Przejdź do głównej zawartości

7 kluczowych pytań dotyczących bezpieczeństwa sieci przemysłowych, część 2 z 2

Julia Santogatta

W części 1 tego artykułu wprowadziłam „złotą regułę” przemysłowego bezpieczeństwa sieci bezprzewodowej - bezpieczne wdrażanie, regularne monitorowanie. Przestrzeganie tej zasady zapewnia, że ​​niepożądany dostęp do bezprzewodowej sieci LAN i reszty sieci nie nastąpi.


Ale w jaki sposób wdrożyć bezpiecznie? W dzisiejszych czasach większość artykułów poświęconych bezpieczeństwu w cyberprzestrzeni mówi o użyciu opcji Defense-in-Depth lub warstwowym podejściu do zabezpieczania sieci przemysłowych. Oznacza to użycie różnych zabezpieczeń w różnych punktach systemu, aby chronić sieć lub zażegnać zagrożenia. Idea warstwowania i wynikające z tego korzyści nie różnią się w zastosowaniach bezprzewodowych.

Wdrażając działania mające na celu odniesienie się do tych siedmiu kluczowych pytań, będziesz budował warstwy ochrony, które przyczyniają się do najlepszych metod Defense-in-Depth. Rzućmy okiem szczegółowo na te pytania.

Pytanie 1: Czy zabezpieczyłem urządzenia sieciowe?

Co to są urządzenia sieciowe? Obejmują one wyposażenie, takie jak przełączniki, routery, punkty dostępu i sterowniki. Sieć bezprzewodowa nie powinna wpływać na działanie tych urządzeń ani na funkcjonowanie sieci przewodowej.

Aby to zapewnić, należy przede wszystkim wyłączyć starsze, niezabezpieczone metody konfiguracji, takie jak telnet, http i serial. Następnie, pozostając u podstaw, dopilnuj, aby zmienić domyślne hasła konfiguracyjne.

Po uwzględnieniu tych podstaw najlepszym sposobem ochrony urządzeń sieciowych jest wykorzystywanie różnych poziomów dostępu do nich. Różne osoby, maszyny i inne urządzenia nie powinny mieć tego samego poziomu dostępu.

Można tego dokonać, rozważając użycie list kontroli dostępu poprzez:
·   Indywidualne lokalne bazy danych na urządzeniu
·   Centralny zintegrowany lub zewnętrzny serwer RADIUS1
·   Używanie TACACS +2 do uwierzytelniania i autoryzacji

Pytanie 2: Czy zabezpieczyłem moją sieć przed źle skonfigurowanymi urządzeniami i „złym zachowaniem”?

Zastanawiasz się, co to źle skonfigurowane urządzenie lub złe zachowanie? Niewłaściwie skonfigurowanym urządzeniem może być dowolna sieć - sterownik PLC, napęd, punkt dostępowy, komputer itp. Po każdej rekonfiguracji może pojawić się błąd:
1)  Używana jest stara wersja pliku konfiguracyjnego z niepoprawnym adresem IP lub starszym uwierzytelnieniem WEP/WPA
2)  Wprowadzono niezamierzone zmiany w routingu ruchu lub ustawieniach bezpieczeństwa

Zamiast próbować komunikować się tak jak wcześniej, źle skonfigurowane urządzenie wprowadza lukę w zabezpieczeniach lub przejawia „złe zachowanie”, próbując uzyskać dostęp do części sieci przewodowej lub bezprzewodowej, do której nie należy. Podobnie, urządzenie mogło zostać zarażone wirusem (należy wziąć pod uwagę luki w systemie Windows XP) i zamiast komunikować się z następnym w kolejności urządzeniem, próbuje ono dotrzeć do sieci World Wide Web.


W każdym z tych scenariuszy istnieje potrzeba uniknięcia wpływu nieprzewidywalnych urządzeń lub użytkowników na sieć. Włącz WPA2, najwyższy poziom uwierzytelniania użytkownika, aby umożliwić dostęp tylko legalnym urządzeniom bezprzewodowym.

Dla tych, którzy używają protokołów EtherNet/IP, Modbus, PROFINET, UDP lub innych protokołów przemysłowych, najlepiej jest zaimplementować zapory sieciowe warstwy 2 lub warstwy 3, które są wbudowane w większość punktów dostępu bezprzewodowego. Rozważ ich wykorzystanie, aby ograniczyć ruch sieciowy do oczekiwanych i akceptowanych jego rodzajów. Możesz również dodać dodatkową miarę uwierzytelnienia, korzystając z certyfikatów dla urządzeń.

Pytanie 3: Czy uwierzytelnieni, uprawnieni użytkownicy lub urządzenia sieci bezprzewodowej są chronione przed innymi użytkownikami lub sprzętem?

W tym przypadku chcemy chronić się przed użytkownikiem lub maszyną, która nie ma prawa zajmować naszej sieci lub jej części. Powróćmy do podstaw. Najpierw włącz szyfrowanie, aby uchronić się przed wścibskimi obserwatorami. Następnie upewnij się, że włączono Management Frame Protection (aka 802.11w) zarówno w Punktach Dostępowych (AP), jak i Klientach, aby dodatkowo chronić swoje urządzenia.

Stamtąd spójrz na możliwość ataku "man-in-the-middle". Jest to scenariusz, w którym urządzenie przechwytuje komunikację między dwiema prawowitymi stronami, a następnie maskuje się w celu wyłapania ramek danych i skanowania poświadczeń i danych.

Atak typu "man-in-the-middle" jest często wykonywany poprzez wysyłanie fałszywych lub "imitujących" ramek Adress Resolution Protocol (ARP) w celu skojarzenia adresu MAC atakującego z adresem IP innego urządzenia sieciowego. Pakiet ARP jest Twoim pakietem wykrywania, który określa, kto należy do którego adresu IP.

Aktywacja ochrony przed „imitowaniem” IP (innymi słowy sprawdzanie adresów) w zaporze sieciowej AP, zaporze sieciowej sterownika lub zewnętrznej zaporze sieciowej pomoże Ci zidentyfikować złośliwe zmiany w sieci.

Dobre przemysłowe produkty bezprzewodowe umożliwiają korzystanie zarówno z Management Frame Protection, jak i ochrony przed „imitowaniem” IP.

Pytanie 4: W przypadku korzystania ze sterownika bezprzewodowej sieci LAN, zadaj sobie pytanie: "Czy zabezpieczyłem sieć między punktem dostępowym a sterownikiem?"

Dobrą praktyką jest segmentowanie ruchu bezprzewodowego z pozostałej części sieci, jeśli korzystasz ze sterownika WLAN.

Najprostszym sposobem na to jest włączenie funkcjonalności tunelu CAPWAP3. Jest to bardzo prosta metoda tunelowania i jest dostępna w większości punktów dostępu bezprzewodowego i sterowników.
Możesz również rozważyć użycie sieci VPN (Virtual Private Network) do enkapsulacji i szyfrowania danych między punktem dostępowym a centralnym koncentratorem sieci VPN.

Pytanie 5: Czy mogę rozpoznać zakłócenia, „odmowę usługi” lub inne „złe zachowania”?

Zadaj sobie pytanie, czy Twój system jest skonfigurowany tak, aby rozpoznawał ataki typu "odmowa usługi" (Denial of Service), interferencje sieciowe lub inne "złe rzeczy". Czy ktoś lub coś celowo próbuje zablokować Twoją sieć, czy coś po prostu spowodowało zakłócenia - chcesz o tym wiedzieć. We wspólnym medium mogą się zdarzyć różne rzeczy.

Konfigurując swój most lub infrastrukturę WLAN, przygotuj się na sukces, korzystając z bezprzewodowego systemu wykrywania włamań (WIDS). W systemie WIDS ustaw pułapki SNMP4, aby powiadamiały Cię, gdy punkty dostępu znikną i zostaną wykryte kłopotliwe punkty dostępu.

Po wykryciu czegoś - na przykład połączenie bezprzewodowe z kamerą bezpieczeństwa jest zablokowane - administrator zostanie ostrzeżony. System WIDS automatycznie wykryje również punkty ataków DoS i powiadomi zainteresowanych pracowników poprzez alerty SNMP, wiadomości i e-maile.

Pytanie 6: Czy poradziłem sobie ze starszymi urządzeniami?

Rzeczywistość jest taka, że ​​najprawdopodobniej masz jakiś rodzaj starego urządzenia w swoim zakładzie. Nie można aktualizować wszystkiego przez cały czas. Ten bezprzewodowy skaner kodów kreskowych sprzed siedmiu lat? Tak, właśnie to. Posiadanie tych urządzeń jest często rzeczywistością i to jest w porządku, upewnij się tylko, żeby mieć na nie oko.

Możesz rozważyć rozwiązanie luki bezpieczeństwa przez:
·   Używanie zapory sieciowej warstwy 2 lub warstwy 3 do izolowania starszych urządzeń
·   Używanie prywatnego PSK5 na każde urządzenie w oddzielnym WLAN SSID6

Pytanie 7: Czy fizycznie zabezpieczyłem urządzenia bezprzewodowe i obszary zasięgu?

Na koniec, choć są one nie mniej ważne, pomyśl o aspektach fizycznych. Czy Twoja bezprzewodowa sieć LAN będzie podróżować do miejsc, w których możesz jej nie chcieć? Należy wziąć to pod uwagę i ewentualnie obniżyć moc nadawania na częstotliwościach radiowych (RF) na urządzeniach w celu ograniczenia zasięgu tylko do wymaganego obszaru.

W skrajnych przypadkach można również ograniczyć RF tylko do wymaganych obszarów za pomocą specjalnego odcienia ochronnego RF na oknach lub farby RF na ścianach.

Poza tym pamiętaj o zapewnieniu autentyczności wszystkich użytkowników, punktów dostępowych lub urządzeń końcowych, zgodnie z wcześniejszym opisem. To zapewnia Twojemu bezpieczeństwu dodatkową warstwę pewność, przyczyniając się do Defense-in-Depth.

Na koniec, po raz kolejny sprawdź, czy szafki i stojaki są zamknięte i zabezpieczone, aby uniemożliwić fizyczny dostęp.

Przemysłowa bezprzewodowa "Złota reguła" - bezpiecznie wdrażaj, regularnie monitoruj.

Zadanie sobie pytań wymienionych powyżej pomaga zapewnić przemyślane wdrożenie bezpiecznego zastosowania przemysłowego. Choć może się wydawać, że wdrożenie zabezpieczeń bezprzewodowych jest dużym i złożonym zadaniem, nowoczesny przemysłowy sprzęt bezprzewodowy sprawia, że ​​jest to łatwe.

Oto podsumowanie najważniejszych funkcji, których należy szukać:
·   Łatwe blokowanie metod konfiguracji telnet, http i serial
·   Obsługa protokołu uwierzytelniania WPA2
·   Funkcjonalność Zintegrowanej Listy Kontroli Dostępu (Integrated Access Control List)
·   Wbudowane zapory sieciowe warstwy 2 i 3
·   Możliwość korzystania z certyfikatów na urządzeniach
·   Opcja włączenia ochrony przed „imitowaniem” IP
·   Obsługa standardowej funkcji 802.11w, funkcjonalność Management Frame Protection
·   Obsługa tuneli CAPWAP i VPN
·   Włączenie funkcjonalności wykrywania włamań bezprzewodowych

Najważniejszą częścią jest wykorzystanie tych funkcji w ramach strategii warstwowej. Nie zapomnij ich włączyć lub wdrożyć, ponieważ są to dobre rzeczy, które pozwalają Ci spać spokojnie, wiedząc, że Twoje zastosowanie bezprzewodowe jest bezpieczne.

I pamiętaj - bezprzewodowe nie musi być przytłaczające. Pomyśl o Złotej regule: "Bezpiecznie konfiguruj, regularnie monitoruj" i zacznij radzić sobie z podstawami, biorąc pod uwagę siedem kluczowych pytań.

Jakie pytania zadajesz sobie podczas pracy nad bezpieczeństwem sieci bezprzewodowej? Czy uważasz, że te siedem pytań jest przydatnym punktem wyjścia? Czekam na Wasze komentarze!

1RADIUS – Remote Authentication Dial in User Service
2TACACS+ – Terminal Access Controller Access-Control System Plus
3CAPWAP – Control and Providing of Wireless Access Points Protocol
4SNMP – Simple Network Management Protocol
5PSK – Pre-shared key
6SSID – service set indentifier. Jest to unikalny identyfikator bezprzewodowej sieci LAN.

Komentarz edytora: Artykuł ten został napisany przez Julię Santogatta, dyrektora Belden odpowiedzialnego za inicjatywy bezprzewodowe, i dzięki wiedzy eksperckiej Daniela Wade'a, Głównego Architekta ds. Produktów Bezprzewodowych i Jeffreya Caldwella, Głównego Architekta ds. Bezpieczeństwa.

Jeśli masz jakiekolwiek pytania, wątpliwości czy uwagi, zapraszamy do kontaktu! Jesteśmy do dyspozycji od poniedziałku do piątku w godz. 8:00 – 16:00.
Tel: +48 32 256 25 33
E-mail: info@pf-electronic.pl
Etykiety:

Komentarze

Prześlij komentarz

Popularne posty z tego bloga

Ethernet przemysłowy a zwykły Ethernet: dlaczego to ma znaczenie?

Sylvia Feng Środowiska przemysłowe są trudne. Mówię o oleju, kurzu, wodzie i wysokich temperaturach. Środowisko, w którym działa wiele obiektów przemysłowych, znacznie różni się od budynku biurowego lub sklepu detalicznego. Mimo to oczekuje się, że wiele (pozornie) podstawowych funkcji będzie działać płynnie, pomimo tych warunków. Fabryki muszą mieć możliwość przesyłania danych z jednej maszyny do drugiej i muszą mieć możliwość polegania na kablu, aby działał w ekstremalnych warunkach. Jednym z obszarów, który może wywrzeć niesamowity wpływ na producentów, zarówno pozytywnie, jak i negatywnie, jest niezawodność, bezpieczeństwo i siła ich kabla sieciowego. Po prostu użycie dowolnego kabla Ethernet nie będzie działać. Zwykłe urządzenia, które mogą działać dobrze w warunkach biurowych z kontrolowaną temperaturą, nie wytrzymają ekstremów środowiska przemysłowego. Oto świetna analogia: jak niedorzeczne byłoby umieścić pingwina na pustyni? Wszyscy wiemy, że pingwiny nie
Prześlij komentarz
Czytaj więcej

Nowa parametryzacja - „IO-Link bez skomplikowanej części”

Artjom Bil Co to jest IO-Link? Technologia IO-Link, oparta na standardzie IEC 61131-9 dla sterowników programowalnych, umożliwia komunikację między inteligentnymi czujnikami, siłownikami i sterownikami PLC wszelkiego rodzaju. Odegrała ważną rolę w praktycznym gromadzeniu i monitorowaniu danych produkcyjnych. Ten nieoceniony przepływ informacji daje producentom możliwość ciągłego dostrajania swojej działalności, optymalizacji jakości i wydajności oraz minimalizacji przestojów. Jako taka jest podstawową potrzebą komunikacji na poziomie lokalnym i umożliwia przejrzystość danych w ramach Przemysłowego Internetu Rzeczy . Można by pomyśleć, że operatorzy przemysłowi pokochaliby technologię IO-Link . Niestety, w rzeczywistości jest to stosunek miłość/nienawiść. Wielu użytkowników uważa, że ​​technologia IO-Link jest świetna, dopóki nie będą musieli zarządzać bibliotekami parametrów urządzeń IO-Link w sieci. Może to stać się bardzo skomplikowane, a użytkownicy lub nabywcy zb
Prześlij komentarz
Czytaj więcej

W jaki sposób wibracje, hałas i przesłuch mogą powodować przestoje

Jeremy Friedmar Trudne środowiska wymagają wytrzymałych produktów Wibracje i hałas są powszechne w środowiskach przemysłowych, takich jak produkcja i transport kolejowy. Huk linii montażowych może zakłócać transmisję danych, a złącza mogą stać się luźne. Zastanów się, ile wibracji występuje, gdy wagon jedzie do miejsca docelowego. Środowiska takie jak te wymagają solidnego produktu. Oto świetna analogia: jak absurdalnie byłoby, gdyby zespół rockowy ćwiczył w bibliotece? Byłoby to nie tylko zakłócające, ale całkowicie uniemożliwiałoby normalne funkcjonowanie. Wibracje i hałas w bibliotece byłyby nie do zniesienia dla osób pracujących w tej przestrzeni. W przypadku środowiska przemysłowego głównym skutkiem zarówno hałasu, jak i wibracji jest utrata sygnału. Ma to szczególne znaczenie w przypadku okablowania Ethernet ze względu na fakt, że może powstać wyższy bitowy poziom błędu, co jest szkodliwe dla sieci komunikacyjnej wymaganej dla czasu pracy bez przestojów. Wpł
Prześlij komentarz
Czytaj więcej