9.3
LISTA DE CONTROL
En esta sección se facilita un ejemplo de lista de control como ayuda en el proceso de implementación
segura del SAI y los productos de conectividad.
1.
Crear o localizar un diagrama de red.
2.
Identificar y registrar las rutas de comunicación requeridas entre los nodos.
3.
Identificar y registrar los protocolos requeridos a lo largo de cada ruta, incluido el rol de cada nodo.
4.
Revisar la red, cuando sea necesario, para asegurar una partición adecuada, y añadir firewalls u
otros dispositivos de seguridad cuando sea apropiado. Actualizar el diagrama de red.
5.
Configurar los firewalls y otros dispositivos de seguridad de red.
6.
Habilitar y/o configurar las funciones de seguridad adecuadas en cada dispositivo.
7.
En cada dispositivo, cambiar el simple valor por defecto de todas las contraseñas compatibles.
Animar a los usuarios a que registren los cambios de contraseña y usen contraseñas de una cierta
complejidad.
8.
Reforzar la configuración de cada dispositivo desactivando las funciones, protocolos y puertos
innecesarios.
9.
Implementar el acceso físico controlado al dispositivo SAI y/o al espacio en que se halla el SAI.
10. Disuadir a los usuarios de que hagan puentes RS232/RS485, de Modbus a Ethernet.
En los casos en que la aplicación del producto requiera dicha configuración, se recomienda
implementar un dispositivo firewall Modbus delante del puente y establecer una configuración
particular que deje fuera todos los registros Modbus que puedan generar posibles vulnerabilidades.
Facilitar a los usuarios ideas sobre cómo reducir la superficie de ataque, limitando las
comunicaciones Modbus a específicas direcciones IP de origen y a operaciones concretas (solo-
lectura en lugar de lectura-escritura), etc.
11. Testar y evaluar el sistema.
12. Crear un plan de actualización y mantenimiento.
9.4
REQUISITOS DE COMUNICACIÓN
La comunicación entre diferentes partes de un sistema es, y debe ser, compatible.
Sin embargo, la seguridad de un sistema puede ser mejorada limitando los protocolos permitidos, así
como sus respectivas rutas, solo a lo estrictamente necesario.
Esto puede ser llevado a cabo desactivando cualquier protocolo de comunicación que no sea necesario
en un dispositivo dado, y utilizando dispositivos de seguridad de red (por ejemplo, firewalls y routers)
configurados e implementados de manera adecuada para bloquear cualquier protocolo (desactivado o
no) que no necesite pasar de una red/segmento a otra/o.
GE recomienda limitar los protocolos permitidos por la infraestructura de red al conjunto mínimo
requerido para la aplicación deseada.
Para realizar esta operación con éxito, es necesario saber qué protocolo se requiere en cada nivel de
interacción del sistema.
Modificaciones reservadas
GE_UPS_OPM_TME_MUL_15K_90K_1ES_V010.docx
Critical Power
Manual Usuario TME Modular Series 15 - 90 UL S1
Página 68/71