Profinet es un estándar técnico industrial para la comunicación de datos a través de Ethernet Industrial, diseñado para recopilar datos y controlar equipos en sistemas industriales
El tamaño del mercado industrial global de Profinet fue de USD 2250.7 millones en 2021 y se espera que alcance los USD 4011.28 millones en 2031, exhibiendo una tasa compuesta anual del 5.9%. Profinet y EtherNet/IP comparten el primer lugar en las clasificaciones de la red con un 18% de cuota de mercado.
Empresas que usan Profinet a nivel mundial
Profinet es respaldado por más de 1,700 empresas miembro del consorcio Profinet International (PI). En total, se han instalado 58.7 millones de productos Profinet en sistemas industriales, según datos de la misma organización hasta finales de 2022.
Profinet es un estándar técnico industrial para la comunicación de datos a través de Ethernet Industrial, diseñado para recopilar datos y controlar equipos en sistemas industriales. Es mantenido y respaldado por Profibus y Profinet International, una organización paraguas con sede en Karlsruhe, Alemania.
Profinet ofrece una arquitectura para la conectividad de sistemas de control industrial a través de una red de comunicaciones IP, por medio de esta; los diversos dispositivos de control (motion drivers, I/O, safety, sensores, etc.) pueden comunicarse con sus respectivos controladores. Profinet está especificado formalmente en los estándares IEC61158 y IEC61784 respectivamente.
Arquitectura de control Profinet
En la estructura de comunicaciones de Profinet, existe algo denominado “Clases de Conformidad” que hace referencia al alcance de las funciones soportadas por los dispositivos I/O que utilizan este protocolo, existen tres clases, una se construye encima de la siguiente y están orientadas a cubrir las aplicaciones típicas en la industria.
Estructura de las Clases de Conformidad en Profinet
Clase de Conformidad A (CC-A): Provee funciones básicas para dispositivos de entrada/salida con comunicación en tiempo real. Todos los servicios de IT pueden ser utilizados bajo esta clase, sin restricción. Los casos más comunes para esta clase corresponden a automatización, y comunicaciones inalámbricas.
Clase de Conformidad B (CC-B): Ésta extiende el alcance para incluir diagnósticos de red a través de mecanismos de TI y la topología de esta. Lo relacionado con aspectos de redundancia para la automatización de procesos está contenida en una versión extendida de esta clase, denominada clase de conformidad B (PA) [CC-B(PA)].
Clase de Conformidad C (CC-C): Ésta describe las funciones básicas para dispositivos con reserva de ancho de banda, y sincronización soportados en hardware, que sirven de base para las comunicaciones isócronas (que ocurren al mismo tiempo de manera coordinada).
Adicionalmente estas clases sirven como base para los procesos de certificación de cableado y de los procesos Profinet.
Estructura de Profinet
Un sistema Profinet consta de tres tipos de dispositivos:
IO-Controller: Este administra la tarea de automatización, lo que significa que controla y monitorea uno o más dispositivos de entrada/salida (I/O).
IO-Devices (I/O): Estos son dispositivos de campo. Puede constar de múltiples módulos y submódulos, en base a la información de entrada, genera un estado como salida.
La siguiente figura ilustra el stack de comunicaciones de Profinet
GSDML (GSD Con formato XML): Los archivos GSD escritos en formato XML, describen las características del modelo de dispositivo PROFINET. Estos archivos pueden ser editados utilizando editores XML cumpliendo los lineamientos de la norma ISO 15745, que sirve como base para la descripción de dispositivos. El objetivo principal de estos archivos es permitir una mejor integración de los dispositivos en una herramienta de ingeniería como es el caso de TIA Portal.
La siguiente figura ilustra el stack de comunicación PROFINET en relación con el modelo OSI:
Justamente debido al hecho de que Profinet es encapsulado en una trama Ethernet 802.3 (utiliza el EtherType: 0x8892) en una red IP, este protocolo puede convivir en el mismo bus de comunicaciones con otros protocolos de control, de manera simultánea, como son los casos de Ethernet/IP, MODBUS/TCP, etc. Así mismo la comunicación inalámbrica también es una parte de la especificación de Profinet, particularmente para WiFi (802.11) y Bluetooth.
Limitaciones de Ciberseguridad
Debido a que El stack de comunicaciones de Profinet no incorpora un módulo específico para garantizar integridad, autenticación, o confidencialidad, y la comunicación descansa sobre 802.3, ocasiona que éste protocolo en sí, no se considere intrínsecamente seguro, y al depender de la seguridad provista por la red Ethernet, es de suma importancia, asegurarse de considerar los mecanismos pasivos y activos necesarios para minimizar el riesgo para los dispositivos.
Dentro del mundo Profinet, existen algunas vulnerabilidades ya conocidas y que deben atenderse en primera instancia, entre ellas podemos mencionar las siguientes:
Ataques de Negación de Servicio (DoS): El protocolo DCP utilizado para el descubrimiento y configuración de dispositivos Profinet puede ser susceptible de este tipo de ataques si se envían grandes cantidades de paquetes de reinicio de este protocolo, por lo que se recomienda establecer una lista de acceso para bloquear los paquetes DCP que provengan de dispositivos o redes no confiables. A continuación, se muestra una trama de reinicio de DCP.
| SRC MAC | DST MAC | Eth. Type | Datos DCP (reinicio) |
Falta de Autenticación y Cifrado: Profinet no proporciona mecanismos para estos servicios por lo que las comunicaciones pueden ser susceptibles a ataques de suplantación y escuchas no autorizadas, se recomienda aplicar mecanismos de autenticación y cifrado.
En el mundo de Profinet, es ampliamente aceptado el concepto de defensa en profundidad, o multicapa, donde se utilizan múltiples mecanismos (activos y pasivos) a fin de garantizar la seguridad en las comunicaciones, la utilización de sensores de ciberseguridad es parte integral de este tipo de estrategia.
Recomendaciones para proteger equipos que usan Profinet
Autenticación y autorización: Asegúrese de que solo los dispositivos autorizados puedan acceder a la red.
Perímetro multicapa: Establecimiento de un perímetro electrónico de seguridad (ESP) que permita monitorear y detectar amenazas desde el punto más cercano a su origen.
División en zonas (segmentación): Proporciona una mayor protección dentro de la planta mediante la división en zonas utilizando cortafuegos. Se recomienda utilizar el modelo ISA-95 como base para esta segmentación.
Gestión de credenciales: Se recomienda la Implementación de un sistema de gestión de credenciales para la autenticación de dispositivos.
Cifrado de Datos: Utilizando protocolos para VPN como Ipsec, o protocolos de cifrado como AES, o RSA, que permiten reducir el riesgo de que los datos puedan ser interceptados o manipulados.
Guía Básica de Configuración para Profinet en una red IP
A continuación, se muestran algunas configuraciones básicas que se sugiere considerar al momento de configurar un equipo de red (Cisco para estos ejemplos) para operar con dispositivos de control utilizando Profinet.
1.- Configuración para la Identificación del dispositivo Profinet: Utilizar la siguiente configuración para switches industriales. Reemplazar el ID con el identificador deseado de hasta 240 caracteres:
Switch(config)# Profinet id <ID>
2.- Configuración de Calidad de Servicio QoS para Profinet: Considerar esta configuración básica de ejemplo en todos los dispositivos de red utilizando DSCP af41 para Profinet:
3.- Creación de una VLAN Específica para Profinet: Considerar la siguiente configuración de ejemplo, para un switch industrial, en este ejemplo asignando la VLAN 100. NO se recomienda utilizar la VLAN default por cuestiones de seguridad.
Creación de la VLAN 100 con nombre PROFINET
switch(config)# vlan 100
switch(config-vlan)# name PROFINET
switch(config-vlan)# exit
Asignación de todos los puertos GE de un switch de 24 puertos, a la VLAN PROFINET
switch(config)# interface range GigabitEthernet1/0/1 – 24
4.- Habilitación de Port Security para todos los puertos de un switch de 24 puertos, con conexión de dispositivos Profinet, permitiendo la conexión de solo un dispositivo por puerto (una sola dirección MAC), si este dispositivo es desconectado y cambiado por otro, generará una alarma sin desactivar el puerto, en caso de requerir que el puerto sea desactivado en caso de una violación, reemplazar la palabra restrict por shutdown en el 4o comando:
switch(config)# interface range GigabitEthernet1/0/1 – 24
switch(config-if-range)# switchport port-security
switch(config-if-range)# switchport port-security maximum 1
Profinet hoy en día sigue siendo uno de los protocolos de control industrial más utilizados a nivel mundial, ofrece gran flexibilidad, servicios y facilidad para su integración en redes IP, sin embargo, la falta de funciones nativas de ciberseguridad obliga a considerar estos elementos como parte del diseño de la arquitectura y la implementación de la infraestructura.
La infraestructura de comunicaciones para entornos industriales permite el soporte nativo del protocolo Profinet, y facilita la integración y convivencia con otros protocolos para ICS
Profinet a Nivel Mundial
El tamaño del mercado industrial global de Profinet fue de USD 2250.7 millones en 2021 y se espera que alcance los USD 4011.28 millones en 2031, exhibiendo una tasa compuesta anual del 5.9%. Profinet y EtherNet/IP comparten el primer lugar en las clasificaciones de la red con un 18% de cuota de mercado.
Empresas que usan Profinet a nivel mundial
Profinet es respaldado por más de 1,700 empresas miembro del consorcio Profinet International (PI). En total, se han instalado 58.7 millones de productos Profinet en sistemas industriales, según datos de la misma organización hasta finales de 2022.
Profinet es un estándar técnico industrial para la comunicación de datos a través de Ethernet Industrial, diseñado para recopilar datos y controlar equipos en sistemas industriales. Es mantenido y respaldado por Profibus y Profinet International, una organización paraguas con sede en Karlsruhe, Alemania.
Profinet ofrece una arquitectura para la conectividad de sistemas de control industrial a través de una red de comunicaciones IP, por medio de esta; los diversos dispositivos de control (motion drivers, I/O, safety, sensores, etc.) pueden comunicarse con sus respectivos controladores. Profinet está especificado formalmente en los estándares IEC61158 y IEC61784 respectivamente.
En la estructura de comunicaciones de Profinet, existe algo denominado “Clases de Conformidad” que hace referencia al alcance de las funciones soportadas por los dispositivos I/O que utilizan este protocolo, existen tres clases, una se construye encima de la siguiente y están orientadas a cubrir las aplicaciones típicas en la industria.
Clase de Conformidad A (CC-A): Provee funciones básicas para dispositivos de entrada/salida con comunicación en tiempo real. Todos los servicios de IT pueden ser utilizados bajo esta clase, sin restricción. Los casos más comunes para esta clase corresponden a automatización, y comunicaciones inalámbricas.
Clase de Conformidad B (CC-B): Ésta extiende el alcance para incluir diagnósticos de red a través de mecanismos de TI y la topología de esta. Lo relacionado con aspectos de redundancia para la automatización de procesos está contenida en una versión extendida de esta clase, denominada clase de conformidad B (PA) [CC-B(PA)].
Clase de Conformidad C (CC-C): Ésta describe las funciones básicas para dispositivos con reserva de ancho de banda, y sincronización soportados en hardware, que sirven de base para las comunicaciones isócronas (que ocurren al mismo tiempo de manera coordinada).
Adicionalmente estas clases sirven como base para los procesos de certificación de cableado y de los procesos Profinet.
Estructura de Profinet
Un sistema Profinet consta de tres tipos de dispositivos:
La siguiente figura ilustra el stack de comunicaciones de Profinet
GSDML (GSD Con formato XML): Los archivos GSD escritos en formato XML, describen las características del modelo de dispositivo PROFINET. Estos archivos pueden ser editados utilizando editores XML cumpliendo los lineamientos de la norma ISO 15745, que sirve como base para la descripción de dispositivos. El objetivo principal de estos archivos es permitir una mejor integración de los dispositivos en una herramienta de ingeniería como es el caso de TIA Portal.
La siguiente figura ilustra el stack de comunicación PROFINET en relación con el modelo OSI:
Justamente debido al hecho de que Profinet es encapsulado en una trama Ethernet 802.3 (utiliza el EtherType: 0x8892) en una red IP, este protocolo puede convivir en el mismo bus de comunicaciones con otros protocolos de control, de manera simultánea, como son los casos de Ethernet/IP, MODBUS/TCP, etc. Así mismo la comunicación inalámbrica también es una parte de la especificación de Profinet, particularmente para WiFi (802.11) y Bluetooth.
Limitaciones de Ciberseguridad
Debido a que El stack de comunicaciones de Profinet no incorpora un módulo específico para garantizar integridad, autenticación, o confidencialidad, y la comunicación descansa sobre 802.3, ocasiona que éste protocolo en sí, no se considere intrínsecamente seguro, y al depender de la seguridad provista por la red Ethernet, es de suma importancia, asegurarse de considerar los mecanismos pasivos y activos necesarios para minimizar el riesgo para los dispositivos.
Dentro del mundo Profinet, existen algunas vulnerabilidades ya conocidas y que deben atenderse en primera instancia, entre ellas podemos mencionar las siguientes:
Ataques de Negación de Servicio (DoS): El protocolo DCP utilizado para el descubrimiento y configuración de dispositivos Profinet puede ser susceptible de este tipo de ataques si se envían grandes cantidades de paquetes de reinicio de este protocolo, por lo que se recomienda establecer una lista de acceso para bloquear los paquetes DCP que provengan de dispositivos o redes no confiables. A continuación, se muestra una trama de reinicio de DCP.
| SRC MAC | DST MAC | Eth. Type | Datos DCP (reinicio) |
|————————–|————————–|——— —-|——————————–|
| 00:11:22:33:44:55 | FF:FF:FF:FF:FF:FF | 0x8892 | RESET_ENGENEERING |
Falta de Autenticación y Cifrado: Profinet no proporciona mecanismos para estos servicios por lo que las comunicaciones pueden ser susceptibles a ataques de suplantación y escuchas no autorizadas, se recomienda aplicar mecanismos de autenticación y cifrado.
En el mundo de Profinet, es ampliamente aceptado el concepto de defensa en profundidad, o multicapa, donde se utilizan múltiples mecanismos (activos y pasivos) a fin de garantizar la seguridad en las comunicaciones, la utilización de sensores de ciberseguridad es parte integral de este tipo de estrategia.
Recomendaciones para proteger equipos que usan Profinet
Guía Básica de Configuración para Profinet en una red IP
A continuación, se muestran algunas configuraciones básicas que se sugiere considerar al momento de configurar un equipo de red (Cisco para estos ejemplos) para operar con dispositivos de control utilizando Profinet.
1.- Configuración para la Identificación del dispositivo Profinet: Utilizar la siguiente configuración para switches industriales. Reemplazar el ID con el identificador deseado de hasta 240 caracteres:
Switch(config)# Profinet id <ID>
2.- Configuración de Calidad de Servicio QoS para Profinet: Considerar esta configuración básica de ejemplo en todos los dispositivos de red utilizando DSCP af41 para Profinet:
switch(config)# class-map match-all PROFINET
switch(config-cmap)# match dscp af41
switch(config)# policy-map PROFINET-QoS
switch(config-pmap)# class PROFINET
switch(config-pmap-c)# priority level 1
switch(config-pmap-c)# exit
switch(config)# interface GigabitEthernet1/0/1
switch(config-if)# service-policy input PROFINET-QoS
3.- Creación de una VLAN Específica para Profinet: Considerar la siguiente configuración de ejemplo, para un switch industrial, en este ejemplo asignando la VLAN 100. NO se recomienda utilizar la VLAN default por cuestiones de seguridad.
Creación de la VLAN 100 con nombre PROFINET
switch(config)# vlan 100
switch(config-vlan)# name PROFINET
switch(config-vlan)# exit
Asignación de todos los puertos GE de un switch de 24 puertos, a la VLAN PROFINET
switch(config)# interface range GigabitEthernet1/0/1 – 24
switch(config-if-range)# switchport mode access
switch(config-if-range)# switchport access vlan 100switch(config-if-range)# exit
4.- Habilitación de Port Security para todos los puertos de un switch de 24 puertos, con conexión de dispositivos Profinet, permitiendo la conexión de solo un dispositivo por puerto (una sola dirección MAC), si este dispositivo es desconectado y cambiado por otro, generará una alarma sin desactivar el puerto, en caso de requerir que el puerto sea desactivado en caso de una violación, reemplazar la palabra restrict por shutdown en el 4o comando:
switch(config)# interface range GigabitEthernet1/0/1 – 24
switch(config-if-range)# switchport port-security
switch(config-if-range)# switchport port-security maximum 1
switch(config-if-range)# switchport port-security violation restrict
switch(config-if-range)# switchport port-security mac-address sticky
switch(config-if-range)# exit
Conclusiones
Profinet hoy en día sigue siendo uno de los protocolos de control industrial más utilizados a nivel mundial, ofrece gran flexibilidad, servicios y facilidad para su integración en redes IP, sin embargo, la falta de funciones nativas de ciberseguridad obliga a considerar estos elementos como parte del diseño de la arquitectura y la implementación de la infraestructura.
La infraestructura de comunicaciones para entornos industriales permite el soporte nativo del protocolo Profinet, y facilita la integración y convivencia con otros protocolos para ICS
Para Saber más:
PI North America
Profinet Basics RT-Labs
Estrategia de Ciberseguridad: Inversión para reducir riesgos
Compártelo:
Me gusta esto: