Przejdź do głównej zawartości

7 kluczowych pytań dotyczących bezpieczeństwa sieci przemysłowych, część 2 z 2

Julia Santogatta

W części 1 tego artykułu wprowadziłam „złotą regułę” przemysłowego bezpieczeństwa sieci bezprzewodowej - bezpieczne wdrażanie, regularne monitorowanie. Przestrzeganie tej zasady zapewnia, że ​​niepożądany dostęp do bezprzewodowej sieci LAN i reszty sieci nie nastąpi.


Ale w jaki sposób wdrożyć bezpiecznie? W dzisiejszych czasach większość artykułów poświęconych bezpieczeństwu w cyberprzestrzeni mówi o użyciu opcji Defense-in-Depth lub warstwowym podejściu do zabezpieczania sieci przemysłowych. Oznacza to użycie różnych zabezpieczeń w różnych punktach systemu, aby chronić sieć lub zażegnać zagrożenia. Idea warstwowania i wynikające z tego korzyści nie różnią się w zastosowaniach bezprzewodowych.

Wdrażając działania mające na celu odniesienie się do tych siedmiu kluczowych pytań, będziesz budował warstwy ochrony, które przyczyniają się do najlepszych metod Defense-in-Depth. Rzućmy okiem szczegółowo na te pytania.

Pytanie 1: Czy zabezpieczyłem urządzenia sieciowe?

Co to są urządzenia sieciowe? Obejmują one wyposażenie, takie jak przełączniki, routery, punkty dostępu i sterowniki. Sieć bezprzewodowa nie powinna wpływać na działanie tych urządzeń ani na funkcjonowanie sieci przewodowej.

Aby to zapewnić, należy przede wszystkim wyłączyć starsze, niezabezpieczone metody konfiguracji, takie jak telnet, http i serial. Następnie, pozostając u podstaw, dopilnuj, aby zmienić domyślne hasła konfiguracyjne.

Po uwzględnieniu tych podstaw najlepszym sposobem ochrony urządzeń sieciowych jest wykorzystywanie różnych poziomów dostępu do nich. Różne osoby, maszyny i inne urządzenia nie powinny mieć tego samego poziomu dostępu.

Można tego dokonać, rozważając użycie list kontroli dostępu poprzez:
·   Indywidualne lokalne bazy danych na urządzeniu
·   Centralny zintegrowany lub zewnętrzny serwer RADIUS1
·   Używanie TACACS +2 do uwierzytelniania i autoryzacji

Pytanie 2: Czy zabezpieczyłem moją sieć przed źle skonfigurowanymi urządzeniami i „złym zachowaniem”?

Zastanawiasz się, co to źle skonfigurowane urządzenie lub złe zachowanie? Niewłaściwie skonfigurowanym urządzeniem może być dowolna sieć - sterownik PLC, napęd, punkt dostępowy, komputer itp. Po każdej rekonfiguracji może pojawić się błąd:
1)  Używana jest stara wersja pliku konfiguracyjnego z niepoprawnym adresem IP lub starszym uwierzytelnieniem WEP/WPA
2)  Wprowadzono niezamierzone zmiany w routingu ruchu lub ustawieniach bezpieczeństwa

Zamiast próbować komunikować się tak jak wcześniej, źle skonfigurowane urządzenie wprowadza lukę w zabezpieczeniach lub przejawia „złe zachowanie”, próbując uzyskać dostęp do części sieci przewodowej lub bezprzewodowej, do której nie należy. Podobnie, urządzenie mogło zostać zarażone wirusem (należy wziąć pod uwagę luki w systemie Windows XP) i zamiast komunikować się z następnym w kolejności urządzeniem, próbuje ono dotrzeć do sieci World Wide Web.


W każdym z tych scenariuszy istnieje potrzeba uniknięcia wpływu nieprzewidywalnych urządzeń lub użytkowników na sieć. Włącz WPA2, najwyższy poziom uwierzytelniania użytkownika, aby umożliwić dostęp tylko legalnym urządzeniom bezprzewodowym.

Dla tych, którzy używają protokołów EtherNet/IP, Modbus, PROFINET, UDP lub innych protokołów przemysłowych, najlepiej jest zaimplementować zapory sieciowe warstwy 2 lub warstwy 3, które są wbudowane w większość punktów dostępu bezprzewodowego. Rozważ ich wykorzystanie, aby ograniczyć ruch sieciowy do oczekiwanych i akceptowanych jego rodzajów. Możesz również dodać dodatkową miarę uwierzytelnienia, korzystając z certyfikatów dla urządzeń.

Pytanie 3: Czy uwierzytelnieni, uprawnieni użytkownicy lub urządzenia sieci bezprzewodowej są chronione przed innymi użytkownikami lub sprzętem?

W tym przypadku chcemy chronić się przed użytkownikiem lub maszyną, która nie ma prawa zajmować naszej sieci lub jej części. Powróćmy do podstaw. Najpierw włącz szyfrowanie, aby uchronić się przed wścibskimi obserwatorami. Następnie upewnij się, że włączono Management Frame Protection (aka 802.11w) zarówno w Punktach Dostępowych (AP), jak i Klientach, aby dodatkowo chronić swoje urządzenia.

Stamtąd spójrz na możliwość ataku "man-in-the-middle". Jest to scenariusz, w którym urządzenie przechwytuje komunikację między dwiema prawowitymi stronami, a następnie maskuje się w celu wyłapania ramek danych i skanowania poświadczeń i danych.

Atak typu "man-in-the-middle" jest często wykonywany poprzez wysyłanie fałszywych lub "imitujących" ramek Adress Resolution Protocol (ARP) w celu skojarzenia adresu MAC atakującego z adresem IP innego urządzenia sieciowego. Pakiet ARP jest Twoim pakietem wykrywania, który określa, kto należy do którego adresu IP.

Aktywacja ochrony przed „imitowaniem” IP (innymi słowy sprawdzanie adresów) w zaporze sieciowej AP, zaporze sieciowej sterownika lub zewnętrznej zaporze sieciowej pomoże Ci zidentyfikować złośliwe zmiany w sieci.

Dobre przemysłowe produkty bezprzewodowe umożliwiają korzystanie zarówno z Management Frame Protection, jak i ochrony przed „imitowaniem” IP.

Pytanie 4: W przypadku korzystania ze sterownika bezprzewodowej sieci LAN, zadaj sobie pytanie: "Czy zabezpieczyłem sieć między punktem dostępowym a sterownikiem?"

Dobrą praktyką jest segmentowanie ruchu bezprzewodowego z pozostałej części sieci, jeśli korzystasz ze sterownika WLAN.

Najprostszym sposobem na to jest włączenie funkcjonalności tunelu CAPWAP3. Jest to bardzo prosta metoda tunelowania i jest dostępna w większości punktów dostępu bezprzewodowego i sterowników.
Możesz również rozważyć użycie sieci VPN (Virtual Private Network) do enkapsulacji i szyfrowania danych między punktem dostępowym a centralnym koncentratorem sieci VPN.

Pytanie 5: Czy mogę rozpoznać zakłócenia, „odmowę usługi” lub inne „złe zachowania”?

Zadaj sobie pytanie, czy Twój system jest skonfigurowany tak, aby rozpoznawał ataki typu "odmowa usługi" (Denial of Service), interferencje sieciowe lub inne "złe rzeczy". Czy ktoś lub coś celowo próbuje zablokować Twoją sieć, czy coś po prostu spowodowało zakłócenia - chcesz o tym wiedzieć. We wspólnym medium mogą się zdarzyć różne rzeczy.

Konfigurując swój most lub infrastrukturę WLAN, przygotuj się na sukces, korzystając z bezprzewodowego systemu wykrywania włamań (WIDS). W systemie WIDS ustaw pułapki SNMP4, aby powiadamiały Cię, gdy punkty dostępu znikną i zostaną wykryte kłopotliwe punkty dostępu.

Po wykryciu czegoś - na przykład połączenie bezprzewodowe z kamerą bezpieczeństwa jest zablokowane - administrator zostanie ostrzeżony. System WIDS automatycznie wykryje również punkty ataków DoS i powiadomi zainteresowanych pracowników poprzez alerty SNMP, wiadomości i e-maile.

Pytanie 6: Czy poradziłem sobie ze starszymi urządzeniami?

Rzeczywistość jest taka, że ​​najprawdopodobniej masz jakiś rodzaj starego urządzenia w swoim zakładzie. Nie można aktualizować wszystkiego przez cały czas. Ten bezprzewodowy skaner kodów kreskowych sprzed siedmiu lat? Tak, właśnie to. Posiadanie tych urządzeń jest często rzeczywistością i to jest w porządku, upewnij się tylko, żeby mieć na nie oko.

Możesz rozważyć rozwiązanie luki bezpieczeństwa przez:
·   Używanie zapory sieciowej warstwy 2 lub warstwy 3 do izolowania starszych urządzeń
·   Używanie prywatnego PSK5 na każde urządzenie w oddzielnym WLAN SSID6

Pytanie 7: Czy fizycznie zabezpieczyłem urządzenia bezprzewodowe i obszary zasięgu?

Na koniec, choć są one nie mniej ważne, pomyśl o aspektach fizycznych. Czy Twoja bezprzewodowa sieć LAN będzie podróżować do miejsc, w których możesz jej nie chcieć? Należy wziąć to pod uwagę i ewentualnie obniżyć moc nadawania na częstotliwościach radiowych (RF) na urządzeniach w celu ograniczenia zasięgu tylko do wymaganego obszaru.

W skrajnych przypadkach można również ograniczyć RF tylko do wymaganych obszarów za pomocą specjalnego odcienia ochronnego RF na oknach lub farby RF na ścianach.

Poza tym pamiętaj o zapewnieniu autentyczności wszystkich użytkowników, punktów dostępowych lub urządzeń końcowych, zgodnie z wcześniejszym opisem. To zapewnia Twojemu bezpieczeństwu dodatkową warstwę pewność, przyczyniając się do Defense-in-Depth.

Na koniec, po raz kolejny sprawdź, czy szafki i stojaki są zamknięte i zabezpieczone, aby uniemożliwić fizyczny dostęp.

Przemysłowa bezprzewodowa "Złota reguła" - bezpiecznie wdrażaj, regularnie monitoruj.

Zadanie sobie pytań wymienionych powyżej pomaga zapewnić przemyślane wdrożenie bezpiecznego zastosowania przemysłowego. Choć może się wydawać, że wdrożenie zabezpieczeń bezprzewodowych jest dużym i złożonym zadaniem, nowoczesny przemysłowy sprzęt bezprzewodowy sprawia, że ​​jest to łatwe.

Oto podsumowanie najważniejszych funkcji, których należy szukać:
·   Łatwe blokowanie metod konfiguracji telnet, http i serial
·   Obsługa protokołu uwierzytelniania WPA2
·   Funkcjonalność Zintegrowanej Listy Kontroli Dostępu (Integrated Access Control List)
·   Wbudowane zapory sieciowe warstwy 2 i 3
·   Możliwość korzystania z certyfikatów na urządzeniach
·   Opcja włączenia ochrony przed „imitowaniem” IP
·   Obsługa standardowej funkcji 802.11w, funkcjonalność Management Frame Protection
·   Obsługa tuneli CAPWAP i VPN
·   Włączenie funkcjonalności wykrywania włamań bezprzewodowych

Najważniejszą częścią jest wykorzystanie tych funkcji w ramach strategii warstwowej. Nie zapomnij ich włączyć lub wdrożyć, ponieważ są to dobre rzeczy, które pozwalają Ci spać spokojnie, wiedząc, że Twoje zastosowanie bezprzewodowe jest bezpieczne.

I pamiętaj - bezprzewodowe nie musi być przytłaczające. Pomyśl o Złotej regule: "Bezpiecznie konfiguruj, regularnie monitoruj" i zacznij radzić sobie z podstawami, biorąc pod uwagę siedem kluczowych pytań.

Jakie pytania zadajesz sobie podczas pracy nad bezpieczeństwem sieci bezprzewodowej? Czy uważasz, że te siedem pytań jest przydatnym punktem wyjścia? Czekam na Wasze komentarze!

5PSK – Pre-shared key
6SSID – service set indentifier. Jest to unikalny identyfikator bezprzewodowej sieci LAN.

Komentarz edytora: Artykuł ten został napisany przez Julię Santogatta, dyrektora Belden odpowiedzialnego za inicjatywy bezprzewodowe, i dzięki wiedzy eksperckiej Daniela Wade'a, Głównego Architekta ds. Produktów Bezprzewodowych i Jeffreya Caldwella, Głównego Architekta ds. Bezpieczeństwa.

Jeśli masz jakiekolwiek pytania, wątpliwości czy uwagi, zapraszamy do kontaktu! Jesteśmy do dyspozycji od poniedziałku do piątku w godz. 8:00 – 16:00.
Tel: +48 32 256 25 33
E-mail: info@pf-electronic.pl

Komentarze

Popularne posty z tego bloga

TSN: Wielki krok naprzód w ewolucji Ethernetu ... i tu już dziś

Dr Oliver Kleineberg
Ethernet od prawie trzydziestu lat służy operatorom sieci i podczas gdy na przestrzeni lat bardzo się rozwinął, to najbardziej „rewolucyjny” skok ewolucyjny pojawia się dokładnie w tej chwili. Nowe ulepszenie technologii nosi nazwę "Time-Sensitive Networking (TSN)". Mimo że jego potężne funkcje zwiększające wartość są nadal sprawdzane (bardzo skutecznie!) w sieciach testowych i demonstracyjnych, operatorzy sieci w rzeczywistości mogą zacząć korzystać z tej technologii od razu.

Lubię myśleć o TSN jako "Ethernet Plus", ponieważ jest to nie tyle "nowy" protokół, co wzmocnienie Ethernetu. TSN stoi na barkach czegoś bardzo skutecznego i udanego, a czyni go jeszcze lepszym.
Połącz odmienne sieci w jedno - z gwarancjami dostawy i pełną interoperacyjnością Kluczową wartością - którą dodaje TSN do zastosowań przemysłowych, jest zdolność do ujednolicania sieci, które były z konieczności oddzielne w przeszłości, dzięki czemu użytkownicy mogą cieszyć…

Wskazówki dotyczące prawidłowego podłączenia kabla VFD

Peter Cox
Ilość napędów o zmiennej częstotliwości we współczesnych obiektach przemysłowych znacznie zwiększyła się w ostatnich latach. Nic dziwnego - regulując prędkość i napięcie silnika, aby sprostać zmieniającemu się w czasie rzeczywistym zapotrzebowaniu procesowemu, VFD pomagają zapewnić cenne korzyści, takie jak zwiększona energooszczędność, dokładniejsza kontrola procesu i mniejsze zużycie kosztownych urządzeń. Niestety, korzystanie z VFD nie zawsze jest tak proste, jak po prostu podłączenie urządzenia do sieci.
Aby dowiedzieć się więcej o zaletach kabla VFD, pobierz nasz bezpłatny raport "The Case for VFD Cable to Achieve System Reliability and Safety".

Podłączenie kabla VFD nie jest tym samym co podłączenie standardowego kabla. Istnieje wiele mylnych informacji i nieporozumień związanych z tym faktem i, świadomie lub nieświadomie, często użytkownicy idą na "skróty" w procesie instalacji. A to może spowodować poważne problemy w Twojej działalności. Oto kilka ws…

Pytania dotyczące wdrażania Industrial IoT? IIC ma odpowiedzi.

Jeff Lund
Industrial Internet Consortium (IIC) to globalna organizacja działająca na rzecz przyspieszenia pomyślnego wdrażania narzędzi Industrial Internet of Things (IIoT) w organizacjach wszelkiego rodzaju. Została założona w marcu 2014 r. na podstawie porozumienia między AT&T, Cisco, General Electric, IBM i Intel i obecnie ma ponad 260 członków zlokalizowanych w 30 krajach, a setki innych, nie będących członkami, korzysta z jego zasobów.
Według organizacji, jej misja polega na "dostarczaniu godnego zaufania IIoT, w którym systemy i urządzenia na świecie są bezpiecznie połączone i kontrolowane, aby zapewnić transformacyjne wyniki". Inny opis stwierdza, że ​​"IIC to otwarta, neutralna ‘piaskownica’, w której przemysł, środowisko akademickie i rząd spotykają się, by współpracować, wprowadzać innowacje i stwarzać odpowiednie warunki." Oba opisy są moim zdaniem bardzo trafne. Korzyści, które zapewnia IIC, są ogromne - organizacja zauważa, że ​​chociaż Internet przem…