{{{sourceTextContent.title}}}

Gli interruttori industriali di Ethernet aumentano la sicurezza a nessun costo - la parte 2 di Cyber

{{{sourceTextContent.subTitle}}}

Se siete PLCs di programmazione più comodo che realizzando le misure di sicurezza di cyber questa serie di blog è per voi

{{{sourceTextContent.description}}}

Il relativo obiettivo è di fargli una descrizione delle funzioni di sicurezza sviluppate nei dispositivi della rete in modo da potete realizzare quei che siano adatti per la vostra applicazione.

Nel primo blog, brevemente ho discusso la difesa approfondita e come è importante realizzare i tipi multipli di difese ai punti differenti nella rete di controllo. Questa pratica ottimale eleva la protezione dagli avvenimenti di sicurezza di cyber, se sono accidentali o intenzionali.

I sensi anche osservati della parte 1 controllare l'accesso ai dispositivi specifici, quale Ethernet industriale commuta. In oggi? blog di s, esaminiamo i sensi controllare i tipi di messaggi tutto il dispositivo o il calcolatore può trasmettere o ricevere su una rete.

Autenticazione e sicurezza dell'orificio

Nella categoria di? comandi di base, ma facilmente trascurati? è la materia semplice di spegnere o di rendere invalidi gli orificii inutilizzati sui dispositivi diretti della rete. Ciò impedice gli utenti non autorizzati o i dispositivi il collegamento alla rete.

Ora, lasci? la s considera altri mezzi di accesso di rete. Ciò è solitamente controllata usando un'autenticazione 802.1x denominato standard. ? x? si riferisce alle sezioni differenti del campione.

Ci sono le numerose esecuzioni di questo campione, più il terreno comunale di cui è il protocollo del RAGGIO.

802.1x definisce questi ruoli:

Supplicant: Il dispositivo che vuole l'accesso alla rete.

Authenticator: Un dispositivo sulla rete, quale un interruttore che permette o ostruisce i messaggi dal supplicant. Usa le informazioni dall'assistente di autenticazione (quale un assistente del RAGGIO) per determinare indipendentemente da fatto che accettare le trasmissioni dal supplicant. Il RAGGIO permette l'accesso secondo le credenziali di inizio attività di un dispositivo o del dispositivo? MAC address di s.

Se l'inizio attività non è possibile? quale il caso con IO, un azionamento o l'altro dispositivo che non ha un dispositivo dell'interfaccia utente per entrare nelle credenziali di inizio attività? allora il dispositivo? il MAC address di s è usato. Per facilitare la facilità del rimontaggio, i primi tre byte che sono usati per identificare il fornitore possono essere usati. Per esempio, tutti i dispositivi della rete venduti da Schneider Electric hanno gli stessi primi tre byte nei loro indirizzi del MACKINTOSH.

Se configurato per permettere traffico a e da gli indirizzi del MACKINTOSH che contengono Schneider? s prima tre byte, allora avete una regola di accesso di rete che consente tutti i dispositivi elettrici dello Schneider. Se un PLC si guasta, potete sostituirli con uno dallo stesso fornitore e sarà permesso trasmettere i pacchetti subito. Tutto il traffico dai dispositivi non conformi sarà ostruito.

Il mezzo supplementare di spiegamento della sicurezza in una rete attuale è di approfittare della sicurezza dell'orificio, che permette che un utente definisca il MACKINTOSH o il IP address di un dispositivo permesso collegarsi ad un orificio dato. La capacità di concedere ad accesso dal terreno comunale in primo luogo tre byte o gamme di IP address tiene conto il rimontaggio e lo schieramento facili del dispositivo. Tutta la violazione può chiudere giù l'orificio e fare scattare l'allarme (uscita del relè e/o presa dello SNMP).

Impedire gli attacchi DHCP-Basati della rete

Gli assistenti di DHCP distribuiscono i parametri di configurazione di rete, quali i IP address, per le interfacce ed i servizi. Qui sono alcuni tipi di attacchi che designano le comunicazioni come bersaglio di DHCP:

Aggiungendo un altro assistente di DHCP alla rete che distribuisce i IP address falsi? Spoofing dell'assistente di DHCP?

Richiesta di tutti i IP address disponibili? Attacco di esaurimento di DHCP?

Assumere la direzione del IP address di un dispositivo attuale? Hijacking di IP address?

Tali attacchi possono essere evitati vicino:

Accettazione soltanto dei pacchetti dell'assistente di DHCP dagli orificii di fiducia

Paragonando l'indirizzo dei fissaggi del cliente nelle tabelle di DHCP al MAC address di fonte del pacchetto

Paragonando le comunicazioni del rilascio di DHCP dagli orificii untrusted alle regolazioni in? tabella dei grippaggi?

La tabella dei grippaggi è una tabella che correla gli indirizzi del MACKINTOSH e del IP dei dispositivi. Se qualcuno stia dirottando un IP address, la tabella dei grippaggi indicherà che il MAC address del dirottatore non è che cosa è supposto per essere.

Alcuni dispositivi della rete, quali gli interruttori industriali di Ethernet di Hirschmann con il sistema operativo di Hirschmann (HiOS) forniscono il IP address supplementare che spoofing con una possibilità denominata? Protezione di fonte del IP.? Quando un pacchetto del IP è ricevuto su un orificio untrusted, è paragonato alle entrate nelle tabelle obbligatorie. Se il IP address di fonte non è situato sull'orificio, o facoltativamente se il MAC address di fonte non è situato sull'orificio, il pacchetto è scartato.

Liste di controllo di accesso

Un altro senso di regolamento l'accesso e del traffico di rete è di utilizzare la caratteristica del Access Control List (ACL) comune negli interruttori ed in router. Questa caratteristica filtra i pacchetti IPv4 basati su un certo numero di parametri, quali la fonte ed il IP address della destinazione. ACLs può anche filtrare le strutture di Ethernet basate sui test di verifica, compreso la fonte ed il MAC address della destinazione.

ACLs e le pareti refrattarie possono sia filtrare sopra:

Fonte ed indirizzo di destinazione

Fonte ed orificio di destinazione

Protocollo

Là è, tuttavia, una differenza importante fra loro? soltanto le pareti refrattarie possono fare il controllo di Stateful. Nel riassunto, il controllo di Stateful coinvolge interpretare una comunicazione usando i dati dallo scambio di informazioni precedente. Ciò comprende le cose come cui il dispositivo ha iniziato la sessione, che il dispositivo l'ultima volta trasmesso ad un messaggio ed era l'ultimo messaggio rifiutato a causa dell'errore.

Mentre ACLs valuta un pacchetto basato sulla relativa valutazione in tempo reale di esso, le pareti refrattarie esaminano i più grandi scambi di informazioni dell'immagine ed allora determinano quali comunicazioni sono valide e quale non sono.

Anche se ACLs fornisce una parte del puzzle di sicurezza di cyber, non sostituiscono le pareti refrattarie.

{{medias[5367].title}}

{{medias[5367].description}}

{{medias[5368].title}}

{{medias[5368].description}}

{{medias[5369].title}}

{{medias[5369].description}}