{{{sourceTextContent.title}}}

Les commutateurs industriels d'Ethernet augmentent la sécurité de Cyber à aucun coût - la partie

{{{sourceTextContent.subTitle}}}

Si vous êtes PLCs de programmation plus confortable que mettant en application des mesures de sécurité de cyber cette série de blogs est pour vous

{{{sourceTextContent.description}}}

Son but est de te donner une vue d'ensemble des fonctions de sécurité établies dans des dispositifs de réseau ainsi vous pouvez mettre en application ceux qui sont appropriés pour votre application.

Dans le premier blog, j'ai brièvement discuté la défense détaillée et comment il est important de mettre en application les types multiples de défenses à différents points dans le réseau de commande. Ces pratiques maximisent la protection contre des incidents de sécurité de cyber, s'ils sont accidentels ou intentionnels.

Les manières également regardées de la partie de commander l'accès aux dispositifs spécifiques, tels que l'Ethernet industriel commute. Dans aujourd'hui ? blog de s, nous regardons des manières de commander les types de messages n'importe quel dispositif ou l'ordinateur peut envoyer ou recevoir sur un réseau.

Authentification et sécurité de port

Dans la catégorie de ? commandes de base, mais facilement négligées ? est la matière simple d'arrêter ou de désactiver les ports inutilisés sur les dispositifs contrôlés de réseau. Ceci empêche les utilisateurs non autorisés ou les dispositifs de se relier au réseau.

Maintenant, laissez ? s considèrent des autres moyens de l'accès de réseau. C'est habituellement commandé utilisant une authentification 802.1x appelé standard. ? X ? se rapporte à différentes sections de la norme.

Il y a de nombreuses réalisations de cette norme, le plus commun dont est le protocole de RAYON.

802.1x définit ces rôles :

Supplicant : Le dispositif qui veut l'accès au réseau.

Authenticator : Un dispositif sur le réseau, tel qu'un commutateur qui permet ou bloque des messages du supplicant. Il emploie l'information du serveur d'authentification (tel qu'un serveur de RAYON) pour déterminer si accepter des transmissions du supplicant. Le RAYON permet l'accès selon les qualifications d'ouverture d'un dispositif ou du dispositif ? MAC address de s.

Si l'ouverture n'est pas possible ? comme le cas avec l'E/S, une commande ou tout autre dispositif qui n'a pas un dispositif d'interface utilisateurs pour entrer dans des qualifications d'ouverture ? puis le dispositif ? le MAC address de s est employé. Pour faciliter la facilité du remplacement, les trois premiers bytes qui sont employés pour identifier le fabricant peuvent être employés. Par exemple, tous les dispositifs de réseau vendus par Schneider Electric ont les mêmes trois premiers bytes dans leurs adresses de MAC.

Si configuré pour permettre le trafic à et des adresses de MAC qui contiennent Schneider ? s trois premier bytes, alors vous avez une règle d'accès de réseau qui permet tous les dispositifs électriques de Schneider. Si un PLC échoue, vous pouvez le remplacer par un du même fabricant et il sera permis de transmettre des paquets tout de suite. Tout le trafic des dispositifs non conformes sera bloqué.

Les moyens additionnels de déployer la sécurité dans un réseau existant est de tirer profit de la sécurité gauche, qui permet à un utilisateur de définir le MAC ou l'IP address d'un dispositif permis de se relier à un port donné. La capacité de permettre à accès par le terrain communal d'abord trois bytes ou chaînes d'IP address tient compte du remplacement et du déploiement faciles de dispositif. N'importe quelle violation peut fermer à clef en bas du port et déclencher une alarme (rendement de relais et/ou piège de SNMP).

Empêchement des attaques DHCP-Basées de réseau

Les serveurs de DHCP distribuent des paramètres de configuration réseau, tels que des IP address, pour des interfaces et des services. Voici quelques types d'attaques qui visent des communications de DHCP :

Ajoutant un autre serveur de DHCP au réseau qui distribue des IP address faux ? Mystification de serveur de DHCP ?

Demande de tous les IP address disponibles ? Attaque d'épuisement de DHCP ?

Assurer l'IP address d'un dispositif existant ? Hijacking d'IP address ?

De telles attaques peuvent être empêchées par :

Acceptation seulement des paquets de serveur de DHCP des ports de confiance

Comparer l'adresse de matériel de client dans les tables de DHCP au MAC address de source du paquet

Comparer des communications de dégagement de DHCP des ports hors sécurité aux arrangements dans ? table d'obligatoirex ?

La table d'obligatoirex est une table qui corrèle les adresses d'IP et de MAC des dispositifs. Si quelqu'un détourne un IP address, la table d'obligatoirex prouvera que n'est pas le MAC address du pirate de l'air ce qu'on cense l'être.

Quelques dispositifs de réseau, tels que les commutateurs industriels d'Ethernet de Hirschmann avec le Hirschmann du système d'exploitation (HiOS) fournissent la mystification additionnelle d'IP address par des possibilités appelées ? Garde de source d'IP. ? Quand un paquet d'IP est reçu sur un port hors sécurité, il est comparé aux entrées dans les tables obligatoires. Si l'IP address de source n'est pas situé sur le port, ou sur option si le MAC address de source n'est pas situé sur le port, le paquet est jeté.

Listes de contrôle d'accès

Une autre manière de régler l'accès et le trafic de réseau est d'employer le dispositif de l'Access Control List (ACL) commun dans les commutateurs et des routeurs. Ce dispositif filtre les paquets IPv4 basés sur un certain nombre de paramètres, tels que la source et l'IP address de destination. ACLs peut également filtrer des armatures d'Ethernet basées sur des critères, y compris la source et le MAC address de destination.

ACLs et murs à l'épreuve du feu peuvent filtrer dessus :

Source et adresse de destination

Source et port de destination

Protocole

Là, cependant, une différence importante est-elle entre eux ? seulement les murs à l'épreuve du feu peuvent faire l'inspection de Stateful. En bref, l'inspection de Stateful implique d'interpréter une communication utilisant des données de l'échange de l'information précédent. Ceci inclut les choses comme lesquelles le dispositif a commencé la session, que le dispositif pour la dernière fois envoyé un message et était le dernier message rejeté en raison de l'erreur.

Tandis qu'ACLs évaluent un paquet basé sur son évaluation en temps réel de lui, les murs à l'épreuve du feu regardent de plus grands échanges de l'information d'image et puis déterminent quelles communications sont valides et ce qui ne sont pas.

Quoiqu'ACLs fournissent un morceau du puzzle de sécurité de cyber, ils ne remplacent pas des murs à l'épreuve du feu.

{{medias[5367].title}}

{{medias[5367].description}}

{{medias[5368].title}}

{{medias[5368].description}}

{{medias[5369].title}}

{{medias[5369].description}}