{{{sourceTextContent.title}}}

Industrielle Ethernet-Schalter erhöhen Cyber-Sicherheit an keinen Kosten - Teil 2

{{{sourceTextContent.subTitle}}}

Wenn Sie bequemeres programmierenPLCs als sind, CyberSicherheitsmaßnahmen durchführend, ist diese Reihe Bloge für Sie

{{{sourceTextContent.description}}}

Sein Ziel ist, Ihnen einen Überblick über die Sicherheitsfunktionen zu geben, die in Netzvorrichtungen aufgebaut werden, also können Sie die einführen, die für Ihre Anwendung angebracht sind.

Im ersten Blog besprach ich kurz die eingehende Verteidigung und wie es wichtig ist, mehrfache Arten der Verteidigung an den verschiedenen Punkten im Steuernetz einzuführen. Dieses optimale Verfahren maximiert Schutz vor Cybersicherheitsvorfällen, ob sie versehentlich oder absichtlich sind.

Geschaute Weisen des Teils 1 auch, Zugang zu den spezifischen Vorrichtungen, wie industriellem Ethernet zu steuern schält. In heute? s-Blog, betrachten wir Weisen, die Arten der Mitteilungen zu steuern jede mögliche Vorrichtung, oder Computer kann in einem Netz senden oder empfangen.

Authentisierung und Hafen-Sicherheit

In der Kategorie von? grundlegende, aber leicht übersehene Kontrollen? ist die einfache Angelegenheit die unbenutzten Häfen auf gehandhabten Netzvorrichtungen von abstellen oder von Sperrung. Dieses verhindert nicht autorisierte Benutzer oder Vorrichtungen an der Verbindung an das Netz.

Jetzt lassen Sie? s betrachten andere Mittel des Netzzugangs. Dieses ist normalerweise unter Verwendung einer Authentisierung benanntes Standard802.1x kontrolliert. ? x? bezieht sich auf verschiedene Abschnitte des Standards.

Es gibt zahlreiche Implementierungen dieses Standards, dessen am meisten Common das RADIUS-Protokoll ist.

802.1x definiert diese Rollen:

Supplicant: Die Vorrichtung, die Zugang zum Netz wünscht.

Authenticator: Eine Vorrichtung im Netz, wie einem Schalter, der Mitteilungen vom Supplicant erlaubt oder blockiert. Er verwendet Informationen vom Authentisierungs-Bediener (wie einem RADIUS-Bediener) um festzustellen ob man Getriebe vom Supplicant annimmt. RADIUS erlaubt Zugang abhängig von den LOGON-Bescheinigungen einer Vorrichtung oder der Vorrichtung? s-MAC address.

Wenn LOGON nicht möglich ist? wie der Fall mit IO, einem Antrieb oder anderer Vorrichtung, die nicht eine Benutzerschnittstellenvorrichtung hat, zum der LOGON-Bescheinigungen zu betreten? dann die Vorrichtung? s-MAC address wird verwendet. Um Mühelosigkeit des Wiedereinbaus zu erleichtern, können die ersten drei Bytes die verwendet werden um den Hersteller zu identifizierenen verwendet werden. Z.B. haben alle Netzvorrichtungen, die von Schneider Electric verkauft werden, die gleichen ersten drei Bytes in ihren MAC-Adressen.

Wenn Sie zusammengebaut werden, um Verkehr nach und von MAC-Adressen zu erlauben, die Schneider enthalten? s erstes drei Bytes, dann haben Sie eine Netzzugangrichtlinie, die alle Schneider-elektrischen Vorrichtungen ermöglicht. Wenn ein PLC ausfällt, können Sie es durch einen vom gleichen Hersteller ersetzen und er wird Pakete sofort übertragen gelassen. Aller Verkehr von den nicht übereinstimmenden Vorrichtungen wird blockiert.

Ist zusätzliche Mittel des Entfaltens von Sicherheit in einem vorhandenen Netz, Portsicherheit zu nutzen, die einem Benutzer erlaubt, das MAC oder das IP address einer Vorrichtung zu definieren, die an einen gegebenen Hafen anschließen lassen wird. Die Fähigkeit, Zugang durch Common drei Bytes oder IP addressstrecke zuerst zu erlauben lässt einfachen Vorrichtungswiedereinbau und -entwicklung zu. Jede mögliche Verletzung kann hinunter den Hafen sich verriegeln und eine Warnung auslösen (Relaisausgang und/oder SNMP-Falle).

Verhindern der DHCP-Gegründeten Netz-Angriffe

DHCP-Bediener verteilen Netzwerkkonfigurationparameter, wie IP address, für Schnittstellen und Dienstleistungen. Sind hier eine Arten Angriffe, die DHCP-Kommunikationen zielen:

Einen anderen DHCP-Bediener dem Netz hinzufügen, das falsche IP address verteilt? DHCP-Bediener spoofing?

Forderung aller vorhandenen IP address? DHCP-Abführung-Angriff?

Übernehmen des IP address einer vorhandenen Vorrichtung? IP addressHijacking?

Solche Angriffe können vorbei verhindert werden:

Annehmen nur der DHCP-Bedienerpakete von verlässlichen Häfen

Vergleichen der Klienten-Hardware-Adresse in den DHCP-Tabellen mit dem Quellmac address des Pakets

Vergleichen von DHCP-Freigabekommunikationen von den untrusted Häfen mit Einstellungen in? Schwergängigkeitstabelle?

Die Schwergängigkeitstabelle ist eine Tabelle, die die IP-und MAC-Adressen der Vorrichtungen aufeinander bezieht. Wenn jemand ein IP address überfällt, zeigt die Schwergängigkeitstabelle, dass das MAC address des Straßenräubers nicht ist, was es sein soll.

Einige Netzvorrichtungen, wie Hirschmann industrielle Ethernet-Schalter mit dem Betriebssystem Hirschmann (HiOS) liefern das zusätzliche IP address, das durch eine benannte Fähigkeit spoofing ist? IP-Quellschutz.? Wenn ein IP-Paket auf einem untrusted Hafen empfangen wird, wird es mit den Eintragungen in den verbindlichen Tabellen verglichen. Wenn das Quellip address nicht auf dem Hafen ist- oder beliebig, wenn das Quellmac address nicht auf dem Hafen ist-, wird das Paket weggeworfen.

Zugriffskontrolllisten

Eine andere Weise des Regulierens des Netzzugangs und des Verkehrs ist, die Funktion des Access Control List (ACL) zu benutzen, die in den Schaltern und in den Fräsern allgemein ist. Diese Eigenschaft filtert die Pakete IPv4, die auf einigen Parametern, wie Quelle und Bestimmungsort IP address basieren. ACLs kann die Ethernet-Rahmen auch filtern, die auf Kriterien, einschließlich die Quelle und das Bestimmungsort MAC address basieren.

ACLs und Brandmauern können an filtern:

Quelle und Zieladresse

Quelle und Bestimmungsorthafen

Protokoll

Dort jedoch ist ein Hauptunterschied zwischen ihnen? nur Brandmauern können Stateful Kontrolle tun. In Kürze bezieht Stateful Kontrolle mit ein, eine Kommunikation unter Verwendung der Daten vom vorhergehenden Informationsaustausch zu deuten. Dieses schließt Sachen ein, wie die Vorrichtung den Lernabschnitt begann, den die Vorrichtung, die zuletzt einer Mitteilung geschickt wurde und die letzte Mitteilung war, die wegen der Störung zurückgewiesen wurde.

Während ACLs ein Paket auswerten, das auf seiner Realzeitauswertung von ihm basiert, betrachten Brandmauern größere AbbildungsInformationsaustausche und stellen dann fest, welche Kommunikationen gültig sind und welche nicht sind.

Obwohl ACLs ein Stück des Cybersicherheitspuzzlespiels liefern, ersetzen sie nicht Brandmauern.

{{medias[5367].title}}

{{medias[5367].description}}

{{medias[5368].title}}

{{medias[5368].description}}

{{medias[5369].title}}

{{medias[5369].description}}