0% encontró este documento útil (0 votos)

165 vistas35 páginas

ST-TI-008 Estandar RISC-2020

Cargado por

Rolando Jra

Derechos de autor

Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.

Formatos disponibles

Descarga como PDF, TXT o lee en línea desde Scribd

0% encontró este documento útil (0 votos)

165 vistas35 páginas

ST-TI-008 Estandar RISC-2020

Cargado por

Rolando Jra

Derechos de autor

Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.

Formatos disponibles

Descarga como PDF, TXT o lee en línea desde Scribd

VICEPRESIDENCIA DE TECNOLOGIA Y AUTOMATIZACIÓN Código: ST-TI-008

EN LOS PROCESOS DE NEGOCIOS Revisión: 1

Fecha de entrada en
ESTÁNDAR RED INTEGRADA DE vigencia: 15/10/2020
SUPERVISIÓN y CONTROL (RISC) Página: 1 de 35

ESTÁNDAR
RED INTEGRADA DE SUPERVISIÓN y CONTROL
(RISC)

UNIDAD AFECTADA: AREA COORDINADORA:

Toda la Corporación Dirección de Networking y Telecomunicaciones

MATERIA PROCESO ASOCIADO:

Redes de Datos Red Integrada de Supervisión y Control (RISC)

Información de Acceso General – Propiedad de Codelco | 2020

Divulgación a terceros sólo previo consentimiento del Área Coordinadora

El presente documento puede tener información de propiedad exclusiva y/o confidencial. Ejemplar controlado es mantenido
electrónicamente en la Biblioteca Electrónica de Documentos. Toda copia impresa es documento no controlado.
VICEPRESIDENCIA DE TECNOLOGIA Y AUTOMATIZACIÓN Código: ST-TI-008
EN LOS PROCESOS DE NEGOCIOS Revisión: 1
Fecha de entrada en
ESTÁNDAR RED INTEGRADA DE vigencia: 15/10/2020
SUPERVISIÓN y CONTROL (RISC) Página: 2 de 35

ELABORACION DEL DOCUMENTO

Elaborado por Área Fecha Firma
Dirección Automatización
Norma Vargas R.
Corporativa

REVISION DEL DOCUMENTO

Revisado por Área Fecha Firma
Dirección Networking y
Marcela González M.
Telecomunicaciones
Dirección Networking y
Pablo Guaico N.
Telecomunicaciones
Dirección Networking y
Ricardo Diaz B.
Telecomunicaciones

APROBACION DEL DOCUMENTO

Aprobado por Cargo Fecha Firma
Director Networking y
Alexis Poblete Pantoja
Telecomunicaciones

AUTORIZACION DEL DOCUMENTO

Autorizado por Cargo Fecha Firma
Gerente Corporativo de
Jorge Viñuela Chamorro
Tecnología

Original firmado y en custodia de la Gerencia Corporativa de Tecnología

Información de Acceso General – Propiedad de Codelco | 2020

Divulgación a terceros sólo previo consentimiento del Área Coordinadora

CONTENIDO

1 OBJETIVO .............................................................................................................................. 4
2 ALCANCE .............................................................................................................................. 4
3 ESTANDAR DE REDES AMBIENTE INDUSTRIAL ......................................................... 4
3.1 Redes de Producción ........................................................................................................... 4
3.2 Consideraciones para el diseño de redes en ambiente industrial .................................... 7
3.3 Calidad y Servicio en Redes Industriales (QoS Quality and Service) .......................... 14
3.4 Implementación Redes en Ambiente Industrial ............................................................. 15
3.5 Arquitectura de la Red de Interconexión de los Procesos de Control .......................... 16
3.5.1 Capa de acceso ............................................................................................................. 17
3.5.2 Capa de distribución ..................................................................................................... 19
3.5.3 Capa de Núcleo ............................................................................................................ 20
4.5.4. Topología física redes de control ................................................................................. 21
4 DOCUMENTOS RELACIONADOS ................................................................................... 23
5 CONTROL DE CAMBIOS DEL DOCUMENTO ............................................................... 23
6 ANEXOS ............................................................................................................................... 23
ANEXO 1 ...................................................................................................................................... 24
ANEXO 2 ...................................................................................................................................... 25

Información de Acceso General – Propiedad de Codelco | 2020

Divulgación a terceros sólo previo consentimiento del Área Coordinadora

1 OBJETIVO

El objetivo de este documento es detallar las consideraciones de diseño a tomar en cuenta para el diseño
e implementación de una Red Industrial/Control para Sistemas de Producción en toda la Corporación y
Proyectos asociados. Para cumplir con lo anterior se definirá un modelo estándar para las
consideraciones mínimas de diseño de la Red Integrada de Supervisión y Control (RISC), explicitando
los requerimientos mínimos que debe cumplir la RISC en su forma de conexión, disponibilidad, calidad de
servicio, integración entre sistemas, servicios y topología, de manera de proporcionar y asegurar
conectividad, además de colaboración e integración desde el nivel de dispositivo de campo, de las redes
de control, con los sistemas de negocio de la empresa, con la disponibilidad y confiabilidad necesaria
para este tipo de sistemas.

2 ALCANCE

Las especificaciones entregadas en este documento definen los modelos estándares definidos en la
Industria, considerados dentro de las mejores prácticas de diseño de redes en ambiente industrial,
para la implementación de Redes de Datos en el mundo del control de procesos y su interconexión
con las redes administrativas o de gestión de la Corporación, de manera de dar la seguridad,
disponibilidad, calidad de servicio y confiabilidad necesaria a la red del proceso productivo.

3 ESTANDAR DE REDES AMBIENTE INDUSTRIAL

3.1 Redes de Producción

Las redes industriales, de control o producción, se caracterizaban por tener una visibilidad y
escalabilidad limitada, de difícil acceso y almacenamiento de la información en ellas, además de
presentar riesgos de seguridad informática, puesto que su foco de implementación es la eficiencia
del control y la productividad del proceso. Dada la necesidad actual de integración se hace necesario
incorporar elementos de seguridad y tecnologías estándar en su diseño y conexión con otras redes,
entre ellas las Redes Administrativas Generales de la Corporación (redes RAG), además de los
necesarios respaldos históricos de la información relevante de los procesos (ver figura 3.1.1).

Información de Acceso General – Propiedad de Codelco | 2020

Divulgación a terceros sólo previo consentimiento del Área Coordinadora

Nivel de Corporación Gestión y diseño Host y

Estación de trabajo

Planificación y control de
Nivel de Planta
Producción Estación de trabajo

Control del proceso

Nivel de Proceso Estación de trabajo,
PC industrial

Fabricación API’s,
Nivel de Célula CN’s, Robots,
PC industrial

Sensores,
Nivel de Campo Actuadores,
Pequeños sistemas de
control
Figura 3.1.1: Integración de dispositivos de control

Debido a los requerimientos actuales, es necesario realizar una integración entre RISC y RAG de
manera de permitir una comunicación controlada entre ellas, con las siguientes ventajas
principalmente:

• Mayor visibilidad de las redes de control

• Disminución de los tiempos de reparación con la administración remota
• Mejor integración entre los datos y sistemas de ambas redes
• Mejor administración al permitir monitoreo, soporte y alarmas remotas
• Procesos automatizados
• Información en Tiempo Real
• Visibilidad en toda la empresa
• Eficiencia de costos
• Altamente flexible y escalable
• Mantener seguridad de los procesos, redes y datos
• Facilidad y mayor posibilidad para respaldos.
• Facilidades de Calidad de Servicio para la integración de los sistemas en la red RISC

Cabe señalar que la forma de conexión entre red RISC y RAG está normada en la Corporación desde
hace ya un tiempo, y es una práctica habitual en estos momentos, según estándar ST-TI-001 “Modelo
de Interconexión DMZ Conexión RISC-RAG”, publicado el 15-11-2012. Y se potencia ahora con el
nuevo estándar 2020, ST-TI-035 “Estándar Ciberseguridad IT OT”.

Información de Acceso General – Propiedad de Codelco | 2020

Divulgación a terceros sólo previo consentimiento del Área Coordinadora

Figura 3.1.2: Visibilidad Sistemas Control

La visión completa de los procesos industriales o control permite vincular los principales elementos
de la cadena de valor interna y externa para maximizar la eficiencia/productividad (Fig. 3.1.2),
creando un ambiente estándar colaborativo. Lo anterior permite la obtención de los siguientes
beneficios:

▪ Visibilidad a través de toda la organización con los proveedores, partners y clientes.

▪ Entrega flexibilidad para la administración de las operaciones.
▪ Entrega seguridad y respaldo para todas las comunicaciones del Negocio.
▪ Estandarización del dato, lo que se traduce en información confiable y única.

Cada vez que los procesos productivos están dejando de lado la implementación de redes de campo
propietarios e implementando protocolos similares a los utilizados en la Red Administrativa, surgen
estándares como Ethernet to the Factory (EttF), o Ethernet Industrial (IE):

▪ EttF es parte del concepto de “Connected Manufacturing” (Ethernet Industrial).

▪ EttF permite integrar las redes de Producción Industrial a “otras” Redes de la Empresa.
▪ Hoy en día, la mayoría de los fabricantes de Dispositivos de Control incluyen en sus
productos, la tecnología y protocolos Ethernet.
▪ Elementos claves en los procesos de control son: la seguridad, movilidad y visibilidad de los
datos en tiempo real.
▪ La adopción de tecnologías basadas en estándares favorece la integración de los sistemas
de automatización de las redes de tipo industrial.

Información de Acceso General – Propiedad de Codelco | 2020

Divulgación a terceros sólo previo consentimiento del Área Coordinadora

Beneficios de Ethernet Industrial en la red de Producción o Control

▪ Mejora de la Productividad
o Mejora la integración y el soporte de múltiples aplicaciones en una única red
▪ Mejora la Flexibilidad
o Arquitectura Estándar
o Plataforma de red escalable
▪ Mejora la respuesta ante eventos
o Acceso Remoto
o Información en Tiempo real y alertas
▪ Incrementa la Visibilidad
o Conectividad a dispositivos y controladores (configuraciones más rápidas)
o La red de proceso o control está integrada con la red de la empresa

3.2 Consideraciones para el diseño de redes en ambiente industrial

3.2.1. Prioridades, políticas y control

En relación con la seguridad de entornos de producción, en primer lugar, se deben reconocer las
prioridades y las consideraciones económicas en términos de objetivos clave. Normalmente, el
tiempo de inactividad de las plantas de producción se mide en cifras que oscilan de cientos de miles
a millones de dólares por hora, lo que se determina en función de la pérdida de producción, los
recursos de capital no utilizados, los costos de personal, los costos energéticos, el costo de
reparación y demás sanciones o problemas derivados de las fallas de producción, afectando también
a la seguridad de las personas ( ejemplo: la no actuación de un sistema contra incendio:
confiabilidad de funcionamiento).
Por esta razón, lo principal a tener en consideración es la alta disponibilidad, confiabilidad y
simplicidad en las redes, lo que permita un tiempo medio de reparación (MTTR) lo más bajo posible
y una tasa o tiempo medio entre fallas (MTBF) lo más alto posible. En este punto es importante en el
diseño la correcta selección de equipos y arquitecturas de redundancia de la red, mientras que para
bajar el MTTR la red y sus protocolos de funcionamiento requieren simpleza y un soporte
especializado.

Las prioridades de seguridad se resumen en tres términos:

• Confiabilidad y Disponibilidad: la capacidad para mantener la continuidad operativa. Debe poder

accederse a información, datos, servicios, redes, aplicaciones y recursos de manera oportuna,
cuando se necesitan.
• Integridad: la capacidad para preservar la autenticidad de la información, datos, servicios y
configuración, y para ayudar a garantizar que ningún cliente no autorizado modifique de manera
imprevista o subrepticia algunos de estos elementos.
• Confidencialidad: la capacidad para mantener la naturaleza confidencial y privada de la
información que puede ser privada o reservada, y para ayudar a garantizar que únicamente las
entidades autorizadas tengan acceso a ella. Esto se aplica tanto a los datos almacenados como a
los datos en tránsito durante comunicaciones.
Información de Acceso General – Propiedad de Codelco | 2020
Divulgación a terceros sólo previo consentimiento del Área Coordinadora

En los entornos de producción, el orden de prioridad es primero Confiabilidad y Disponibilidad,

segundo Integridad y tercero la Confidencialidad, a diferencia de la seguridad de TI típica, donde la
confidencialidad ocupa el primer lugar, la integridad, el segundo y la disponibilidad, el último. Se
debe definir una política de seguridad de producción, donde un equipo mixto integrado por los
responsables actuales de seguridad de TI y miembros de la organización de producción deberá
establecer y controlar esta política.

Las redes industriales tienen siete características fundamentales respecto a mejores prácticas que
deben ser consideras en el diseño de ellas, y que son:

• Comunicación en tiempo real y rendimiento

• Alta Disponibilidad y Confiabilidad, vale decir asegurar bajo MTTR (Mean Time To Repair) y con
alto MTBF (Mean Time Between Failures) )
• Segmentación de tráfico, Calidad de Servicio
• Capa física (Topología adecuada a características del medio, Robustez)
• Aplicación de la Tecnología que permita múltiples fabricantes, bajo el estándar TCP/IP
• Seguridad a nivel de red, aplicaciones, datos y sistemas, pero privilegiando siempre la
disponibilidad
• Escalabilidad

3.2.2 Arquitecturas y mejores prácticas

Existen dos modelos principales que ayudan a estructurar un entorno de producción. En primer
lugar, el modelo ISA-99. En función de esta segmentación de la tecnología de la planta, el Comité de
Seguridad de Sistemas de Producción y Control del estándar ISA-99 de la Sociedad Internacional de
Automatización (International Society of Automation) ha identificado los niveles y el marco lógico que
identifica las zonas a las cuales pueden aplicarse los conceptos y las políticas de seguridad. En
Figura 3.2.1 se representan esas zonas.

Información de Acceso General – Propiedad de Codelco | 2020

Divulgación a terceros sólo previo consentimiento del Área Coordinadora

Figura 3.2.1 Zonas Estándar ISA-99

Las principales mejores prácticas de seguridad que se aplican a la zona de control y de celdas/áreas
son:

❖ Política de seguridad de las redes de proceso producción: una política centrada en las redes
de plantas o de producción, que refleje las distintas prioridades operativas comparadas con las de
la red empresarial constituye la base de las organizaciones que implementan las mejores
prácticas. Se recomienda que un equipo multidisciplinario de operaciones, ingeniería, TI y
seguridad formule esta política de seguridad de producción. La política debe abarcar temas tales
como DMZ, segmentación, acceso (remoto y local), seguridad física, frecuencia de actualización
y responsabilidades operativas.

❖ Zona perimetral (DMZ, demilitarized zone): esta zona proporciona una barrera entre las zonas
de redes de control/producción y de la empresa, y permite a los usuarios compartir datos y
servicios en condiciones seguras. Todo el tráfico de la red procedente de cualquier lado
de la DMZ termina en ella. Ningún tráfico atraviesa la DMZ, lo que significa que el tráfico no se
desplaza de manera directa entre las zonas de la empresa y de control/producción. Para
aumentar la eficacia de la DMZ, debe ser el único punto de acceso entrante y saliente de la zona
de control/producción. Para dar cumplimiento a lo anterior tomar como referencia el documento
Modelo de interconexión DMZ entre red integrada de supervisión y control y red administrativa
general ST-TI-001.

❖ Defensa del perímetro de redes de control/producción: los usuarios deben implementar

firewalls (barreras) de inspección activa de paquetes (SPI, Stateful Packet Inspection) y sistemas
de prevención de intrusiones (IPS, Intrusion Detection/Prevention Systems) alrededor de la red
IACS (Industrial Automation and Control Systems, sistemas de automatización y control
Información de Acceso General – Propiedad de Codelco | 2020
Divulgación a terceros sólo previo consentimiento del Área Coordinadora

industrial). Para dar cumplimiento a lo anterior tomar como referencia el documento

Especificación Técnica Seguridad Informática ST-TI-009.

❖ Autenticación, Autorización y Auditoría (AAA): se recomienda definir un proceso mediante el

cual se autentiquen los usuarios de producción (remotos y locales) y se aprueben los nuevos
dispositivos en la red. Los usuarios de producción se autorizan (y validan) para que accedan a
aplicaciones y dispositivos de la zona de producción, y se controla este acceso y autorización, los
que también pueden auditarse en caso de que se presenten problemas.

❖ Protección del interior: se recomienda que los usuarios implementen listas de control de acceso
(ACL, Access Control Lists) y seguridad de puertos en dispositivos de la infraestructura de red
tales como switches y routers.

❖ Servicios de identidad: las empresas utilizan 802.1x, el estándar de IEEE para el control de
acceso a nivel de medios. El estándar 802.1x permite autorizar o denegar la conectividad a la red,
controlar el acceso a redes VLAN y aplicar políticas de tráfico, en función de la identidad del
usuario o de la máquina. Asimismo, es posible comprobar que los dispositivos (en general,
computadoras) que acceden a la red cuenten con las versiones adecuadas de aplicaciones,
protección antivirus actualizada y otras características establecidas. Esta capacidad es
sumamente importante para los entornos de producción. La idea es que incluso los dispositivos
sin usuario, por ejemplo, un sensor, un mando o un controlador, se conecten en el lugar
adecuado, se comuniquen como dispositivos de automatización y control, y mantengan
comportamientos esperados.

❖ Fortalecimiento de puntos terminales: incorporación de herramientas de protección contra

virus y software malicioso en dispositivos con sistemas operativos comunes (p. ej., Windows y
Linux), que eliminan funciones y características innecesarias en esas computadoras. Además, se
necesita un medio para actualizar el software antivirus, pero debe realizarse de una manera que
no interfiera con las operaciones, por ejemplo, durante los tiempos de inactividad una vez
probadas las actualizaciones, incluso en forma manual si fuese la forma autorizada. También es
importante tomar en cuenta la seguridad de acceso a un PC, dentro de la misma red de control,
respecto a la protección de uso indebido de terminales para la manipulación o programación de
un dispositivo, contando con las herramientas de autentificación que permitan asegurar la
identidad del usuario, según lo detallado anteriormente

❖ Fortalecimiento de la red: restringe el acceso físico a la red, ya que evita el acceso de cualquier
usuario por conexión física y utiliza la administración de cambios para efectuar el seguimiento del
acceso y de los cambios. Pueden emplearse técnicas de bloqueo y cierre de puertos no
utilizados, y de creación de puertos de computadoras portátiles con configuraciones adecuadas
(p. ej., redes VLAN separadas, VRF, VPN, Túneles IPV6, etc).

❖ Segmentación y dominios de confianza: se recomienda a los usuarios segmentar la red en

zonas más pequeñas, según las necesidades de acceso o las funciones. Normalmente, esta
segmentación se logra mediante la implementación de redes VLAN y subredes. Las redes VLAN
constituyen la base del enfoque de seguridad y limitan el impacto de los problemas que puedan
surgir en un área de la red.

❖ Política de acceso remoto: se recomienda implementar políticas, procedimientos e

infraestructura para el acceso remoto de empleados y partners, utilizando las tecnologías
disponibles de acceso remoto seguro de ingenieros y partners a las aplicaciones y los
dispositivos adecuados de la planta, según las políticas de seguridad de los sistemas
Información de Acceso General – Propiedad de Codelco | 2020
Divulgación a terceros sólo previo consentimiento del Área Coordinadora

❖ Direccionamiento IP: El direccionamiento IP utilizado debe estar validado por la Dirección de

Networking y Telecomunicaciones de la VTAP responsable para este fin en la Corporación, de
manera que sea un direccionamiento válido y autorizado. Se recomienda el uso de direcciones IP
fijas, sin servidores DHCP, de manera de evitar que estaciones no autorizadas se puedan
conectar fácilmente a la red de control/producción u obtener información de ella.

El segundo modelo que existe en la industria es el denominado EttF (Ethernet to the Factory),

Figura 3.2.2: Arquitectura EttF (Ethernet to the Factory)

En la figura 3.2.2 se ven las diferentes zonas definidas en la Arquitectura Ethernet to the Factory
(EttF), en las que se pueden destacar algunas características que a continuación se describen:

✓ Nivel de Campo ó Cell/Área

El Nivel de Campo ó “Cell/Area” es una red de capa 2/3 del modelo ISO/OSI, definida en un área
funcional o de proceso, cuyos Dispositivos típicos y/ o Niveles se ven en la Figura 3.2.3.

Consideraciones claves:
▪ Requisitos del entorno
▪ Rango de dispositivos inteligentes
▪ Aplicaciones sensibles al tiempo.

Información de Acceso General – Propiedad de Codelco | 2020

Divulgación a terceros sólo previo consentimiento del Área Coordinadora

Figura 3.2.3: Niveles/Dispositivos definidos en el modelo EttF

✓ Flujo de tráfico en el Nivel de Campo o Cell Zone

En la figura 3.2.4 se observan los flujos de tráfico en el Nivel de Campo el que posee las siguientes
características:

El tráfico predominante en el Nivel de Campo Cell/Area es local (>80%). Flujo I/O.

– Generación de mensajes UDP multi-cast.
– Generación de mensajes UDP uni-cast.
– Datagramas de tamaño menor: 100-200 Bytes, pero la comunicación es frecuente (cada
0.5 a 1 ’s o menos).
– Típicamente no existe ruteo,
.
El resto del tráfico es de información de control y administración interna o entre áreas/celdas
– Basado en CIP, No crítico
– Información de diagnóstico vía HTTP
– Estatus y avisos de falla vía SNMP or SMTP
– Datagramas son más largos, ~500 bytes (100s of ms). Sin frecuencia determinada

Información de Acceso General – Propiedad de Codelco | 2020

Divulgación a terceros sólo previo consentimiento del Área Coordinadora

Figura 3.2.4: Flujo de tráfico en el Nivel de Campo o Cell Zone

✓ Tipos de tráfico

En las redes de Proceso o industriales, se debe priorizar el “Tráfico de Control” sobre otros tipos de
tráfico, esto para asegurar determinismo del flujo de datos, es decir, se requieren redes con baja
latencia y bajo jitter (ruido).

Figura 3.2.5: Características de los diferentes tipos de tráfico

Información de Acceso General – Propiedad de Codelco | 2020

Divulgación a terceros sólo previo consentimiento del Área Coordinadora

✓ Recomendación de uso de Vlans en un sistema Ethernet Industrial

▪ Asignación de Vlans a dispositivos, cuando los patrones de tráfico son conocidos

▪ Limitar el flujo de tráfico a lo requerido por los dispositivos (Ej: una VLAN por zona)
▪ Uso de switches L3 o router para la comunicación entre VLANs (Ej:. PLC interlock layer)

Figura 3.2.6: Uso de Vlans en un Sistema Ethernet Industrial

3.3 Calidad y Servicio en Redes Industriales (QoS Quality and Service)

El indicador de QoS o Calidad de Servicio (Quality of Service) es la medición de la calidad de

transmisión, aseguramiento de ancho de banda y la disponibilidad del servicio en la conexión de
extremo a extremo de la red RISC . La disponibilidad del servicio es crucial como base para QoS. La
infraestructura de la red debe estar diseñada para alta disponibilidad antes de que podamos
implementar QoS. La calidad de la transmisión de paquetes dentro de la red está sujeta a los
siguientes factores:

Información de Acceso General – Propiedad de Codelco | 2020

Divulgación a terceros sólo previo consentimiento del Área Coordinadora

• Perdida (Packet Loss) – Una medida relativa al número de paquetes que no se recibieron en
comparación al número de paquetes transmitidos. Packet Loss es típicamente una función de
disponibilidad y está atado al punto de Alta Disponibilidad que se mencionó anteriormente. Pero
mientras tengamos congestión los mecanismos que utilicemos para QoS van a ser más
selectivos al momento de elegir cuales de estos paquetes se deben descartar para aliviar la
congestión.
• Demora (Delay o Latency) – El tiempo que toma a un paquete para llegar a su destino final
después de que ha sido enviado por el emisor. En el caso de Voz, este es el tiempo que toma el
sonido de la voz para llegar al oído del que escucha.

• Variación de Demora (Jitter) – La diferencia de la demora entre los distintos puntos (envió y
recibo) de los paquetes. Por ejemplo, Si un paquete demora 100ms desde la fuente al destino y
lo que se envió demoro 125ms entonces el “jitter” es de 25ms.

Se considera que las redes de proceso o control tomarán ventaja de los estándares abiertos de red,
que permitirán la integración de otros servicios a la zona de red de control de procesos o producción,
sin sacrificar el desempeño requerido por los sistemas de control y automatización industrial. La QoS
será el mecanismo clave para alcanzar dicho objetivo (Refiérase para mayor detalle a documento
“Ethernet-to-the-Factory 1.2 Design and Implementation Guide”, Cisco Validated Design, July 22,
2008).

3.4 Implementación Redes en Ambiente Industrial

La tecnología Ethernet (EttF), la ISA 95 ISA 99 puede proporcionar no sólo un buen rendimiento
para aplicaciones de las redes de proceso industrial o de producción, sino una amplia gama de
medidas de seguridad de red para mantener la disponibilidad, integridad y confidencialidad de los
sistemas de automatización y control.

La disponibilidad es más a menudo citado como el requisito clave de seguridad desde un punto de
vista de redes de producción, entre lo que se puede detallar como principales intereses:

• Mantener los sistemas de automatización y control operativos.

• Integridad de los datos y sistemas protegiéndolos ante intentos de alterar la información en
forma intencional o accidental.
• Confidencialidad de los datos, garantizar que sólo usuarios autorizados accedan a ellos.

Las ventajas de la implementación de la seguridad en la red permite proteger los dispositivos de

campo, tales como controladores programables (PLCs), así como PCs, y se aplica tanto a los
equipos y como a la seguridad de los sistemas y datos.

Como cualquier característica del sistema, la seguridad se mantiene a través de un ciclo de vida de
diseño, implementación, mantenimiento, y mejora. Las políticas de seguridad y la administración
son una base fundamental para el desarrollo de una red robusta.

Una vez que la política de seguridad se define, hay una serie de capacidades claves técnicas para
su ejecución. Estos incluyen:

✓ La configuración de VLAN: Una VLAN es un grupo de dispositivos en una o más LANs físicas
que son configurados en el dispositivo de red, de modo que puedan comunicarse como si
estuvieran conectados al mismo cable, cuando en realidad se pueden encontrar en un número de
Información de Acceso General – Propiedad de Codelco | 2020
Divulgación a terceros sólo previo consentimiento del Área Coordinadora

segmentos de LAN diferentes. Las VLAN se deben utilizar para dispositivos de segmento que
necesitan comunicarse entre sí. Luego, a otros dispositivos o usuarios que con frecuencia
necesitan comunicarse con los dispositivos pertenecientes a la VLAN, se puede permitir el acceso
a ella. Las VLANs forman un nivel básico de la política de seguridad que se puede aplicar.

✓ El control de acceso y autenticación: El control de acceso se suele implementar por el uso de

servicios RADIUS o TACACs+ dando cumplimiento al estándar AAA.

✓ Cortafuegos: Un firewall regula el tráfico de red entre distintas redes. La opción mas segura es
desconectar completamente redes, servidores de seguridad, lo cual no es posible por las
necesidades de integración actuales. Los cortafuegos inspeccionan todos los aspectos del tráfico
que fluye entre las redes, incluso inspeccionando el contenido de los datos de un paquete (en
comparación con sólo la información del encabezado, que realizan las listas de acceso) un
proceso conocido como inspección profunda de paquetes . Los dispositivos de seguridad se
deben aplicar en los puntos de mayor riesgo de las redes, por ejemplo, en la interfaz de redes de
control con las redes administrativas de la empresa, o entre la red de la empresa e Internet. En
la actualidad existen cortafuegos que disponen de capacidades que les permita revisar a nivel de
capa 7, y bloquear aquel tráfico malicioso, previniendo de infecciones entre las redes. Cabe hacer
notar que se debe disponer de los dispositivos necesarios para controlar el tráfico entre las redes y
la inspección de este.

✓ Zona desmilitarizada (DMZ): Una zona desmilitarizada es una zona de comunicación intermedia
entre distintas áreas de una red, área privada y pública, y admite el uso compartido de datos y
servicios entre las zonas de la red. Una DMZ es compatible con el intercambio de datos y servicios
entre las zonas, sin embargo, permite un control estricto del tráfico de una u otra zona. Se
recomienda que una Red de Interconexión de sistemas de control y automatización utilice esta
forma de comunicación con la red Administrativa de la Empresa, tal como está indicado en el
estándar ST-TI-001 “Modelo de Interconexión DMZ Conexión RISC-RAG”, publicado el 15-11-
2012.

✓ Conectividad segura y gestión: Para proporcionar una protección adicional a las redes de
interconexión de sistema de control y automatización, las organizaciones pueden utilizar varios
enfoques para autenticar y cifrar el tráfico de red. Utilizando la tecnología de VPN, Secure
Sockets Layer (SSL) se puede aplicar a los datos de la capa de aplicaciones en una red IP.
También se pueden utilizar Seguridad IP (IPSec).

3.5 Arquitectura de la Red de Interconexión de los Procesos de Control

La recomendación para la arquitectura de las redes de control de procesos de la Corporación, es

que la red de interconexión de sistemas de control (RISC) cumpla el siguiente modelo de tres
capas: (refiérase al Estándar RAG ST-TI-016 RED ADMINISTRATIVA GENERAL (RAG),
publicado en Octubre, 2018)

Core

Distribución

AccesoInformación de Acceso General – Propiedad de Codelco | 2020

Divulgación a terceros sólo previo consentimiento del Área Coordinadora

Figura 3.5.1: Modelo de Red de tres capas.

La Dirección de Networking y Telecomunicaciones en la VTAP es la encargada de mantener y actualizar

un catálogo de equipos homologados para el uso respectivo en las 3 Capas del Modelo de la Red.

Donde la función de cada capa se detalla a continuación:

3.5.1 Capa de acceso

La capa de acceso de la red es el punto en el que cada sistema o dispositivo de campo se

conecta a la red de proceso. Los sistemas, así como los recursos a los que estos necesitan
acceder con más frecuencia, están disponibles a nivel local. El tráfico hacia y desde recursos
locales está confinado entre los recursos, switches y usuarios finales. En la capa de acceso
podemos encontrar múltiples grupos de usuarios/sistemas con sus correspondientes recursos. En
muchas redes industriales no es posible proporcionar a los usuarios/sistemas un acceso local a
todos los servicios, como archivos de bases de datos, almacenamiento centralizado o acceso
determinados. En estos casos, el tráfico de usuarios/sistemas que demandan estos servicios se
desvía a la siguiente capa del modelo: la capa de distribución. Los equipos en esta capa trabajan
en la capas 2 del modelo ISO/OSI, y se recomienda que sean dispositivos que cumplan con las
siguientes características como mínimo:

1) Para los equipos de acceso de la RISC, los equipos a utilizar serán definidos por la Dirección de
Networking y Telecomunicaciones de la VTAP. La selección de éstos se hará según la necesidad
de cada proyecto en cuanto a velocidad, performance y features requeridos para la operación del
sistema a instalar, no obstante, lo anterior, se descartará la elección de cualquier equipo que no
cumpla con los requisitos mínimos físicos y lógicos para trabajar en un entorno de Red Industrial.
Esto aplica tanto para equipos Switch de acceso instalados en terreno dentro de gabinetes de
pared, como para equipos de acceso instalados en Salas de Equipos, en gabinetes del tipo Rack
de 19”

1) En caso de usar protocolos industriales, tipo Profinet o Modbus TCP u otro, se recomienda la
utilización de switch industriales, debido a que estos equipos soportan comandos asociados al
manejo de tráfico de estos protocolos.
2) Las puertas de interconexión entre los equipos de acceso a Switch de distribución de la red RISC
debe ser del tipo 1 ó 10 GigabitEthernet.
3) Se debe utilizar enlaces de fibra óptica en los enlaces que sobrepasan los 100 mtrs o si el tendido
pasa por lugares con alta interferencia electromagnética, la que debe ser multimodo (tendidos
menores a 2 Km.) o monomodo (tendidos mayores a 2 Km.). La fibra que se utilice en redes
industriales debe ser Tight Buffer, y si es tendida en operaciones subterráneas, a lo menos debe
ser Libre de Halógeno y retardante a la llama (LSZH Low Smoke Zero Halogen)
4) Opción de montaje DIN-rail para gabinetes de pared, o para rack de 19”
5) Alimentación: DC inputs: 24VDC, 48VDC ó AC inputs 110v-220V, según requerimiento, con
doble alimentación de energía o los dispositivos externos para que así sea.
6) Terminales del equipo para conexiones confiables libres de mantenimiento
7) Autenticación TACACS+ or RADIUS debe ser soportada de manera que habilite el control de
Información de Acceso General – Propiedad de Codelco | 2020
Divulgación a terceros sólo previo consentimiento del Área Coordinadora

acceso centralizado de switches y restringa que usuarios autorizados alteren las configuraciones.
8) Debe disponer de facilidades para la gestión, administración y control en forma local y remota
(SNMP V1, SNMP V2, SNMP V3).
9) Debe disponer de una interfaz de administración Web que proporcione diferentes niveles de
acceso y capacidades de configuración para diferentes administradores.
10) Facilidad de direccionamiento IPv4/IPv6
11) Desempeño mínimo de 5,6 Mpps (millones de paquetes por segundo) para paquetes de 64
bytes.
12) Mínimo configuración sobre 8000 direcciones MACs y sobre 255 grupos IGMP.
13) Máxima Unidad de Transmisión (MTU) configurable sobre 9000 bytes para poder soportar un
tamaño de frame de 9018 bytes (Jumbo frames) para traficar en puertas Gigabit.
14) Storm control para tráfico broadcast
15) Filtro por direcciones MAC
16) En caso de utilizar equipos Ethernet tipo industrial debe tener inmunidad ante interferencias
electromagnéticas (EMI) y a disturbios eléctricos de alto voltaje, cumpliendo con los siguientes
estándares del área industrial:
a) IEEE 1613 y la IEC 61850-3 (subestaciones eléctricas de servicios públicos)
b) IEC 61800-3 (variable de los sistemas de control de velocidad)
c) IEC 61000-6-2 (genérico industrial)
d) NEMA TS-2 (equipos de control de tráfico)
17) Los switch a instalar deben manejar, como mínimo, los siguientes protocolos:
a) IEEE 802.3 u Fast Ethernet
b) IEEE 802.3ab Gigabit sobre par trenzado no blindado y/ó IEEE 802.3z Gigabit Ethernet
sobre Fibra óptica
c) Opcional IEEE 802.3ae Interfaz 10Gbps
d) IEEE 802.3ac extensión de la trama máxima a 1522 bytes (para permitir las "Q-tag") Las
Q-tag incluyen información para 802.1Q VLAN y manejan prioridades según el estándar
802.1p.
e) IEEE 802.3x Full dúplex y control de flujo
f) IEEE 802.1d Protocolo Spanning Tree/ IEEE 802.1w Fast Spanning Tree/ IEEE 802.1s
Protocolo Múltiple Spanning Tree (por VLAN)
g) IEEE 1588v2 Precision Time Protocol (PTP)
h) IEEE 802.1p Quality & Service (Q&S, CoS)
i) IEEE 802.1q Virtual LAN
j) IEEE 802.1ad Link Aggregation Control Protocol
k) IEEE 802.1x Autenticación
l) IEEE802.3af (Power over Ethernet, PoE)
m) IGMP Snooping for multicast filtering
n) Según requerimientos de la implementación de la solución en caso de usar interfaces
SFP, éstas deben cumplir uno de estos estándares:| 100BASE-FX (SFP), 1000BASE-SX
(SFP), 1000BASE-LX/LH (SFP)
o) Secure Shell Protocol Version 2 (SSHv2) /Secure Socket Layer (SSL) encriptación 128
bits mínimo.
p) Simple File Transfer Protocol (SFTP) para transferencia de archives hacia/desde switch
utilizando encriptación SSH
q) Simple Network Time Protocol SNTP, para sincronizar logs/alarmas del equipo
r) RMON I and II standards
18) Garantía de los equipos no menor a 3 años, con servicios locales de soporte.

Información de Acceso General – Propiedad de Codelco | 2020

Divulgación a terceros sólo previo consentimiento del Área Coordinadora

3.5.2 Capa de distribución

La capa de distribución marca el punto medio entre la capa de acceso y los servicios principales
de la red. La función primordial de esta capa es realizar funciones tales como enrutamiento,
filtrado y acceso a Core de la red, comunicando diferentes redes de acceso entre ellas, si así se
configura.
En un entorno de campus, la capa de distribución abarca una gran diversidad de funciones, entre
las que figuran las siguientes:

✓ Servir como punto de concentración para acceder a los dispositivos de capa de acceso.

✓ Enrutar el tráfico para proporcionar acceso entre las diferentes redes de acceso.

✓ Segmentar la red en múltiples dominios de difusión / multidifusión.

✓ Traducir los diálogos entre diferentes tipos de medios presentes en capa de acceso

✓ Proporcionar servicios de seguridad y filtrado.

La capa de distribución puede resumirse como la capa que proporciona una conectividad basada
en una determinada política, dado que determina cuándo y cómo los paquete pueden acceder a
los servicios principales de la red. La capa de distribución determina la forma más rápida para
que una petición pueda ser remitida a un servidor o servicio determinado. Una vez que la capa de
distribución ha elegido la ruta, envía la petición a la capa de núcleo. La capa de núcleo podrá
entonces transportar la petición al servicio apropiado. Los equipos en esta capa trabajan en las
capas 2 y 3 del modelo ISO/OSI. Los equipos en este nivel, además de cumplir con los protocolos
de los equipos de capa de acceso,deben tener las siguientes características:

a) Para los equipos de distribución de la RISC, éstos serán definidos por la Dirección de
Networking y Telecomunicaciones de la VTAP. La selección de estos equipos se hará según
la necesidad de cada proyecto en cuanto a velocidad, performance y features requeridos
para la operación del sistema a instalar y/o compatibles con protocolos propietarios de redes
TCP/IP Industriales cuando sea requerido, no obstante, lo anterior, se descartará la elección
de cualquier equipo que no cumpla con los requisitos mínimos físicos y lógicos para trabajar
en un entorno de Red Industrial.

b) La puerta de interconexión a Switch de Core de la red RISC debe ser del tipo 10
GigabitEthernet.

c) Se debe utilizar enlaces de fibra óptica en los enlaces que sobrepasan los 100 mtrs o si el
tendido pasa por lugares con alta interferencia electromagnética, la que debe ser multimodo
(tendidos menores a 2 Km.) o monomodo (tendidos mayores a 2 Km.)

d) Opción de montaje para rack de 19”

e) Alimentación 110v-220V, según requerimiento, con doble fuente de alimentación de fábrica, o

un dispositivo externo que cumpla con esta función.

f) Dynamic Trunking Protocol (DTP) para facilitar la configuración de los enlaces trunk de
ENLACE a través de las puertas de Switch

Información de Acceso General – Propiedad de Codelco | 2020

Divulgación a terceros sólo previo consentimiento del Área Coordinadora

g) Link Aggregation Control Protocol (LACP) que permita configurar Ethernet channeling
conforme al protocolo IEEE 802.3ad.

h) Manejo de protocolo de ruteo OSPF cómo mínimo.

3.5.3 Capa de Núcleo

La capa del núcleo, principal o Core se encarga de desviar el tráfico lo más rápidamente posible
hacia los servicios apropiados. Normalmente, el tráfico transportado se dirige o proviene de
servicios comunes a todos los sistemas que interconecta. El dispositivo de la capa de distribución
se encarga de proporcionar un acceso controlado a la capa de núcleo. Los equipos en esta capa
trabajan en la capa 3 del modelo ISO/OSI considerando para ello a las facilidades proporcionado
por el marco TCP/IP

pero muchas veces, implementan servicios de las capas superiores. En estos equipos no debe
existir tráfico de capa 2, ya que la red en este punto sólo debe ser ruteada con un protocolo
dinámico (ej: OSPF, estándar en la industria) y con rutas estáticas hacia la red administrativa.

Generalmente en este nivel tanto las interfaces como el medio físico son Fibra Óptica. Debe
cumplir con los protocolos especificados para los equipos de acceso y de distribución, además de
las siguientes características:

1. Para los equipos de núcleo de la RISC, los modelos de equipos de serán definidos por la
Dirección de Networking y Telecomunicaciones de la VTAP. La selección de éstos se hará según
la necesidad de cada proyecto para garantizar la operación del sistema a instalar, no obstante lo
anterior, se descartará la elección de cualquier equipo que no cumpla con los requisitos mínimos
físicos y lógicos para trabajar en un entorno de Red Industrial.
2. Debe poseer infraestructura para implementar un equipo de alta disponibilidad en sus
componentes e interfaces.
3. Los problemas que ocurren en un proceso no afectan a las otras partes del sistema, siendo fácil e
independientemente reiniciables en caso de falla.
4. La interconexión de los núcleos debe ser por rutas redundantes y ojalá por caminos distintos, ya
que es vital mantener la red arriba frente a problemas de conectividad típicos en las zonas
industriales, como son el corte de las fibras.

Tanto los equipos de Acceso, Distribución y Core deben ser diseñados en alta disponibilidad, es decir,
por ejemplo equipos distribución conectados en Stack, conexiones redundantes a los equipos de acceso
y Core, tarjetas redundantes en equipos Core, con las conexiones redundantes llegando a diferentes
tarjetas, doble fuente de poder, gabinetes con control de la temperatura y herméticos al polvo. El tendido
de Fibra debe ser redundante en lo posible, que asegure la disponibilidad de al menos un enlace en
forma permanente entre ellos. En Figura 4.5.2 se observa una arquitectura de alta disponibilidad.

Información de Acceso General – Propiedad de Codelco | 2020

Divulgación a terceros sólo previo consentimiento del Área Coordinadora

Figura 3.5.2 Arquitectura alta disponibilidad

4.5.4. Topología física redes de control

El siguiente paso en la selección de alta disponibilidad es la topología deseada para redes que
necesitan una rápida convergencia y tiempo de recuperación ante una falla.

Los principales impulsores de la elección de la topología son el equipo de red que se va a utilizar,
lugares de instalación de los equipos y el nivel de redundancia que se desea.

Las topologías a utilizar recomendadas son anillos o estrellas redundantes, según ubicación de
los equipos, privilegiando los anillos por sus ventajas de costo e instalación en terreno industrial.

Los cables que conforman el anillo o estrellas redundantes (generalmente fibras) deben ser
tendidos por caminos físicos diferentes, de manera que ante un corte en terreno, la red siga
operando y exista el tiempo necesario para la reparación del medio físico, sin tener
indisponibilidad de la red. En Figura 4.5.3 se pueden ver algunas de las topologías
recomendadas, las que deben ser evaluadas caso a caso.
.

Información de Acceso General – Propiedad de Codelco | 2020

Divulgación a terceros sólo previo consentimiento del Área Coordinadora

Figura 3.5.3 Topologías Recomendadas

Información de Acceso General – Propiedad de Codelco | 2020

Divulgación a terceros sólo previo consentimiento del Área Coordinadora

4 DOCUMENTOS RELACIONADOS

ST-TI-001 “Modelo de Interconexión DMZ Conexión RISC-RAG”, publicado el 15-11-2012.

ST-TI-009 “Especificación Técnica Seguridad Informática” publicado el 27-11-2014.
ST-TI-016 “Estándar Red Administrativa General (RAG)”, publicado en Octubre, 2018
ST-TI-035 “Estándar Ciberseguridad IT OT”, publicado en Agosto, 2020.

5 CONTROL DE CAMBIOS DEL DOCUMENTO

Fecha
Rev Nº Item Modificado Descripción de la Modificación
Modif.
0 10/2020 Primera publicación

6 ANEXOS

Nº Código Nombre

1 Terminología
2 Planilla de configuración base equipos red RISC

Información de Acceso General – Propiedad de Codelco | 2020

Divulgación a terceros sólo previo consentimiento del Área Coordinadora

ANEXO 1

TERMINOLOGIA
ANSI American National Standard Institute
ASTM American Society for Testing Material
CSA Canadian Standard Association
DIN Deutsche Intitut für Normung
EIA Electronic Industry Association
FF Foundation Field Bus
FM Factory Mutual
ICEA Insulated Cable Engineers Association
IEC International Electrotechnical Commission
IEEE Institute of Electrical and Electronic Engineers
ISA Instrument Society of America
ISO International Standards Organization
MSHA Mine Safety and Health Administration
NEC National Electric Code
NEMA National Electrical Manufacturers Association
NESC National Electrical Safety Code
NFPA National Fire Protection Association
ONVIF Open Network Video Interface Forum
OPC OPC Foundation
OSHA Occupational Safety and Health Administration
RFC Request For Comments
SAMA Scientific Apparatus Makers Association
TIA Telecommunications Industry Association
UL Underwriters Laboratory

Información de Acceso General – Propiedad de Codelco | 2020

Divulgación a terceros sólo previo consentimiento del Área Coordinadora

ANEXO 2

PLANILLA DE CONFIGURACIÓN BASE EQUIPOS RED RISC

1.- Nombre del dispositivo (Hostname):

1.1.- Equipos Core:

Cada equipo deberá ser configurado con un nombre que identifique el bloque de Núcleo en donde se
encuentra instalado.

El nombre del equipo deberá seguir la siguiente estructura; Core_X en donde la letra X deberá indicar el
nombre del Sector, Mina, Proceso en el que se encuentra instalado el bloque de Núcleo.
En el caso de contar con 2 Core deberá seguir la siguiente estructura Core_X-Y, donde Y deberá ser 1 ó
2 según corresponda.

Cabe señalar que la longitud del nombre no deberá superar los 63 caracteres. Además, sólo podrán
contener letras, números y guiones (no podrán incluir espacios o símbolos).

Comando:

hostname Core_X
ó
hostname Core_X-Y

Ejemplo:

Switch(config)#hostname Core_Esmeralda
ó
Switch(config)#hostname Core_Esmeralda-1

1.2.- Equipos de Distribución

Cada equipo deberá ser configurado con un nombre que identifique el bloque de distribución en donde se
encuentra instalado.

El nombre del equipo deberá seguir la siguiente estructura; SwD_X en donde la letra precedida del guión
deberá indicar el nombre del sector donde se encuentra instalado el bloque de distribución.

En el caso de ser un stack de distribución la estructura será SwD_Stack_X:

De esta forma, el nombre del equipo deberá seguir la siguiente estructura:

Información de Acceso General – Propiedad de Codelco | 2020
Divulgación a terceros sólo previo consentimiento del Área Coordinadora

▪ SwD = Switch de Distribución

▪ SwD_Stack = Switch Stack
▪ X = Sector o Área

Cabe señalar que la longitud del nombre no deberá superar los 63 caracteres. Además, solo podrán
contener letras, números y guiones (no podrán incluir espacios o símbolos).

Comando:

hostname SwD_X
ó
hostname SwD_Stack_ X

Ejemplo:

Switch(config)#hostname SwD_Esmeralda
o
hostname SwD_Stack_ Esmeralda

1.3.- Equipos de Acceso

Cada equipo deberá ser configurado con un nombre que identifique el sector donde se encuentra
instalado seguido por el sistema de control al que pertenece y en caso que exista más de uno, el número
del dispositivo.

De esta forma, el nombre del equipo deberá seguir la siguiente estructura; SwA_X en donde:

▪ SwA = Switch Acceso

▪ X = representa sector donde se encuentra instalado
▪ Y= Sistema de Control al que pertenece
▪ Z= número de dispositivo

Cabe señalar que la longitud del nombre no deberá superar los 63 caracteres. Además, solo podrán
contener letras, números y guiones (no podrán incluir espacios o símbolos).

Comando:

hostname SwA_X_Y-Z

Ejemplo:

Switch(config)#hostname SwA_Esmeralda_Scada-1

2.- CAPACIDADES DE ADMINISTRACIÓN LOCAL Y REMOTA

2.1.- Configuración para administración remota

Información de Acceso General – Propiedad de Codelco | 2020

Divulgación a terceros sólo previo consentimiento del Área Coordinadora

Cada equipo deberá contener comandos para permitir que se utilice el método de Autenticación,
Autorización y Accounting (AAA) estándar.

Comandos:

aaa new-model
aaa authentication fail-message $Parametros incorrectos.$
aaa authentication password-prompt Clave:
aaa authentication username-prompt Ingrese_Nombre_usuario_local:

2.2.- Configuración de cuentas de usuario locales para administración remota

Cada equipo, deberá ser configurado con un usuario y password para acceso de contingencia, que
deberá ser definida con el cliente que recibirá el sistema.

La contraseña “enable secret” será necesaria en caso de ingresar por cualquier método y se acceda con
un usuario que no tenga privilegios de administración, esta también debe ser definida con el cliente que
recepcionará el sistema.

2.3. Configuración de puertos TTY de consola

Los siguientes comandos son utilizados para ingresar mediante cable RS-232 a la consola de todos los
equipos:

Comandos:

line con 0
login
session-timeout 2
exec-timeout 2 30
stopbits 1
password a definir con el cliente
logging synchronous

2.4.- Habilitación de SSH

Adicionalmente en los equipos que lo permitan se deberá habilitar SSH. Para esto previamente se deben
agregar los siguientes comandos en modo global para la creación de certificados y definición de versión:

Comandos:

crypto key zeroize rsa

yes
crypto key generate rsa general-keys modulus 1024
ip ssh version 2
ip ssh time-out 120
Información de Acceso General – Propiedad de Codelco | 2020
Divulgación a terceros sólo previo consentimiento del Área Coordinadora

ip ssh authentication-retries 3

2.5.- Configuración de líneas VTY

El acceso remoto a los equipos por lo general se realiza mediante el protocolo Telnet y SSH, para esto se
deben habilitar las 16 líneas VTY desde la 0 a la 15 de la siguiente forma:

Comandos:

line vty 0 15
login
session-timeout 2
exec-timeout 2 30
access-class [Nº de ACL extendida para administración vía telnet] in
password a definir con el cliente
logging synchronous
transport input telnet ssh
transport output telnet ssh

Ejemplo:

line vty 0 15
login
session-timeout 2
exec-timeout 2 30
access-class 100 in
password a definir con el cliente
logging synchronous
transport input telnet ssh
transport output telnet ssh

2.7.- Configuración de listas de control de acceso para las líneas VTY

La ACL 100 indicada en el punto anterior se utiliza para permitir el acceso de administración por Telnet
solo a direcciones válidas al interior de Codelco.

Comandos:

access-list [Nº ACL extendida] remark [Descripción de ACL]

access-list [Nº ACL extendida] permit tcp [Link] [Link] any eq 23
access-list [Nº ACL extendida] permit tcp [Link] [Link] any eq 23
access-list [Nº ACL extendida] deny ip any any log-input

Ejemplo:

access-list 100 remark ACL para Administracion via Telnet

Información de Acceso General – Propiedad de Codelco | 2020
Divulgación a terceros sólo previo consentimiento del Área Coordinadora

access-list 100 permit tcp [Link] [Link] any eq 23

access-list 100 permit tcp [Link] [Link] any eq 23
access-list 100 deny ip any any log-input

Información de Acceso General – Propiedad de Codelco | 2020

Divulgación a terceros sólo previo consentimiento del Área Coordinadora

3.- PARAMETROS DE CONFIGURACIÓN GENERAL

3.1.- Configuración del mensaje de inicio de sesión (banner motd)

Con el fin de mostrar una advertencia a quien intente conectar a algún equipo de networking se crea un
banner que se desplegará en cada conexión. Este banner dependerá de la división donde se encuentre el
equipo.

Comando:

banner motd $

=
= ======= =
= =========== =
= ============= =
= =============== =
= =============== =
= ============= =
= =========== =
= ======= =
=
=======
=
Corporación Nacional del Cobre de Chile
CODELCO
//ingresar Ubicación//

ACCESO RESTRINGIDO A EQUIPO CRITICO DE LA RED DE CONTROL

Ha accedido a un equipo critico de las Redes de Control División

Ingresar División. Si no cuenta con derechos de administración sobre
este equipo, se recomienda finalizar su sesión de acceso de inmediato.
$

3.2.- Configuración de parámetros de administración vía SNMP

La configuración del protocolo SNMP en los equipos de Networking permite el monitoreo y administración
remota de algunos parámetros de configuración. Para habilitar esto se necesitan los siguientes comandos
y listas de acceso:

Comandos:

snmp-server community [Nombre comunidad de solo lectura] RO [ACL SNMP]

snmp-server community [Nombre comunidad de lectura y escritura] RW [ACL SNMP]
snmp-server location [Edificio_o_sector_donde_se_instala_el_equipo]
Información de Acceso General – Propiedad de Codelco | 2020
Divulgación a terceros sólo previo consentimiento del Área Coordinadora

snmp-server contact [Nombre_Correo_Telefono_de_soporte]

snmp-server enable traps port-security
snmp-server enable traps port-security trap-rate 1
snmp-server enable traps envmon
snmp-server host [Direccion_ip] [Nombre comunidad de solo lectura]
snmp-server host [Direccion_ip] [Nombre comunidad de lectura y escritura]

Los nombres a utilizar en las comunidades serán rcontrol y wcontrol o la que la División decida.

Ejemplo:

snmp-server community rcontrol RO 10

snmp-server community wcontrol RW 10
snmp-server location Lugar de instalación del equipo
snmp-server contact Nombre- correo-Teléfono indicados por cliente
snmp-server enable traps port-security
snmp-server enable traps port-security trap-rate 1
snmp-server enable traps envmon
snmp-server host dirección IP a definir según servidor SNMP instalado rcontrol

3.3.- Configuraciones para el envío de mensajes (traps) SNMP al servidor de monitoreo y envío de
mensajes SYSLOG:

Para el envío de mensajes de monitoreo y syslog a servidores remotos que permitan revisar problemas
se requieren los siguientes comandos:

Comandos:

logging buffered 4096

logging source-interface [Interfaz de origen]
logging trap notifications
logging facility local [Numero depende de División]
logging [Dirección IP de plataforma centralizada de gestión de mensajes syslog]

Ejemplo:

logging buffered 4096

logging source-interface loopback 0
logging trap notifications
logging facility local 7
logging Dirección IP indicada por el cliente

Información de Acceso General – Propiedad de Codelco | 2020

Divulgación a terceros sólo previo consentimiento del Área Coordinadora

3.4.- Configuración de formato para el registro de eventos (logs)

Los siguientes comandos se utilizan para dar un formato que indique la hora de los mensajes y una
secuencia de llegada para realizar análisis de información de forma ordenada:

Comandos:

service timestamps debug datetime localtime show-timezone msec

service timestamps log datetime localtime show-timezone msec
service sequence-numbers

3.5.- Habilitación del registro local para la modificación de configuraciones

Para dejar un registro en syslog de los comandos aplicados en cada equipo, indicando también el usuario
que los realizó, se deben ejecutar los siguientes comandos:

Comandos:

archive
log config
logging enable
logging size 200
notify syslog
hidekeys

3.6.- Habilitación y deshabilitación de servicios

Para habilitar servicios necesarios para una mejor administración de los equipos de networking se deben
aplicar los siguientes comandos de forma estándar:

Comandos:

service tcp-keepalives-in
service tcp-keepalives-out
service password-encryption
service linenumber
no service pad
no service tcp-small-servers
no service udp-small-servers
no service finger
no ip finger
vtp mode transparent
no ip http server
no ip http secure-server
no ip domain-lookup

Información de Acceso General – Propiedad de Codelco | 2020

Divulgación a terceros sólo previo consentimiento del Área Coordinadora

3.7.- Configuración para la recuperación de estados de error en las interfaces

Habilitando los siguientes comandos se les indica a los equipos de networking que realicen acciones
correctivas sobre problemas comúnmente detectados y que dejan en un estado ERRDISABLE las
interfaces. Con el primer comando se indica que se habiliten todas las opciones disponibles y con el
segundo que el intento de recuperación se realice dentro de 30 segundos:

Comandos:

errdisable recovery cause all

errdisable recovery interval 30

3.8.- Configuración del protocolo NTP

Para habilitar la sincronización de Clocks de todos los dispositivos de networking con un servidor NTP
(Network Time Protocol), que dependerá de la división donde se encuentre el equipo, se aplican los
siguientes comandos, en este caso el equipo corresponde a un NTP master:

Comandos:

ntp master 3
ntp update-calendar
ntp server Dirección de NTP utilizada en la División prefer
clock timezone CHILE -4
clock summer-time CHILE-HORARIO-VERANO recurring 2 Sun Oct 0:00 2 Sun Mar 0:00

Ejemplo:

ntp master 3
ntp update-calendar
ntp server [Link] prefer
clock timezone CHILE -4
clock summer-time CHILE-HORARIO-VERANO recurring 2 Sun Oct 0:00 1 Sun Apr 0:00

3.9. Configuración de interfaces loopback para administración y monitoreo

Para una óptima administración y monitoreo es ideal definir interfaces Loopback que estén siempre
activas a pesar de las desconexiones físicas, para esto se requieren los siguientes comandos:

Comandos:

interface [X]
description [descripción]
ip address [Dirección IP y Mascara]
no ip redirects
Información de Acceso General – Propiedad de Codelco | 2020
Divulgación a terceros sólo previo consentimiento del Área Coordinadora

no ip unreachables
no ip directed-broadcast

3.10. Configuración de Spanning tree

Se debe utilizar protocolo Rapid Spanning Tree y es importante que, independiente del protocolo a
utilizar, en los switchs de distribución se defina una prioridad que permita que sea elegido como Root de
forma predeterminada. Para esto se deben aplicar los siguientes comandos:

Comandos:

spanning-tree mode RSTP

no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
spanning-tree vlan 1-1000 priority 4096

Ejemplo:

spanning-tree mode rapid-pvst

no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
spanning-tree vlan 1-1000 priority 4096

3.11. Configuración de VLAN´s

Se deben crear una o más VLAN´s en las redes de control a utilizar que independicen el tráfico entre las
ellas, siendo el límite del tráfico Layer 2 los equipos de Distribución. Nunca se debe utilizar para
administración o Vlan de datos VLAN 1, la que debe ser desactivada por seguridad.

3.12. Configuración de la dirección IP para la administración del equipo de capa de acceso

Se define una VLAN dedicada para la administración de los equipos de capa de acceso la cual depende
del esquema de distribución de VLAN definido en la respectiva capa de distribución. En Codelco se utiliza
el ID de VLAN 20.

La configuración utilizada en Codelco es la siguiente:

Comandos:

(config)#vlan 20
(config-vlan)#name admin

interface Vlan20
ip address [dirección ip] [mascara de subred]
no ip redirects
no ip unreachables
Información de Acceso General – Propiedad de Codelco | 2020
Divulgación a terceros sólo previo consentimiento del Área Coordinadora

no ip proxy-arp
no ip route-cache

3.13. Configuración de la puerta de enlace

Para realizar una conexión remota hasta el equipo de acceso es necesario crear una default Gateway en
caso de requerir una conexión desde otro segmento distinto al que pertenece, la default Gateway
corresponde al mismo segmento de la VLAN de administración (VLAN 20):

Comandos:

ip default-gateway [dirección ip]

3.14. Storm Control

En la configuración de los puertos uplink es siempre recomendable poner

interface X
storm-control broadcast level 20

Información de Acceso General – Propiedad de Codelco | 2020

Divulgación a terceros sólo previo consentimiento del Área Coordinadora

También podría gustarte

Tarea Evaluada3 Pablo Arredondo
Aún no hay calificaciones
Tarea Evaluada3 Pablo Arredondo
19 páginas
QoS: Clave en Redes y Telecomunicaciones
Aún no hay calificaciones
QoS: Clave en Redes y Telecomunicaciones
18 páginas
Plan de Red y Cableado Estructurado
Aún no hay calificaciones
Plan de Red y Cableado Estructurado
25 páginas
Redes Convergentes y Confiables
Aún no hay calificaciones
Redes Convergentes y Confiables
5 páginas
Diseño Físico de Una Red
Aún no hay calificaciones
Diseño Físico de Una Red
7 páginas
Procedimiento de Mantenimiento de Redes
Aún no hay calificaciones
Procedimiento de Mantenimiento de Redes
5 páginas
VLANs
100% (1)
VLANs
17 páginas
Iso 30000
Aún no hay calificaciones
Iso 30000
3 páginas
Carlos Garcia Tarea 8
Aún no hay calificaciones
Carlos Garcia Tarea 8
5 páginas
Fundamentos de Interconectividad
Aún no hay calificaciones
Fundamentos de Interconectividad
11 páginas
Modelo OSI en Redes Industriales
100% (2)
Modelo OSI en Redes Industriales
17 páginas
Fundamentos de Redes de Datos
Aún no hay calificaciones
Fundamentos de Redes de Datos
1 página
Optimización de Redes Telmex
Aún no hay calificaciones
Optimización de Redes Telmex
10 páginas
Etherchannel Con Lagp PDF
Aún no hay calificaciones
Etherchannel Con Lagp PDF
3 páginas
Guía para el SGCI en Ciberseguridad Industrial
Aún no hay calificaciones
Guía para el SGCI en Ciberseguridad Industrial
96 páginas
Mitsubishi Controladores Logicos Program
Aún no hay calificaciones
Mitsubishi Controladores Logicos Program
21 páginas
Controles de ISO 27001: Guía Completa
Aún no hay calificaciones
Controles de ISO 27001: Guía Completa
1 página
Plan de Gestión de Calidad en Proyectos de Software
Aún no hay calificaciones
Plan de Gestión de Calidad en Proyectos de Software
5 páginas
Práctica de Redes y Conmutación
Aún no hay calificaciones
Práctica de Redes y Conmutación
5 páginas
Diferencias entre IDS e IPS en Seguridad
Aún no hay calificaciones
Diferencias entre IDS e IPS en Seguridad
8 páginas
PFC JAIME ALVAREZ NAVARRO v1 PDF
Aún no hay calificaciones
PFC JAIME ALVAREZ NAVARRO v1 PDF
132 páginas
Principios de Ciberseguridad en OT
Aún no hay calificaciones
Principios de Ciberseguridad en OT
8 páginas
Capitulo 6 - Capa de Red
Aún no hay calificaciones
Capitulo 6 - Capa de Red
31 páginas
Redes NGN: Funcionamiento y Componentes
Aún no hay calificaciones
Redes NGN: Funcionamiento y Componentes
17 páginas
Soluciones Avanzadas para Centros de Datos
Aún no hay calificaciones
Soluciones Avanzadas para Centros de Datos
11 páginas
Configuración Básica de Switches
Aún no hay calificaciones
Configuración Básica de Switches
6 páginas
Puertos Renombrados en Red Hat Linux
Aún no hay calificaciones
Puertos Renombrados en Red Hat Linux
14 páginas
Modelo Osi Industrial PDF
Aún no hay calificaciones
Modelo Osi Industrial PDF
17 páginas
Protocolo CIP en Redes Industriales
Aún no hay calificaciones
Protocolo CIP en Redes Industriales
40 páginas
NIST SP 1299 Spa
Aún no hay calificaciones
NIST SP 1299 Spa
8 páginas
Diferencia Entre It y Ot PDF
Aún no hay calificaciones
Diferencia Entre It y Ot PDF
10 páginas
13 Programas de Monitoreo de Red para Pequeñas Empresas
Aún no hay calificaciones
13 Programas de Monitoreo de Red para Pequeñas Empresas
18 páginas
Diseño de Redes Jerárquicas y Escalables
Aún no hay calificaciones
Diseño de Redes Jerárquicas y Escalables
39 páginas
3.5.5 Packet Tracer - Investigate The TCP Ip and Osi Models in Action - Es XL
Aún no hay calificaciones
3.5.5 Packet Tracer - Investigate The TCP Ip and Osi Models in Action - Es XL
4 páginas
Demostración Práctica de Protección de Un Escenario de Automatización Industrial CMC-ForTINET-NOZOMI
Aún no hay calificaciones
Demostración Práctica de Protección de Un Escenario de Automatización Industrial CMC-ForTINET-NOZOMI
31 páginas
Plan de Contingencia Informático Del SINEACE Rev. 04.04.2023
Aún no hay calificaciones
Plan de Contingencia Informático Del SINEACE Rev. 04.04.2023
82 páginas
Tema 9
Aún no hay calificaciones
Tema 9
33 páginas
CVD Campus Lan Wlan Design Guide 2018 ESPAÑOL
Aún no hay calificaciones
CVD Campus Lan Wlan Design Guide 2018 ESPAÑOL
74 páginas
Curso - Cisco Ccna (Bastante Completo)
Aún no hay calificaciones
Curso - Cisco Ccna (Bastante Completo)
46 páginas
Normas y Estandares
Aún no hay calificaciones
Normas y Estandares
6 páginas
ManualFPC EN1090 1ejemplo
Aún no hay calificaciones
ManualFPC EN1090 1ejemplo
36 páginas
Catalogo Sistema Convencional
100% (1)
Catalogo Sistema Convencional
25 páginas
Desarrollo de la Red Nacional de SOC
Aún no hay calificaciones
Desarrollo de la Red Nacional de SOC
36 páginas
Monitoreo Gestion y Administración de Una Red Con Zenoss en Debian Etch
100% (1)
Monitoreo Gestion y Administración de Una Red Con Zenoss en Debian Etch
53 páginas
CCNA1 ITN - Práctica Final Respuestas Preguntas 200-301 v7
Aún no hay calificaciones
CCNA1 ITN - Práctica Final Respuestas Preguntas 200-301 v7
67 páginas
Modelo CIM: Estructura y Beneficios
Aún no hay calificaciones
Modelo CIM: Estructura y Beneficios
26 páginas
Seg de La Informacion
Aún no hay calificaciones
Seg de La Informacion
4 páginas
Ayuda para La Configuración de RIP-EIGRP-OSPF
Aún no hay calificaciones
Ayuda para La Configuración de RIP-EIGRP-OSPF
5 páginas
Desarrollo de Proyecto de Cableado Estructurado
67% (3)
Desarrollo de Proyecto de Cableado Estructurado
102 páginas
Enrutamiento Estático
Aún no hay calificaciones
Enrutamiento Estático
4 páginas
Osa2 Examen - En.español
100% (1)
Osa2 Examen - En.español
33 páginas
Configuración VPN Site-to-Site IPSec Cisco
Aún no hay calificaciones
Configuración VPN Site-to-Site IPSec Cisco
2 páginas
Red MPLS L2VPN
Aún no hay calificaciones
Red MPLS L2VPN
116 páginas
Practica Rutas Estaticas y Dinamicas
Aún no hay calificaciones
Practica Rutas Estaticas y Dinamicas
4 páginas
Ieee 802
Aún no hay calificaciones
Ieee 802
14 páginas
Anixter Standard Reference Guide en
Aún no hay calificaciones
Anixter Standard Reference Guide en
172 páginas
ST Ti 008
Aún no hay calificaciones
ST Ti 008
32 páginas
Sgpd-02tel-Esptc-0005 Especificacion Redes Integradas de Supervision y Control
Aún no hay calificaciones
Sgpd-02tel-Esptc-0005 Especificacion Redes Integradas de Supervision y Control
95 páginas
Trabajo Final
Aún no hay calificaciones
Trabajo Final
8 páginas
Informe Tecnico 001
Aún no hay calificaciones
Informe Tecnico 001
12 páginas
Check-List Trabajo en Caliente
Aún no hay calificaciones
Check-List Trabajo en Caliente
2 páginas
Guía de Ingeniería en Operaciones Mineras
94% (18)
Guía de Ingeniería en Operaciones Mineras
351 páginas
Informe de Práctica Codelco El Teniente
Aún no hay calificaciones
Informe de Práctica Codelco El Teniente
29 páginas
Guía Bioreactores
100% (4)
Guía Bioreactores
37 páginas
Proyecto Cumeno Entrega 1
Aún no hay calificaciones
Proyecto Cumeno Entrega 1
32 páginas
Interseccion y Desarrollo - Compendio 2
Aún no hay calificaciones
Interseccion y Desarrollo - Compendio 2
15 páginas
Eficiencia y Modelos de Tamizado Industrial
0% (1)
Eficiencia y Modelos de Tamizado Industrial
21 páginas
7.4.1 Packet Tracer - Implement DHCPv4 - ILM
Aún no hay calificaciones
7.4.1 Packet Tracer - Implement DHCPv4 - ILM
4 páginas
Consideraciones para Diseñar Redes WiFi
Aún no hay calificaciones
Consideraciones para Diseñar Redes WiFi
2 páginas
Topología Estrella: Definición y Ventajas
Aún no hay calificaciones
Topología Estrella: Definición y Ventajas
9 páginas
TSS - Taramba
100% (1)
TSS - Taramba
45 páginas
Practica5 Introduccion 2022 1194
Aún no hay calificaciones
Practica5 Introduccion 2022 1194
2 páginas
CAN-Bus: Clave en Sistemas Automotrices
Aún no hay calificaciones
CAN-Bus: Clave en Sistemas Automotrices
23 páginas
Config Proyecto Cardiotocos - SPS Host PC FM-OBT-01 Rev
Aún no hay calificaciones
Config Proyecto Cardiotocos - SPS Host PC FM-OBT-01 Rev
2 páginas
Cultura Digital 1
Aún no hay calificaciones
Cultura Digital 1
6 páginas
Comparativa de RIPv1 y RIPv2 en Enrutamiento
Aún no hay calificaciones
Comparativa de RIPv1 y RIPv2 en Enrutamiento
4 páginas
Configuración RIP en Redes Locales
Aún no hay calificaciones
Configuración RIP en Redes Locales
7 páginas
Actividad Evaluativa 4
Aún no hay calificaciones
Actividad Evaluativa 4
5 páginas
GRE - EEC.D.99.CL.P.15461.00.003.02 - General Layout Plan of PV Field (With Cabins' Shadow Details)
Aún no hay calificaciones
GRE - EEC.D.99.CL.P.15461.00.003.02 - General Layout Plan of PV Field (With Cabins' Shadow Details)
1 página
Presentcion LTGs
Aún no hay calificaciones
Presentcion LTGs
23 páginas
9.3.3.3 Packet Tracer - Cepeda
0% (1)
9.3.3.3 Packet Tracer - Cepeda
3 páginas
Modelos y Protocolos de Red OSI y TCP/IP
Aún no hay calificaciones
Modelos y Protocolos de Red OSI y TCP/IP
4 páginas
Router Gigabit TP-Link Omada 05
Aún no hay calificaciones
Router Gigabit TP-Link Omada 05
1 página
Elementos y Conexiones de Redes
Aún no hay calificaciones
Elementos y Conexiones de Redes
8 páginas
UT04 - Ejercicio 01 - ACL
Aún no hay calificaciones
UT04 - Ejercicio 01 - ACL
4 páginas
CTN1 Presentacion
Aún no hay calificaciones
CTN1 Presentacion
7 páginas
100 Filtros de Wireshark
Aún no hay calificaciones
100 Filtros de Wireshark
4 páginas
Análisis de Modelado de Red en Capas
Aún no hay calificaciones
Análisis de Modelado de Red en Capas
14 páginas
Taller 3
Aún no hay calificaciones
Taller 3
11 páginas
Ángel Ramírez Tamayo: Perfil Público
Aún no hay calificaciones
Ángel Ramírez Tamayo: Perfil Público
1 página
Informe de Instalaciones de Internet
Aún no hay calificaciones
Informe de Instalaciones de Internet
19 páginas
Anexo 4 Ficha Técnica Bocinas
Aún no hay calificaciones
Anexo 4 Ficha Técnica Bocinas
7 páginas
Pantalla Unificada Tigo Life - Wiki Tigo
Aún no hay calificaciones
Pantalla Unificada Tigo Life - Wiki Tigo
49 páginas
Curso de Conectividad y Redes IP
Aún no hay calificaciones
Curso de Conectividad y Redes IP
4 páginas
FECA-01 Infoplc Net Es Feca 01 Ethercat Adapter Module Um A Screen Res
Aún no hay calificaciones
FECA-01 Infoplc Net Es Feca 01 Ethercat Adapter Module Um A Screen Res
106 páginas
Guia Hacking Wi Fi
Aún no hay calificaciones
Guia Hacking Wi Fi
4 páginas
Cuestionario IoT Capítulo 1: Respuestas Correctas
100% (1)
Cuestionario IoT Capítulo 1: Respuestas Correctas
6 páginas