Βιομηχανική Ασφάλεια Διαδικτύου Η ζωή δεν είναι παιχνίδι

- Aug 22, 2018-

Υπάρχουν πολλά οφέλη για να φέρετε το Ethernet στο κατάστημα. Ένα σημαντικό πλεονέκτημα είναι η δημιουργία μιας πιο ανοικτής αρχιτεκτονικής που επιτρέπει μεγάλο αριθμό συνδέσεων με διάφορους εξοπλισμούς και εργαλεία διαχείρισης. Αλλά αυτό το άνοιγμα φέρνει επίσης ένα πρόβλημα που πρέπει να λυθεί για τους φορείς του εργοστασιακού δικτύου: ασφάλεια.

Μόλις προστεθεί το σύστημα αυτοματισμού στο Ethernet, είναι περίπου η ίδια με τη σύνδεση ενός υπολογιστή με το Internet. Σε κάποια γωνία του εργοστασίου ή στο εταιρικό δίκτυο, θα υπάρχει πάντα μια σύνδεση στο Internet. Επομένως, οι εταιρείες πρέπει να αναλάβουν δράση για την προστασία του εργοστασιακού περιβάλλοντος από απειλές από υπολογιστές συνδεδεμένους στο Internet. Αυτές οι απειλές μπορεί να είναι οι χάκερ, οι ιοί, οι τρώες και διάφορες άλλες μορφές τοξικών προγραμμάτων.

Αυτό σημαίνει ότι ο διαχειριστής δικτύου εγκατάστασης χρειάζεται τα ίδια εργαλεία προστασίας από την ασφάλεια όπως και οι συνεργάτες του τμήματος πληροφορικής και είναι καλύτερο να σχεδιάσετε εργαλεία για το εργοστασιακό περιβάλλον. Αυτά τα εργαλεία πρέπει να είναι εξουσιοδοτημένα να συνδέονται με το εργοστάσιο σε άλλες περιοχές εντός της εγκατάστασης ή σε άλλες απομακρυσμένες τοποθεσίες. Αυτό επιτρέπει στους απομακρυσμένους διαχειριστές να εκτελούν εργασίες όπως διαμόρφωση και διαγνωστικά, αρχικοποίηση κόμβων και πρόσβαση σε πληροφορίες από τη σύνδεση της συσκευής στο δίκτυο και στο διακομιστή FTP.

Αυτό το σετ εργαλείων πρέπει να περιλαμβάνει μια ποικιλία εργαλείων υλικού, λογισμικού και χρήσης, όπως firewalls, εικονικά ιδιωτικά δίκτυα (VPN), τεχνολογίες μετάφρασης διεύθυνσης δικτύου (NAT) και πολιτικές. Μόλις το περιβάλλον αυτοματισμού είναι ανοικτό, θα λειτουργήσει και θα χρειαστεί να επικοινωνήσει με άλλα δίκτυα και να διαχειριστεί από διαφορετικές τοποθεσίες για να εξασφαλίσει την ασφάλεια του εργοστασίου από απειλές στο Internet.


Τείχος προστασίας: το πρώτο εμπόδιο

Τα τείχη προστασίας είναι ένα από τα παλαιότερα εργαλεία ασφάλειας και εξακολουθούν να αποτελούν σημαντικό μέρος των στοιχείων ασφάλειας σήμερα. Το τείχος προστασίας βρίσκεται μεταξύ των δικτύων, κυρίως για τον έλεγχο της ροής πληροφοριών μεταξύ των εσωτερικών και των εξωτερικών δικτύων. Ο κύριος σκοπός του είναι να βοηθήσει να διασφαλιστεί ότι μόνο νόμιμες πληροφορίες ρέουν σε μια συγκεκριμένη κατεύθυνση.

Σε ένα βιομηχανικό περιβάλλον, ένα τείχος προστασίας μπορεί να προστατεύσει μια αυτοματοποιημένη μονάδα συσκευών που μπορεί να περιλαμβάνει πολλαπλές συνδέσεις στο Internet, όπως ένα βιομηχανικό PC ή ένα PLC. Σε αυτή την περίπτωση, η επιχείρηση μπορεί να εγκαταστήσει μια μονάδα ασφαλείας που δέχεται πρόσβαση Ethernet από το δίκτυο αυτοματισμού στο ένα άκρο και απλές συσκευές που συνδέονται σε ένα μεγαλύτερο δίκτυο στο ένα άκρο. Η αλληλεπίδραση μεταξύ οποιωνδήποτε δύο δικτύων εξαρτάται από τους κανόνες που θέτει το τείχος προστασίας που είναι εγκατεστημένο στη συσκευή.

Υπάρχουν πολλές στρατηγικές για την εκτέλεση ενός τείχους προστασίας. Τα βιομηχανικά δίκτυα χρησιμοποιούν γενικά τεχνολογία ανίχνευσης πακέτων για να επιτρέπουν στις συσκευές να συνδέονται με την τρέχουσα ροή πληροφοριών. Οι πληροφορίες επιτρέπονται μόνο όταν διαπιστωθεί ότι το αίτημα από το intranet παραλαμβάνεται νόμιμα. Εάν μια εξωτερική πηγή στέλνει ανεπιθύμητες πληροφορίες, θα αποκλειστεί.

Προκειμένου να διασφαλιστεί ότι όλες οι ροές πληροφοριών είναι νόμιμες, ένα προστατευτικό τείχος προστασίας για πακέτα ελέγχει τη ροή των πληροφοριών σύμφωνα με προκαθορισμένους κανόνες φιλτραρίσματος. Για παράδειγμα, εάν ένας εσωτερικός κόμβος αποστέλλει δεδομένα σε μια εξωτερική συσκευή προορισμού, το τείχος προστασίας θα επιτρέψει το πακέτο απόκρισης για ένα συγκεκριμένο χρονικό διάστημα. Μετά από αυτό το χρονικό διάστημα, το τείχος προστασίας θα εμποδίσει ξανά την κυκλοφορία.


NAT και NAPT

Μια άλλη τεχνολογία που παρέχει ασφάλεια για το περιβάλλον αυτοματισμού είναι το NAT, το οποίο εφαρμόζεται σε επίπεδο συσκευής. Το NAT συνήθως αποκρύπτει την πραγματική διεύθυνση IP της συσκευής στο εσωτερικό δίκτυο από την πλευρά του εξωτερικού κοινού. Εμφανίζει τη δημόσια διεύθυνση IP στον εξωτερικό κόμβο αλλά αλλάζει τη διεύθυνση IP που χρησιμοποιείται στο εσωτερικό του δικτύου.

Η τεχνολογία NAPT (Network Address and Compilation Port) εκμεταλλεύεται την ιδέα του NAT και προσθέτει αριθμούς θύρας για να πάρει την τεχνολογία ένα βήμα παραπέρα. Μέσω της τεχνολογίας NAPT, το ενδοδίκτυο εμφανίζει μόνο μία διεύθυνση IP μπροστά από το κοινό. Στο παρασκήνιο, τα πακέτα εκχωρούνται στην καθορισμένη συσκευή προσθέτοντας έναν αριθμό θύρας. Τα φύλλα εργασίας του NAPT αναπτύσσονται συνήθως σε δρομολογητές που αντιστοιχούν σε ιδιωτικές θύρες διευθύνσεων IP σε δημόσιες θύρες διευθύνσεων IP.

Εάν μια συσκευή από ένα εξωτερικό δίκτυο επιθυμεί να στείλει ένα πακέτο σε μια εσωτερική συσκευή, πρέπει να χρησιμοποιήσει τη δημόσια διεύθυνση της συσκευής ασφαλείας με μια συγκεκριμένη θύρα ως διεύθυνση προορισμού. Αυτή η διεύθυνση IP προορισμού θα μεταφραστεί από το δρομολογητή σε ιδιωτική διεύθυνση IP με διεύθυνση θύρας.

Η διεύθυνση προέλευσης στην κεφαλίδα IP πακέτου παραμένει αμετάβλητη. Ωστόσο, επειδή η διεύθυνση αποστολής βρίσκεται σε διαφορετικό δευτερεύον δίκτυο της διεύθυνσης λήψης, η ανατροφοδότηση πρέπει να δρομολογηθεί και στη συνέχεια να προωθηθεί στην εξωτερική συσκευή προστατεύοντας παράλληλα την πραγματική διεύθυνση IP της εσωτερικής συσκευής από το εξωτερικό κοινό.


Ασφαλίστε το κανάλι χρησιμοποιώντας VPN

Ένας άλλος τρόπος για να κάνετε μια ασφαλή σύνδεση σε ένα ουσιαστικά ανασφαλές δίκτυο είναι να χρησιμοποιήσετε ένα εικονικό ιδιωτικό δίκτυο (VPN). Ένα VPN είναι βασικά ένα κρυπτογραφημένο κανάλι που σχηματίζεται από μια συσκευή ασφαλείας σε κάθε τελικό σημείο της σύνδεσης και πρέπει να παράγει ψηφιακό έλεγχο ταυτότητας. Αυτός ο τύπος ελέγχου ταυτότητας είναι γενικά ένα αριθμητικό αναγνωριστικό που μπορεί να χρησιμοποιηθεί από αξιόπιστους συνεργάτες για αναγνώριση. Ο έλεγχος ταυτότητας διασφαλίζει επίσης ότι η συσκευή κρυπτογραφεί τα δεδομένα στο ένα άκρο, τα στέλνει μέσω Internet σε κρυπτογραφημένη μορφή και στη συνέχεια αποκρυπτογραφεί το άλλο άκρο πριν την μεταδώσει στη συσκευή τερματικού.

Η μονάδα ασφαλείας λειτουργεί με ψηφιακό έλεγχο ταυτότητας και δημιουργεί VPN σε δύο βασικές διαμορφώσεις: λειτουργίες γεφύρωσης και δρομολόγησης:

Η λειτουργία γεφύρωσης μπορεί να χρησιμοποιηθεί για να επιτρέπει στις συσκευές να επικοινωνούν με ασφάλεια μέσω ενός εικονικού "επίπεδου" δικτύου, όπου οι γεωγραφικές τοποθεσίες αυτών των συσκευών μπορεί να είναι πολύ απομακρυσμένες ή όπου η επικοινωνία μεταξύ τους πρέπει να εκτείνεται σε μη ασφαλή τμήματα του δικτύου. Μπορεί επίσης να χρησιμοποιηθεί για επικοινωνία που δεν μπορεί να δρομολογηθεί ή στο ίδιο υποδίκτυο.

Ο τρόπος δρομολόγησης μπορεί να χρησιμοποιηθεί για τη δημιουργία VPN μεταξύ συσκευών σε ξεχωριστά υποδίκτυα. Ο δρομολογητής λειτουργεί στο τρίτο επίπεδο του μοντέλου OSI και έχει κάποια ευφυΐα για να αναγνωρίσει ότι το περιβάλλον δίκτυο χρειάζεται να στείλει δεδομένα στην κατάλληλη διεύθυνση προορισμού. Τα πακέτα μεταδίδονται μέσω ασφαλούς κρυπτογραφημένης σήραγγας VPN, επομένως αυτή η επικοινωνία είναι πιο ασφαλής από ό, τι σε δημόσιο δίκτυο όπως το Διαδίκτυο.


Εργαλείο ασφαλείας

Το εργοστασιακό περιβάλλον διαθέτει πολλά εργαλεία ασφαλείας που μπορούν να διαμορφωθούν με διαφορετικούς τρόπους ανάλογα με τις συγκεκριμένες ανάγκες σας. Ορίστε μερικά παραδείγματα:

Ένα τείχος προστασίας για έναν συγκεκριμένο χρήστη. Ας υποθέσουμε ότι ο εργολάβος σας αποσυνδέει μέρος του εξοπλισμού αυτοματισμού στο εργοστάσιό σας. Όταν δεν βρίσκεται στο εργοστάσιο, αν μπορεί να συνδεθεί στο εργοστασιακό δίκτυο, όπως η αντιμετώπιση προβλημάτων, είναι πολύ ωφέλιμη η επίλυση απροσδόκητων προβλημάτων. Σε αυτήν την περίπτωση, μπορείτε να δημιουργήσετε ένα σύνολο συγκεκριμένων κανόνων χρήστη στο τείχος προστασίας για να βεβαιωθείτε ότι ο απομακρυσμένος χρήστης μπορεί να έχει πρόσβαση στο δίκτυο. Μπορείτε επίσης να δημιουργήσετε διαφορετικά επίπεδα εξουσιοδότησης για να εξασφαλίσετε ότι διαφορετικοί απομακρυσμένοι πελάτες μπορούν να συνδεθούν μόνο με την κατάλληλη συσκευή στην οποία έχουν εξουσιοδοτηθεί.

Η δημιουργία ενός ονόματος χρήστη και κωδικού πρόσβασης για έναν απομακρυσμένο χρήστη είναι μια απλή εργασία και στη συνέχεια μπορεί να συνδεθεί με τη διεύθυνση IP της ενότητας και να συνδεθεί με αυτές τις μυστικές πληροφορίες. Εγκαταστήστε τις προεπιλεγμένες ρυθμίσεις, μπορεί να συνδεθεί για μια συγκεκριμένη χρονική περίοδο, μετά από την οποία θα αποσυνδεθεί αυτόματα για να τον αποτρέψει από την έξοδο από τον υπολογιστή, αλλά θα παραμείνει συνδεδεμένος για πολύ καιρό. Εάν ο ανάδοχος χρειάζεται περισσότερο χρόνο, μπορεί να συνδεθεί ξανά χρησιμοποιώντας μια φόρμα που βασίζεται στον ιστό πριν από το τέλος του χρόνου.

Σταθμός στο σταθμό VPN. Μερικές φορές η εταιρεία διαθέτει έναν κεντρικό σταθμό και μπορεί να υπάρχουν δύο δορυφορικές εγκαταστάσεις. Στην περίπτωση αυτή, το VPN σταθμό-σταθμό είναι μια πιο κατάλληλη λύση. Το VPN σταθμού-σταθμού χρησιμοποιεί γενικά κρυπτογραφημένη σύνδεση μεταξύ των δύο σταθμών. Σύμφωνα με τη διαμόρφωση, οι χρήστες σε κάθε σταθμό επιτρέπεται να συνδέονται με οποιονδήποτε πόρο σε άλλους σταθμούς, φυσικά, με την προϋπόθεση ότι έχουν τα κατάλληλα δικαιώματα.

Αυτή η προσέγγιση απαιτεί ενότητες σε κάθε τοποθεσία να δημιουργούν κρυπτογραφημένες σήραγγες VPN. Το τείχος προστασίας μπορεί επίσης να χρησιμοποιηθεί για την παροχή πιο λεπτομερούς ελέγχου πρόσβασης, όπως επιτρέποντας σε συγκεκριμένους χρήστες να έχουν πρόσβαση σε ένα υποσύνολο πόρων χωρίς να βλέπουν άλλους.

VPN από σημείο σε σημείο. Τα δίκτυα VPN του χρήστη peer-to-peer εξασφαλίζουν ότι οι χρήστες μπορούν να συνδεθούν με συσκευές από οποιαδήποτε άλλη τοποθεσία από οπουδήποτε με σύνδεση στο Internet. Αυτό είναι πολύ σημαντικό για τους διαχειριστές που πρέπει να συνδεθούν από μια απομακρυσμένη τοποθεσία για την αντιμετώπιση προβλημάτων της συσκευής μετά από εργασία από την εργασία.

Αυτή η προσέγγιση απαιτεί ότι η ενότητα στη θέση προορισμού πρέπει να συμπληρωθεί με το κατάλληλο λογισμικό ασφαλούς πελάτη που εκτελείται στον φορητό υπολογιστή ή το tablet του διαχειριστή. Το λογισμικό βοηθά τον διαχειριστή να δημιουργήσει μια κρυπτογραφημένη σύνδεση VPN σε οποιονδήποτε ιστότοπο που κατέχει τη μονάδα. Όπου και αν βρίσκεται, μπορεί να συνδεθεί σε οποιαδήποτε συσκευή χρειάζεται με τα σωστά δικαιώματα.

Σύνδεση VPN πολλών σημείων. Τώρα, ο διαχειριστής, θέλει να συνδέσει άλλες πέντε με δέκα τοποθεσίες από το σπίτι. Δεν χρειάζεται να δημιουργήσει μια αντίστοιχη σύνδεση VPN για κάθε τοποθεσία. Μπορεί να συνδεθεί με μια καθιερωμένη κεντρική μονάδα που συνδέεται με κάθε VPN απομακρυσμένης τοποθεσίας και, στη συνέχεια, συνδέεται με τον παραπάνω ιστότοπο.

Αυτό είναι σίγουρα καλή είδηση για τους μηχανικούς των υπηρεσιών που ταξιδεύουν ανά τον κόσμο κάθε μέρα. Συνδέοντας με τον κεντρικό ιστότοπο μεμονωμένα, μπορούν εύκολα και με ασφάλεια να έχουν πρόσβαση σε άλλους ιστότοπους που χρειάζονται, εξοικονομώντας χρόνο σύνδεσης.

Υπάρχουν επίσης εργαλεία για να διασφαλιστεί ότι τα περιβάλλοντα αυτοματισμού που βασίζονται σε Ethernet είναι εξίσου ασφαλή με τα περιβάλλοντα fieldbus. Ενώ τα τείχη προστασίας και τα VPN αποτελούν σημαντικό μέρος μιας λύσης ασφάλειας και για ασφαλή πρόσβαση σε απομακρυσμένους χρήστες, χρειαζόμαστε επίσης ένα μοντέλο ασφαλείας σε βάθος για να εξασφαλίσουμε πραγματική ασφάλεια σε βιομηχανικά περιβάλλοντα. Πάντα να έχετε κατά νου ότι η ασφάλεια είναι η ζωή δεν είναι ένα παιχνίδι.


Ένα ζευγάρι:Πλεονεκτήματα στη χρήση βιομηχανικών διακοπτών Επόμενη:Ποια είναι η διαφορά μεταξύ του καλωδίου οπτικών ινών και του καλωδίου οπτικών ινών;