Zabezpečení sítí průmyslového Ethernetu

Zabezpečení sítíPrůmyslová komunikace je klíčem k vašemu úspěchu, ale jen se správným zabezpečením. My, jako váš síťový partner, poskytujeme bezpečnostní moduly, software a komponenty s integrovanými funkcemi zabezpečení “Security Integrated”. Jedná se o komunikační moduly, které nabízejí funkcionalitu firewallu a VPN navíc ke standardním komunikačním službám:

  • SCALANCE S bezpečnostní moduly – tak jako např. S623, s dodatečným DMZ (demilitarized zone) portem, který poskytuje oddělený a v případě nutnosti omezený přístup do sítě pro servisní účely (např. pro vzdálenou správu přes internet, atp.)
  • SOFTNET Security Client – software, který umožňuje vzdálený přístup přes Internet nebo přes intranet k automatům i PC, které jsou chráněny pomocí SCALANCE S, SCALANCE M nebo komponent s integrovanými funkcemi zabezpečení.
  • SCALANCE M – drátové a bezdrátové routery pro zabezpečený vzdálený přístup přes Internet

Klikněte pro zvětšení

Integrované funkce zabezpečení sítí – Security Integrated

  • Ochrana kontrolerů typu SIMATIC S7-300 a S7-400 pomocí komunikačních procesorů CP343-1 Advanced a CP443-1 Advanced, které ve své zcela nejnovější verzi, nabízejí funkcionalitu firewallu i VPN (Virtual Private Network).
  • Ochrana kontrolerů typu SIMATIC S7-1200 a S7-1500 pomocí komunikačních procesorů CP1243-1 a CP1543-1 díky integraci firewall a VPN funkcionality, které jsou implementovány od první verze.
  • Průmyslová PC jsou chráněna promocí firewallu a VPN díky komunikačnímu procesoru CP1628 – pro zabezpečenou komunikaci bez speciálního nastavování operačního systému. PC vybavené tímto modulem může být jednoduše připojeno k chráněnému segmentu.
  • Vzdálený přístup pomocí Siemens routerů Scalance M800 s integrovaným rozhraním mobilních operátorů (UMTS/EDGE) nebo poskytovatelů Internetu (DSL).

Chytrá segmentace síťové struktury: koncept ochrany automatizačního buněk

Naše komponenty s integrovanými funkcemi zabezpečení hrají zásadní roli v poskytování zabezpečeného přístupu k PLC typu SIMATIC S7-300 a S7-400, stejně tak i v realizaci konceptu zabezpečení automatizačních buněk. Pro dosažení cíle zabezpečení automatizačních systémů je síťová struktura rozdělena do samostatně chráněných automatizačních buněk. Všechna zařízení uvnitř komunikují zabezpečeně mezi sebou. Jednotlivé segmenty jsou spojeny do celkové sítě pomocí funkce VPN a firewall. Pro dosažení tohoto cíle zabezpečení (“Security Integrated”) jsou použity příslušné komponenty SCALANCE S a komponenty s integrovaným zabezpečením.

Virtual LAN sítě (VLAN)

Charakteristika VLAN: Konfigurace může být použita k přiřazení zařízení do různých skupin zařízení – bez ohledu na to, kde jsou tyto umístěny. Nekolik skupin zařízení tímto způsobem využívá jednu fyzickou infrastrukturu, která existuje pouze jednou. Tedy několik “virtuálních” sítí je vytvořeno na jedné fyzické sítí. Výměna dat běží pouze uvnitř jednotlivých VLAN.

Zabezpečení portu

Funkce AccessControl může být použita k blokování jednotlivých portů pro neznámé účastníky. Jestliže je funkce AccessControl na portu aktivována, pak pakety které přicházejí z neznámé MAC adresy jsou okamžitě zničeny. Akceptovány jsou pouze pakety od známých, konfigurovaných adres účastníků.

RADIUS: autentizace přes externí server

Koncept Radius serveru je postaven na externím autentizačním serveru. Koncová zařízení mohou přistoupit do sítě pouze tehdy, když switch průmyslového Ethernetu ověří jejich přihlašovací data na autenetizačním serveru. Obě zařízení, koncový uzel i autentizační server musí podporovat EAP protokol (Extensive Authenticatoin Protocol).

Firewally

Bezpečnostní moduly, které povolí nebo naopak vyloučí výměnu dat mezi propojenými segmenty sítě podle specifických bezpečnostních pravidel. Bezpečnostní pravidla firewallu je pro tyto účely nezbytné nakonfigurovat. Díky tomu lze například povolit přístup pouze určitému PC jenom k určitému PLC v síti.

Virtual Private Network (VPN)

VPN tunel propojuje dvě a více síťových komponent (např. bezpečnostních modulů) resp. jejich síťových segmentů. Šifrování dat uvnitř tunelu zajistí, že data nemohou být zachycena ani pozměněna a to ani v případě přenosu přes obecně nezabezpečené sítě (tak jako např. přes internet).

Více informací:

http://www.siemens.com/industrialsecurity