Industriële internetbeveiliging is het leven is geen spel

- Aug 22, 2018-

Het heeft vele voordelen Ethernet naar de werkvloer te brengen. Een belangrijk voordeel is het creëren van een meer open architectuur die een groot aantal verbindingen mogelijk maakt met verschillende installatieapparatuur en managementtools. Maar deze openheid brengt ook een probleem met zich mee dat moet worden opgelost voor de exploitanten van het fabrieksnetwerk: beveiliging.

Zodra het automatiseringssysteem is toegevoegd aan het Ethernet, is het ongeveer hetzelfde als een computer verbinden met internet. In sommige hoeken van de fabriek of in het bedrijfsnetwerk is er altijd een internetverbinding. Daarom moeten bedrijven actie ondernemen om de fabrieksomgeving te beschermen tegen bedreigingen van op het internet aangesloten computers. Deze bedreigingen kunnen hackers, virussen, Trojaanse paarden en verschillende andere vormen van giftige programma's zijn.

Dit betekent dat de installatienetwerkbeheerder dezelfde beveiligingsbeschermingshulpmiddelen nodig heeft als de collega's van de IT-afdeling en dat het het beste is om hulpmiddelen voor de fabrieksomgeving te ontwerpen. Deze tools moeten geautoriseerd zijn om verbinding te maken met de fabriek in andere gebieden binnen de faciliteit of op andere afgelegen locaties. Hierdoor kunnen externe beheerders taken uitvoeren zoals configuratie en diagnostiek, knooppuntinitialisatie en toegang tot informatie vanaf de verbinding van het apparaat met het boordnetwerk en de FTP-server.

Deze toolset moet een verscheidenheid aan hardware, software en gebruikstools bevatten, zoals firewalls, virtual private networks (VPN's), NAT-technologieën (Network Address Translation) en beleid. Zodra de automatiseringsomgeving open is, zal deze werken, en zal deze moeten communiceren met andere netwerken en op verschillende locaties worden beheerd om fabrieksveiligheid tegen internetbedreigingen te garanderen.


Firewall: de eerste barrière

Firewalls zijn een van de oudste beveiligingshulpmiddelen en vormen nog steeds een belangrijk onderdeel van beveiligingscomponenten. De firewall bevindt zich tussen de netwerken, voornamelijk om de informatiestroom tussen de interne en externe netwerken te regelen. Het belangrijkste doel ervan is ervoor te zorgen dat alleen legitieme informatiestromen in een bepaalde richting stromen.

In een industriële omgeving kan een firewall een geautomatiseerde apparaateenheid beschermen die meerdere internetverbindingen kan omvatten, zoals een industriële pc of een PLC. In dit geval kan de onderneming een beveiligingsmodule installeren die ethernet-toegang accepteert vanaf het automatiseringsnetwerk aan de ene kant en eenvoudige apparaten die aan een uiteinde verbinding maken met een groter netwerk. De interactie tussen twee netwerken hangt af van de regels die zijn ingesteld door de firewall die op het apparaat is geïnstalleerd.

Er zijn veel strategieën voor het uitvoeren van een firewall. Industriële netwerken maken doorgaans gebruik van pakketdetectietechnologie om apparaten in staat te stellen verbinding te maken met de huidige informatiestroom. Informatie mag alleen worden ingevoerd als is vastgesteld dat de aanvraag van het intranet wettelijk is ontvangen. Als een externe bron ongewenste informatie verzendt, wordt deze geblokkeerd.

Om ervoor te zorgen dat alle informatiestromen legitiem zijn, bestuurt een speciale packet inspection firewall de informatiestroom volgens vooraf bepaalde filterregels. Als een intern knooppunt bijvoorbeeld gegevens naar een extern doelapparaat verzendt, staat de firewall het reactiepakket toe voor een specifieke hoeveelheid tijd. Na deze tijd blokkeert de firewall het verkeer opnieuw.


NAT en NAPT

Een andere technologie die beveiliging biedt voor de automatiseringsomgeving is NAT, die wordt toegepast op apparaatniveau. NAT verbergt over het algemeen het daadwerkelijke IP-adres van het apparaat in het interne netwerk vanuit het perspectief van het externe publiek. Het toont het openbare IP-adres voor het externe knooppunt, maar het verandert het IP-adres dat in het netwerk wordt gebruikt.

Network Address en Port Compilation (NAPT) -technologie maakt gebruik van het concept NAT en voegt poortnummers toe om de technologie een stap verder te brengen. Via NAPT-technologie toont het intranet slechts één IP-adres voor het publiek. Op de achtergrond worden pakketten toegewezen aan het opgegeven apparaat door een poortnummer toe te voegen. NAPT-werkbladen worden meestal gebruikt op routers die particuliere IP-adrespoorten toewijzen aan openbare IP-adrespoorten.

Als een apparaat van een extern netwerk een pakket naar een intern apparaat wil verzenden, moet het het openbare adres van het beveiligingsapparaat gebruiken met een specifieke poort als bestemmingsadres. Dit IP-adres van de bestemming wordt door de router vertaald in een privé-IP-adres met een poortadres.

Het bronadres in de IP-header van het pakket blijft ongewijzigd. Omdat het verzendadres zich echter in een ander subnet van het ontvangende adres bevindt, moet de feedback worden gerouteerd en vervolgens worden doorgestuurd naar het externe apparaat terwijl het daadwerkelijke IP-adres van het interne apparaat wordt beschermd tegen het externe publiek.


Beveiligd kanaal met behulp van VPN

Een andere manier om een veilige verbinding te maken met een in essentie onveilig netwerk, is door een virtueel particulier netwerk (VPN) te gebruiken. Een VPN is in feite een gecodeerd kanaal dat wordt gevormd door een beveiligingsapparaat op elk eindpunt van de verbinding, en het moet digitale authenticatie genereren. Dit type verificatie is over het algemeen een numerieke ID die door vertrouwde partners kan worden gebruikt voor identificatie. Verificatie zorgt er ook voor dat het apparaat de gegevens aan het ene uiteinde versleutelt, in gecodeerde vorm over het internet verzendt en het vervolgens aan het andere einde decodeert voordat het naar het eindapparaat wordt verzonden.

De beveiligingsmodule werkt met digitale authenticatie en creëert VPN's in twee basisconfiguraties: overbruggings- en routeringsmodi:

De overbruggingsmodus kan worden gebruikt om apparaten in staat te stellen veilig te communiceren via een virtueel "plat" netwerk, waar de geografische locaties van deze apparaten ver uit elkaar kunnen liggen of waar de communicatie tussen deze apparaten zich over onveilige delen van het netwerk moet uitstrekken. Het kan ook worden gebruikt voor communicatie die niet kan worden gerouteerd of op hetzelfde subnet.

De routemodus kan worden gebruikt om VPN's te maken tussen apparaten op afzonderlijke subnetten. De router werkt op het derde niveau van het OSI-model en heeft enige intelligentie om te herkennen dat het omliggende netwerk gegevens moet verzenden naar het juiste bestemmingsadres. Pakketten worden verzonden via een veilig gecodeerde VPN-tunnel, dus deze communicatie is veiliger dan op een openbaar netwerk zoals internet.


Beveiligingstool

De fabrieksomgeving heeft veel beveiligingshulpmiddelen die op verschillende manieren kunnen worden geconfigureerd, afhankelijk van uw specifieke behoeften. Hier zijn enkele voorbeelden:

Een firewall voor een specifieke gebruiker. Stel dat uw aannemer de enkele automatiseringsapparatuur in uw fabriek debugt. Wanneer hij zich niet in de fabriek bevindt en hij zich kan aanmelden bij het fabrieksnetwerk, zoals het oplossen van problemen, is het zeer nuttig om onverwachte problemen op te lossen. In dit geval kunt u een reeks specifieke gebruikersregels in de firewall maken om ervoor te zorgen dat de externe gebruiker toegang heeft tot het netwerk. U kunt ook verschillende autorisatieniveaus maken om ervoor te zorgen dat verschillende externe clients alleen verbinding kunnen maken met het geschikte apparaat waarvoor zij zijn geautoriseerd.

Het maken van een gebruikersnaam en wachtwoord voor een externe gebruiker is een eenvoudige taak en vervolgens kan hij verbinding maken met het IP-adres van de module en inloggen met deze geheime informatie. Installeer de standaardinstellingen, hij kan verbinding maken voor een specifieke periode, na die tijd zal hij automatisch uitloggen om te voorkomen dat hij de computer verlaat maar te lang verbonden blijft. Als de aannemer meer tijd nodig heeft, kan hij voor het einde van de tijd weer inloggen via een webformulier.

Station naar station VPN. Soms heeft het bedrijf een centraal station en kunnen er twee satellietfaciliteiten zijn. In dit geval is VPN van station naar station een geschiktere oplossing. Het station-naar-station-VPN maakt doorgaans gebruik van een gecodeerde verbinding tussen de twee stations. Volgens de configuratie mogen de gebruikers van elk station verbinding maken met bronnen op andere stations, uiteraard in de veronderstelling dat ze over de juiste rechten beschikken.

Voor deze aanpak zijn modules op elke locatie vereist om gecodeerde VPN-tunnels te maken. De firewall kan ook worden gebruikt om meer gedetailleerde toegangscontrole te bieden, zoals specifieke gebruikers toegang geven tot een subset van bronnen zonder anderen te bekijken.

Point-to-point VPN. Peer-to-peer VPN's zorgen ervoor dat gebruikers vanaf elke locatie met een internetverbinding verbinding kunnen maken met apparaten vanaf elke andere locatie. Dit is erg belangrijk voor beheerders die zich vanaf een externe locatie moeten aanmelden voor het oplossen van apparaatproblemen na het werk.

Deze aanpak vereist dat de module op de doellocatie wordt gevuld met de juiste beveiligde clientsoftware die op de laptop of tablet van de beheerder wordt uitgevoerd. De software helpt de beheerder om een gecodeerde VPN-verbinding tot stand te brengen met elke site die eigenaar is van de module. Waar hij zich ook bevindt, hij kan zich aanmelden op elk apparaat dat hij nodig heeft met de juiste machtigingen.

Multi-point VPN-verbinding. Nu wil de beheerder nog vijf tot tien sites van thuis verbinden. Hij hoeft voor elke site geen bijbehorende VPN-verbinding tot stand te brengen. Hij kan verbinding maken met een gevestigde centrale module die verbinding maakt met elke externe site-VPN en vervolgens verbinding maken met de bovenstaande site.

Dit is zeker goed nieuws voor onderhoudstechnici die elke dag over de wereld reizen. Door individueel verbinding te maken met de centrale site, kunnen ze nu eenvoudig en veilig andere sites bezoeken die ze nodig hebben, waardoor ze tijd besparen.

Er zijn ook tools om ervoor te zorgen dat Ethernet-gebaseerde automatiseringsomgevingen net zo veilig zijn als veldbusomgevingen. Hoewel firewalls en VPN's een belangrijk onderdeel zijn van een beveiligingsoplossing en voor veilige toegang tot externe gebruikers, hebben we ook een diepgaand beveiligingsmodel nodig om echte diepe veiligheid in industriële omgevingen te garanderen. Houd er altijd rekening mee dat veiligheid is dat het leven geen spel is.


Een paar:Voordelen bij het gebruik van industriële schakelaars Volgende:Wat is het verschil tussen glasvezelkabel en glasvezelkabel?