwise


Configuraciones representativas

Zona Celda/rea Zona Celda/rea

Aplicaciones FactoryTalk Estacin de trabajo de

ingeniera RSLogix 5000

Topologa de anillo

Zona Celda/rea Zona Celda/rea

Stackwise 3750de Cisco

Interruptor Capa 3

Cisco ASA 5520Cortafuegos

Cisco 2960Interruptor Capa 2Zona de

fabricacinInterruptor 8000

Capa 2 administrado

Interruptor 6000 Capa 2

administradoETAPInterruptor Capa 2

incorporadoLineal o anillo

DMZ

Zona de la empresa ERP, Email, Intranet, etc.Servidores terminal,

Administracin de parchesAntivirus, Espejo Historial,Servidor Web/Aplicacin

Interruptor Capa 26000 administrado

Empresa Red


Simplificacin del cableado con topologa lineal

Lineal

Estrella

No son necesarios interruptores externos Ethernet

El cableado simple reduce los costos de instalacin

Es necesario un interruptor externo

Gran extensin de cables = instalacin costosa


Qu

es el Spanning Tree? Porqu

es necesario?

Una conexin redundante mata una red en puenteLos paquetes de capa 2 no tienen tiempo de vida (TTL)

Un slo paquete puede abarcar todo el ancho de banda

Sin embargo, queremos mantener vnculos en paralelo para obtener redundancia


Qu

es el Spanning Tree? Porqu

es necesario?

El protocolo Spanning Tree es un algoritmo de 2 capas adoptado en IEEE 802.1D en 1998 y ha sido mejorado en algunas ocasiones; este protocolo proporciona lo siguiente:

Red sin lazos

Mantiene la redundancia en caso de fallos

Opera de manera plug-and-play


Qu

se obtiene con el Spanning Tree?

Transforma una topologa redundante en un rbol, el cual, por definicin, slo proporciona una ruta entre dos nodos sin lazo pero mantiene la resiliencia

Se recupera de los fallos reabriendo los vnculos bloqueados

Spanning tree rpido: convergencia de topologa de anillo > 500 ms y < 2.5 s


Redes de Area Local Virtuales (VLAN)

= VLAN Verde

= VLAN Roja

= VLAN Azul

2

73

4

15

6

VLAN es un concepto Ethernet de 2 capas Los puertos de un interruptor son asignados

a una VLAN Los datos slo son enviados a los puertos

dentro de la misma VLAN Las difusiones y las difusiones mltiples

estn restringidas a sus respectivas VLANs Un dispositivo de 3 capas (encaminador o

interruptor de 3 capas) puede enviar mensajes entre VLAN diferentes

Encaminador Subredes, IPInterruptor VLAN, MAC


Ejemplo de uso de VLAN en un sistema Ethernet industrial

SiSi SiSi

VLAN 102 VLAN 103 VLAN 104

VLAN 105

VLAN 101

Red de conexin principal

Zonas Zonas Celda/Celda/rearea

Asigne VLAN a dispositivos cuando se conozcan los patrones de trfico Limite el flujo de trfico productor-consumidor fuera de los dispositivos requeridos (ejemplo: una VLAN por zona de celda/rea) Use un interruptor o encaminador de 3 capas para intercambiar datos entre VLAN (ej. capa de enclavamiento PAC)


No todo el trfico se crea de la misma forma

Moraleja Las redes de control deben priorizar el trfico de control sobre otros tipos de trfico para asegurar el flujo de datos deterministas con bajo tiempo de espera y baja fluctuacin

Control (ej. CIP) Video

Datos (Mejor

esfuerzo)Voz

Ancho de banda

Bajo a moderado

Moderado a alto

Moderado a alto

Bajo a moderado

Sensibilidad a Random Drop Alta Baja Alta Baja

Sensibilidad al retardo Alta Alta Baja Alta

Sensibilidad a la fluctuacin Alta Alta Baja Alta


Calidad de Servicio (QoS)

Qu

es?

Una red tradicional es de mximo esfuerzo (best-effort)

Todo el trfico tiene el mismo servicio, es decir, el comportamiento de envo de un dispositivo de red es FIFO

QoS prioriza el trfico en diferentes niveles de servicio y proporciona un tratamiento de envo preferencial al trfico de algunos datos a costa del trfico de menor prioridad

QoS = Tratamiento Preferencial


Calidad de Servicio

Interruptor Ethernet


Operaciones de Quality of Service Cmo funcionan las herramientas QoS?

Clasificacin y

MarcacinPoner y retirar de la

cola (Selectivamente)Operaciones Post-Queuing


10 Mbps

64 kbps

Donde hay congestin, se requiere QoS

Puntos de agregacin

Vnculos y bfers

Puntos de desigualdad sustancial de velocidades

Los bfers de transmisin tienden a llenarse

El almacenamiento en memoria intermedia reduce las prdidas, introduce retardos

10 Mbps

1000 kbps

Agregacin Desigualdad de velocidades LAN a WAN


Consideraciones del diseo de QoS

ObjetivosPrioridad ms alta para el trfico de E/S CIP sensible al tiempo de espera y a fluctuacionesEntrega garantizada para sincr. CIP, movimiento CIPMinimice los impactos de los ataques DDoS

QoS a lo largo de la red de control Con la actualizacin ODVA, la frontera de

confianza de QoS va desde los puertos

de acceso del interruptor hacia

el dispositivo que admite QoS

Para los dispositivos existentes, la marcacin en el puerto de acceso

es importante segn el nmero de puerto

CIP E/S UDP 2222 CIP explicit 44818Otros: predeterminado en 0

Establecimiento del cronograma de salida con cuatro colas

Primera prioridad: sincr. CIP, movimiento CIPSegunda prioridad: E/S CIPTercera prioridad: CIP explcitoPredeterminado: otros

Gigabit Ethernet Fast EthernetSin confianza + Policing + Marcacin ToS + QueuingMarcacin ToS de confianza + Queuing


Cmo conocer sus opciones de interruptores

Industrial versus comercial

Administrado versus no administrado

Ventajas Desventajas

Interruptores administrados

Interruptores no administrados

Capacidad para administrar trfico de difusin mltiple

Proporcionan datos de diagnstico Proporcionan opciones de

proteccin Proporcionan soporte a QoS,

VLAN y resiliencia

No son costosos De fcil configuracin De fcil sustitucin

Ms costosos Requieren algn nivel de

soporte y configuracin para arrancar y ser sustituidos

Sin funciones de administracin Sin proteccin No proporcionan informacin de

diagnstico De difcil resolucin de

problemas


Direccionamiento IP y Administracin

Opcin Descripcin Ventajas Desventajas

EstticoTodos los dispositivos estn codificados con una direccin IP

Simple

Compatible con todos los dispositivos

En grandes ambientes, su mantenimiento puede resultar dificultoso

Cuando se reemplaza un dispositivo, el tcnico debe configurar la direccin IP

BOOTP

El servidor asigna direccin IP a dispositivos

Precursor a DHCP

Compatible con todos los dispositivos

Cuando se reemplaza un dispositivo, el tcnico debe configurar la direccin IP/Mac

Aade complejidad y puntos de fallos

DHCPEl servidor asigna direcciones IP desde una lista (NO RECOMENDADO)

Uso eficiente del rango de direcciones IP

Puede reducir la carga de trabajo de administracin

Ms complejo de implementar y aade un punto de fallo

Al ser reinicializados, los dispositivos obtienen diferentes direcciones IP

Opcin 82 DHCP

El servidor asigna direcciones IP consistentes desde una lista


Puede reducir la carga de trabajo de administracin

Ms complejo de implementar y aade un punto de fallo

Los ambientes combinados pueden no funcionar

Asignacin de DHCP

basada en puerto

Asigna automticamente direccin IP para cada

puerto fsico de interruptor


Facilita el mantenimiento en ambientes grandes

Slo Cisco/RA Requiere mantenimiento y reparacin,

por interruptor


Mejores prcticas Zona Celda /rea

Mejores prcticas de las conexiones en redes industriales Disee pequeas zonas celda/rea en una VLAN para manejar y

definir mejor el trfico Use interruptores administrados Conecte en modo full-duplex para evitar colisiones Use puertos Gigabit Ethernet para enlaces de

comunicaciones/enlaces ascendentes y as reducir el tiempo de espera y fluctuaciones

Use las funciones IGMP snooping/querier para controlar el volumen del trfico de difusin mltiple

Use topologas de red resilentes, de anillo o preferentemente de estrella redundante; use RSTP para administrar lazos, recuperarse de la prdida de conectividad para la convergencia de redes

Aplicar la proteccin en el puerto para limitar el uso de puertos abiertos


Descripcin general de la zona de fabricacin

Nivel

3

Zona de Fabricacin

Distribucin

Zona de Fabricacin

Centro

Servidores Windows 2003 FactoryTalk Historian FactoryTalk AssetCentre FactoryTalk View FactoryTalk ProductionCentre MS Active Directory Servidor SQL

Servicios de infraestructura de red Servidor DNS, DHCP, Syslog CNA Torre de servidores

Independiente de DMZ y zonas de empresa

Nmero mnimo de conexiones a DMZ

Comunicacin limitada entre sub-zonas

Proteccin dentro y a lo largo de la zona de fabricacin

No impacta en el rendimiento del sistema


Mejores prcticas de zona de fabricacin Reiterar servicios crticos en la zona de fabricacin, considerar lo siguiente:

Servicios de dominio ej. LDAP o Active DirectoryServicios de asignacin de nombre ej. DNS y WINSServicios direccin IP ej. DHCP Servicios de Tiempo ej. NTP o PTP

Disponibilidad: aplique encaminadores/interruptores redundantes de red y vnculos para mantener la disponibilidad general de la red

Capacidad de escalado: los sitios pequeos usan interruptores combinados centrales y de distribucin, pero los sitios ms extensos o en crecimiento deben separarlos para evitar el exceso de suscripcin en los enlaces ascendentes.

Utilizar la administracin de red y Proteccin Encaminamiento: Use protocolos de encaminamiento link-state o EIGRP para la

convergencia y equilibrio de la carga de la capa 3Use EIGRP para simplificar la configuracin Si son necesarios los protocolos estndar, use OSPF

No hay superposicin de direcciones IP con las redes empresariales. No hay direcciones IP redundantes (la traduccin de direccin de redes es la tara de mantenimiento).


Diseo de proteccin de la empresa y zona de fabricacin

Modelo de proteccin completo para la defensa en Profundidad La proteccin no es un componente incorporado

Seccin de fabricacin de segmento de la Empresa con zona Desmilitarizada

Defensa en ProfundidadDefendiendo los flancosProtegiendo el interiorProtegiendo los extremos

Acceso a diseo remoto protegido / invitado

Servicios de proteccin y de red de RA

Cisco Cat. 3750Switch Stack

StackWise

Nivel 0 Proceso

Nivel 1 Control Bsico

Nivel 2Control Supervisor rea

Nivel 3 Operaciones y control de fabricacin de site

DMZ

Web, Aplicacin,Servidores de base de datos

Historial de respaldo

ASA 5500

CiscoCat. 6500/4500

HMI

Recoleccin de Historia de

Procesos

PAC

Variador C/A E/S Remotas

Mejores prcticas de diseo DMZ estndar

VLAN

ACLCortafuegos

IPS

Proteccin Infraestructura

Red, ACL

Seguridad Capa 2,

proteccin puertoVLAN

Agente de proteccinCisco

para dispositivos basados en

Windows

CS-MARS,

ASDM y CSAMC

HMI

Los servicios de proteccin no debenComprometer las operaciones de la zona de control o trfico de E/S


Por qu

cortafuegos y DMZ

La zona de fabricacin requiere una postura de proteccin diferente

Los dispositivos y las aplicaciones de la zona de fabricacin son sensibles y vulnerables de manera diferente que los sistemas y aplicaciones de empresas. La proteccin es crtica para el desempeo y disponibilidad de los sistemas de control y automatizacin

Pero no es necesario compartir los datos y servicios Los cortafuegos modernos proporcionan esa segmentacin

crtica entre las redes de fabricacin y las empresariales, sin embargo, permiten el intercambio seguro de datos y servicios

Los conceptos de la Zona Desmilitarizada permiten el intercambio de datos y servicios crticos entre ambas zonas


DMZ: Vista Lgica

Punto de desconexin

Punto de desconexin

Servicios de terminal

Administracin de parches

Espejo Historial

Operaciones de servicios de Web

Servidor de aplicacin

Mltiples Subzonas

Funcionales

Servid

or AV

DMZ

No hay Trfico Directo

Zona de la empresa

Zona defabricacin


Dominios de confianza

Desde la perspectiva del diseo de la proteccin, cul es la diferencia principal entre 1stcase.com y 2ndcase.com?

Segmentacin del ambiente en dominios de confianza

Internet

WAN Interna

Plantas

Servidores externos

Empleados

1st

case.com 2nd

case.com

Acceso Remoto de VPN

Empleados

Plantas

Servidores externos

WAN Interna

Internet

Acceso Remoto de VPN


Aseguramiento de dispositivo

Caracterstica Descripcin MecanismoNetwork Foundation Protection

Protege de accesos, cambios y ataques no autorizados a la infraestructura principal de la red y los servicios

Proteccin de puerto, End-point protection, Proteccin Capas 2 y 3

Trust & Identity Confirmacin de que un usuario o dispositivo que necesita mantenimiento es un dispositivo vlido. Autenticacin, Autorizacin y Contabilidad

ACLs, MAC-filtering, VLAN, FactoryTalk Security, autorizacin de aplicacin

Threat Detection & Mitigation

Monitoreo continuo y proactivo de la actividad de red para la deteccin de comportamiento anormal

End-point protection, Cortafuegos, Intrusion Protection, Anlisis y Respuesta

Application Security Protege aplicaciones ejecutadas en dispositivos o end-points (estaciones de trabajo, servidores y dispositivos).

End-point Security, Cortafuegos, QoS, FactoryTalk Security

Secure Connectivity Protege la comunicacin en entornos de transporte no confiables

VPN, Encryption, IPsec

Security Management Configura, monitorea, analiza y responde a la actividad de la red.

Aplicacin de polticas, monitoreo, anlisis y respuesta, auditora y generacin de informes


Fuente: Wikipedia (www.wikipedia.com)

Cortafuegos

Definido

Un cortafuegos es un dispositivo de seguridad configurado para permitir, denegar o intermediar en conexiones de datos establecidas por la poltica de seguridad de la organizacin. Los cortafuegos pueden basarse en hardware o software

La tarea bsica del cortafuegos es controlar el trfico entre las redes de una computadora con diferentes zonas de confianza

Los cortafuegos actuales combinan stateful packet inspection multicapa y application inspection multiprotocolo

Virtual Private Network (VPN) e Intrusion Prevention Services (IPS) han sido combinados con el(los) motor(es) de inspeccin de cortafuegos

A pesar de estas complejidades, el rol principal del cortafuegos es aplicar la poltica de seguridad


Servicios de proteccin de cortafuegos

Paquete multicapa y anlisis de trficoServicios avanzados de inspeccin de protocolo y aplicacinControles de la aplicacin de la red

Servicios flexibles de control de acceso basados en red y usuarioStateful packet inspectionIntegracin con fuentes de autenticacin populares que incluyenMicrosoft Active Directory, LDAP, Kerberos, y RSA SecurID

Proteccin en tiempo real contra ataques a nivel de aplicacin y OSGusano basado en red y mitigacin de virusDeteccin y control de spyware, adware, malwareCorrelacin de eventos on-box y respuesta proactiva

Bajo tiempo de esperaDiversas topologasSoporte de difusin mltiple

Virtualizacin de servicios Segmentacin y particin de redesEncaminamiento, resiliencia, equilibrio de carga

Servicios VPN IPSec y SSL protegidos contra amenazasZero-touch, acceso remoto IPSec de actualizacin automticaServicios VPN SSL full tunneling client y clientless flexibleVPN site-to-site habilitada por QoS/encaminamiento

Cortafuego con proteccin de la capa de aplicacin

Control de Acceso

y

Autenticacin

IPS y Defensas Anti-X

Intelligent Networking

Services

Conectividad SSL y IPSec

Los cortafuegos modernos proporcionan un rango de servicios de proteccin:

http://images.google.com/imgres?imgurl=http://www.ehs.washington.edu/images/BIOSGN2.jpg&imgrefurl=http://www.ehs.washington.edu/Manuals/BSManual/AppendixA.pdf&h=1028&w=850&sz=124&tbnid=HeNi2BPYUAgJ:&tbnh=149&tbnw=124&start=14&prev=/images?q=biohazard&hl=en&lr=&safe=off


Mejores Prcticas DMZ

nica ruta hacia la zona de fabricacin

No hay trfico atravesando la DMZ.No hay protocolos comunes en cada cortafuegos lgico

Establezca las sub-zonas funcionales en la DMZ para segmentar el acceso a los servicios y datos (ej. zona Socio)

Preprese para desactivar el acceso mediante el cortafuegos

No hay trfico de control en la DMZ (o fuera de la DMZ)

Limite las conexiones salientes desde la DMZ Identifique los dominios de frontera de confianza y aplicar la

seguridad para mantener la poltica, probable con un cortafuegos


Resumen

Arquitecturas de referencia

Gua de diseo que consiste en metodologa, recomendaciones, ajustes documentados de configuracin y mejores prcticas desarrolladas en contraste con arquitecturas probadas y validadasFundamento para obtener el xito al utilizar las tecnologas ms nuevas e

innovadoras

Documentados menos prueba y error reduccin de costos en equipamiento y de tiempo de puesta en marcha mitigacin del riesgo

Infraestructura de red slida y segura que reduce el tiempo de espera y otorga gran disponibilidad

Acceda a la informacin crtica sobre la produccin para obtener Indicadores Clave de Rendimiento (KPIs)

Modelo de interruptor multicapa, ms que slo una red para interruptores de capa 2

La colaboracin entre Fabricacin (Ingeniera/Mantenimiento) y Empresa (IT) es clave para un diseo exitoso

Cmo disear las redes mediante Arquitecturas de Referencia para obtener un diseo Ethernet compacto y seguroAgendaConvergencia de redes de fabricacinConvergencia de redes empresariales y de fabricacinArquitecturas de referencia para fabricacinArquitecturas de referencia para fabricacinArquitecturas de referencia para fabricacinCmo trabaja el modelo OSIQu es CIP ( Protocolo Industrial Comn)?Marco de fabricacinMarco de fabricacinDescripcin General de la zona celda/rea Niveles 0-2Trfico de red de fabricacinFlujos de trfico de la zona celda/reaClases de aplicacin en tiempo realLas mejores prcticas para conexin en redDifusin simple vs. difusin mltiple vs. difusinConcepto grupo de difusin mltiple IPResumen IGMP SnoopingSegmentacin de red de plataformas mltiples Opciones de topologa zona celda/reaConfiguraciones representativasSimplificacin del cableado con topologa linealQu es el Spanning Tree? Porqu es necesario?Qu es el Spanning Tree? Porqu es necesario?Qu se obtiene con el Spanning Tree?Redes de Area Local Virtuales (VLAN)Ejemplo de uso de VLAN en un sistema Ethernet industrialNo todo el trfico se crea de la misma formaCalidad de Servicio (QoS) Qu es?Calidad de Servicio Interruptor EthernetOperaciones de Quality of ServiceCmo funcionan las herramientas QoS?Donde hay congestin, se requiere QoSConsideraciones del diseo de QoSCmo conocer sus opciones de interruptoresDireccionamiento IP y AdministracinMejores prcticas Zona Celda /reaDescripcin general de la zona de fabricacin Nivel 3Mejores prcticas de zona de fabricacinDiseo de proteccin de la empresay zona de fabricacinPor qu cortafuegos y DMZDMZ: Vista LgicaDominios de confianzaAseguramiento de dispositivoCortafuegos DefinidoServicios de proteccin de cortafuegosMejores Prcticas DMZResumen Arquitecturas de referencia

Documents

Cisco y Rocwell en Español