SECFlow tietoturvakytkimet - NDC

KAIKKI TEOLLISUUDEN
TIETOLIIKENTEEN
TARPEET YHDESSÄ
KYTKIMESSÄ.
RAD SecFlow: Moderni tietoturvallinen kytkinperhe,
joka on suunniteltu teollisuuden ja sähköverkkojen
tiedonsiirron erityistarpeisiin.
Moderni kytkinperhe.
Liitännät sarjaliikenteelle.
SecFlow-kytkimet ovat teollisuusstandardien mukaisesti
rakennettuja ja sertifioituja (esim. IEC61850-3 kytkimiä.
Ne ovat modulaarisia ja monipuolisesti kalustettavissa
olevia laitteita, jotka voidaan ohjelmallisesti konfiguroida
Layer 2 kytkimeksi tai Layer 3 reitittimeksi.
Sarjaliikenneporteilla varustettu SecFlow voi konvertoida tai
enkapsuloida sarjaliikennettä (esim IEC101). Käytännössä
tämä mahdollistaa sarjaliikenteen tunnelit, gatewaymoodin ja IEC101:n tapauksessa protokollan muuttamisen
IEC104-liikenteeksi. Tämä on kätevä ominaisuus, kun
vanhoja RTU:ja liitetään pakettiverkkoon, tai esim. SCADAjärjestelmän sarjaliikenneräkit halutaan poistaa.
Vahva tietoturvaratkaisu.
iSIM hallintatyökalu.
SecFlown suurin innovaatio on jokaiseen kytkimeen
saatavissa oleva erillinen palomuuritoiminto, joka on
suunniteltu erityisesti kaukokäytön ja hajautettujen
teollisuusympäristöjen turvaamiseksi. Koska
palomuurisääntöjä seurataan jokaisessa kytkimessä,
myös verkon ristikkäisliikenne on suojattua. Myös muut
turvaominaisuudet ovat huipputasoa.
SecFlow iSIM on visuaalinen verkonhallintatyökalu, jolla
laitteiden provisiointi, rengasverkkojen konfigurointi ja
verkon tilan monitorointi onnistuu kätevästi.
iSimin avulla voi mm. konfiguoida hälytysten
edelleenlähettämisen niin, että tietoliikenneverkon
hälytykset näkyvät SCADA-järjestelmän hälytyksinä.
SecFlow 1
SecFlow 1 on SecFlow-tuoteperheen kompaktein tuote, joka kuitenkin
sisältää tehokkaan IEC101/104-sovelluspalomuurin. Sen käyttökohteita
ovat yksittäisten RTU:den liittäminen verkkoon kuituyhteyden tai
mobiiliverkon yli.
Konstruktio
•
IEC 61850-3 sertifioinnin mukaisesti immuuni
sähkömagneettiselle säteilylle
•
Laaja lämpötila-alue: -40°C…+75°C, IP30, ei tuulettimia, 5-95%
ilmankosteus, DIN kiskoasennus
Monipuoliset liitännät
•
9-36VDC tai 36-60VDC virransyöttö
•
2xSIM, UMTS/GPRS (mahdollistaa mobiiliverkon vaihtamisen
puhelinverkon häiriötilanteissa)
•
2xRS-232 tai 1xRS-232 & 1xRS-485
•
1x10/100TX ethernet
•
Optio: 1x100/1000Mbps SFP
•
Sovelluspalomuuri, GRE VPN, SSH-autentikointi
SecFlow 2
SecFlow 2 on sähköasemien ja teollisuuskohteiden monipuolinen
integrointialusta. SecFlow 1:n tavoin tuote täyttää kaikki keskeiset
korkealaatuisille teollisuuskytkimille asetettavat fyysiset vaatimukset.
Liitäntävaihtoehdot
•
Virransyöttö: 9-36VDC, 36-60VDC, 85-135VDC, 170-270VDC,
90-250VAC. Yksi virtalähde jossa kaksi syöttöliitintä.
•
3G-reititin, jossa 2 SIM-korttipaikkaa ja automaattinen yhteyden
vaihto verkkojen välillä
•
SHDSL-modeemi
•
4 x RS-232
•
4, 8 tai 16 Fast ethernet (10/100Mbps) kupariporttia
•
2 Gigabit ethernet SFP porttia
•
4 PoE/PoE+ porttia (max 30W per portti), Alternative A ja B
•
2 digitaalista I/O-liitäntää & tunnelointi yhdelle tai useammalle
kytkimelle
•
WLAN AP (Hyödyllinen esim. huoltoetäyhteyden muodostusta
varten, jolloin tietoliikenneasentajan ei tarvitse mennä laitetilaan)
Verkko / Layer 2
•
ITU-T G.8032 rengastopologia (standardi, <50ms toipumisaika);
MSTP, RSTP
•
VLAN, LAG, port queueing, jumbo-kehykset
•
IEEE1588v2 transparent clock
Verkko / Layer 3 (erillinen ohjelmistolisenssi)
•
Layer 3 kytkeminen
•
Staattiset reitit
•
OSPF, RIPv2, VRRP reititys
NDC Networks Oy
Niittymäentie 9, 02200 Espoo
www.ndc.fi, [email protected]
SecFlow 4
SecFlow 4 on runkoverkkokäyttöön tarkoitettu modulaarinen kytkin, jonka tehtävänä on
muodostaa verkon selkäranka, sekä toimia mm. sähköasemaympäristössä tiedonsiirron
ytimenä.
Muide SecFlow-kytkimien tavoin SecFlow 4 tuote täyttää kaikki keskeiset
korkealaatuisille teollisuuskytkimille asetettavat fyysiset vaatimukset. SecFlow 2:n
ominaisuuksien lisäksi SecFlow 4:n ominaisuuksia ovat mm. VPN-tunneleiden
terminointi kaikkia tyypillisimpiä VPN-tunneleita käyttäen.
Liitäntävaihtoehdot
•
Virransyöttö: 9-36VDC, 36-60VDC Mahdollisuus kalustaa kahdella
virtalähteellä joissa kaksi syöttöliitintä.
7 modulipaikkaa
•
4 x Gigabit ethernet (10/100/1000Mbps) SFP kuituportti
•
4 x Gigabit ethernet (10/100/1000Mbps) kupariportti
•
4 x Gigabit PoE (10/100/1000Mbps) kupariportti, max 30W, Alternative A & B
•
4 x Fast ethernet (10/100Mbps) kupariportti
•
4 x Fast PoE (10/100Mbps) kupariportti, max 30W, Alternative A & B
•
2xRS-232 + 2xRS-485
•
4xRS-232
•
Palomuurimoduli
Kaukokäytön tietoturvariskit
SecFlow ratkaisumalli
Riski: vuokrayhteydet, mobiiliverkko
Ratkaisu: Vahva suojaus.
Jos viestiverkko muodostaa yhteyksiä julkisen internetin yli
(esim. operaattoreiden mobiili- ja DSL-yhteydet), man-inthe-middle –hyökkäyksissä väliin pääsevä laite voi lukea ja
modifioida sen läpi kulkevaa viestiliikennettä.
Kaikki SecFlow-kytkimet tukevat monipuolisesti VPNtunneleita - esimerkkinä IPSec-suojattu GRE tunnelointi/
VPN, jossa 3DES tai AES kryptaus. GRE-tunnelointi säilyttää
mm. VLAN-informaation mobiililinkkien yli (ei tuettu
tavallisessa IPSec tunnelissa). Myös muut,
tavanomaisemmat VPN-tunnelit tuettuja.
Riski: Toimistotekniikan tietoturvamalli: Palomuuri erottaa
prosessiverkon internetistä.
Ratkaisu: Hajautettu palomuuri, kryptatut yhteydet,
laiteautentikonti, port blocking.
Maantieteellisesti laajalle levittäytyneen verkon turvallisuus
on usein vain kulunvalvonnan varassa. Etäiset,
miehittämättömät kohteet ovat helppoja murtokohteita, ja
tarjoavat helpon tavan päästä suoraan tietoverkkoon käsiksi.
Tällöin murtautuja pääsee liittymään verkkoon esim.
sarjaliikenneväylän tai ethernetin yli.
Hajautettu palomuuri. SecFlow:n palomuurikytkin
asennetaan jokaiseen suojeltavaan kohteeseen – ei vain
solmukohtiin. Näin verkkosegmenttien sisäinen liikenne
voidaan myös turvata. Koska laite sisältää
kytkintoiminnallisuden, erillistä palomuurilaitetta ei tarvita.
Laiteautentikointi. IEEE802.1x-protokollaan perustuva
autentikointimalli, jossa tietoliikennelaitteet autentikoituvat
RADIUS-palvelimella.
Port blocking. Jos kytkimestä irroitetaan esim RJ45 liitin,
portti suljetaan liikenteeltä, ja se pitää avata valvomosta.
Riski: Käyttäjien aiheuttamat virheet
Ratkaisu: Käyttäjähallinta
Huolimattomasti kirjoitettu komentosarja joka on vahingossa
ohjattu väärälle ala-asemalle.
Käyttäjäoikeuksia voidaan rajoittaa esim. vain paikalliseen
kohteeseen, tai esim. niin, että ABB:n huoltohenkilökunta ei
voi konfiguroida Siemensin RTU:ta.
Kytkimen hallintayhteyden salasanan leviäminen
hallitsemattomasti huoltohenkilökunnan kautta
Käänteinen SSH –autentikointi. Jos muuntamolta halutaan
huoltoyhteys runkoverkkoon, yhteydenmuodostus aloitetaan
runkoverkon puolelta. Näin muuntamon laitetiloihin
murtautuminen ei anna pääsyä runkoverkkoon. Lisäksi
huoltoyhteydelle voidaan antaa aika- ja
toiminnallisuusrajoituksia.
Riski: Tahallinen tietoturvahyökkäys
Ratkaisu 1: Perinteinen palomuurimalli.
Jos huoltohenkilökunnan tietokoneella liitytään verkkoon,
tietokoneella mahdollisesti olevat haittaohjelmat voivat
saastuttaa verkon komponentteja (vrt. Stuxnet).
Porttipohjainen autentikointiin, IP-osoitteisiin, VLANeihin ja
MAC-osoitteisiin perustuva turvamalli. (IP/MAC filtteröinti,
RADIUS-autentikointi)
Hyökkäyksen kohteena voi olla SCADA (esim. Denial of
Service -hyökkäys) ja verkon muiden kohteiden
(sähköasemat, muuntamot, erotinasemat) monitorointi tai
hallinta.
Ratkaisu 2: Sovelluspalomuuri.
Sovelluspalomuuri IEC101, IEC104, Modbus ja DNP3
protokollille. SecFlow-kytkimet sisältävät
rinnakkaisprosessorin, joka lukee jokaisen paketin sisällön:
• Protokollavalidointi. Tarkistaa paketin rakenteen ja
varmistaa, että kaikki kentät täyttävät standardin
vaatimukset, ja että edestakainen viestintä täyttää
tavallisen yhteyskäytännön periaatteet (esim. Master
muodostaa yhteyden; yhteydenmuodostuksen järjestys;
annettu vastaus liittyy kysymykseen)
• Sovelluslogiikka. Jokaista lähettävää ja vastaanottavaa
laiteparia varten tarkistetaan, onko laitteiden välinen
viestintä sallittua, ja sisältävätkö viestit ei-sallittuja
sisältöjä. Mahdollistaa esim. muuntamolta SCADApavelimelle tai toiselle muuntamolle suunnatun
kirjoituskomennon estämisen ja raportoinnin valvojalle.
• Heuristinen tunnistaminen. Laiteparien liikennöinnistä
etsitään poikkeavuuksia – mm. toistuvat
erikoiskomennot (reset, clear history), tavallisen
tietoliikennemäärän ylittävä purske, jne.
SecFlow hallintaohjelmisto: iSIM
SecFlow iSIM on täydellinen verkonhallintaohjelmisto SecFlow kytkinverkon hallintaan. Se toteuttaa tyypilliset
verkonhallintaohjelmistojen ominaisuudet sekä useita uniikkeja palomuuri-tyyppisiä ominaisuuksia
helppokäyttöisessä käyttöliittymässä.
Topologian ja yhteyksien esittäminen graafisesti
Verkon hallinta
•
Topologian automaattinen tunnistaminen ja
esittäminen graafisesti
•
G.8032-renkaiden konfigurointi; MSTP ja RSTP
•
Liikenteen tilastointi & suorituskykyhistorian
visualisointi
•
Service Level Agreement (SLA) verifiointi valituille
yhteyksille käyttäen OAM paketteja
•
SNMP northbound/southbound rajapinnat
Turvaominaisuudet
•
Laiteparien (tai laiteryhmien) turvamatriisi (ks
kuva) jossa jokaisen laitteen välistä liikennöintiä
voidaan rajoittaa
•
Perusteellinen loki johon kirjataan hälytykset,
sekä analyysityökalut joilla hälytysten alkuperää
voidaan tutkia
•
Helppokäyttöinen VPN-tunneleiden
muodostaminen
Ohjelmistopäivitykset & varmuuskopiot
•
Kytkimien keskitetyt ohjelmistopäivitykset
•
iSIM-tietokannan säännölliset varmuuskopiot
Laiteparimatriisissa määritellään laiteparien välisen liikenteen rajoitukset
NDC Networks Oy
Niittymäentie 9, 02200 Espoo
www.ndc.fi, [email protected]
RAD DATA COMMUNICATIONS
NDC NETWORKS
RAD Group on yksityinen Israelilainen
telekommunikaatioalan yritysryhmä. Ryhmään
kuuluu 10 erillistä tuotekehitystä tekevää
yritystä. Näistä suurin on RAD Data
Communications, joka toimii samalla muiden 9
yrityksen globaalina jakelukanavana.
NDC Networks toimittaa tietoliikenneverkkoja,
joiden toimintavarmuus haastavissa olosuhteissa
on elintärkeää. Asiakkaitamme ovat
puolustusteollisuus, sähköverkot, vesihuolto,
teleoperaattorit ja teollisuusyritykset.
Perustamme toimintamme asiakkaan
kuuntelemiseen. Osaamisemme kattaa
seuraavat osa-alueet:
RAD:n painopistealueita ovat:
1.
2.
Operaattori- ja erikoisverkkojen accessratkaisut, joilla erilaiset siirtotiet ja tekniikat yhdistetään runkoverkon
solmuihin. RAD on mm. Carrier Ethernet ratkaisujen uranuurtaja, ja on viime
vuosina kunnostautunut mm. verkkojen
yhteyslaadun (SLA) seurannan osaajana.
Kaukokäyttöverkkojen
tiedonsiirtoratkaisut, jotka esim.
sähköverkkoyhtiön tapauksessa kattavat
toimisto- ja SCADA-verkon runkoyhteydet,
SCADA-verkon yhteydet sähköasemille ja
aina esim. mittarikeskittimille asti, sekä
erikoisratkaisut laukaisunsiirtoon.
NDC Networks on edustanut Suomessa RAD
Data Communicationsia - ja sen kautta kaikkia
RAD Groupin tuotteita - jo 90-luvun alusta
lähtien.
•
Point-to-point mikroaaltolinkit
langattomien ethernet-runkoverkkojen
rakentamiseksi
•
1.35GHz WiMAX-laajakaistaverkot
alueille, joissa yhteyksien luotettavuus
on kriittistä
•
Mobiili- ja radiomodeemit & kattavat
hallintaohjelmistot harvaan asutuille
alueille
•
Teollisuustietoliikenteen
peruskomponentit: Kytkimet,
sarjaliikenne, I/O
•
Sulautettujen järjestelmien
ohjelmistokehitys & käyttöliittymät
•
Palvelut: Suunnittelu, koulutus,
konfigurointi, käyttöönotto, tuki,
vaihtolaitepalvelu
•
Ota yhteyttä! - Niittymäentie 9, 02200 Espoo,
www.ndc.fi, [email protected]
NDC Networks Oy
Niittymäentie 9, 02200 Espoo
www.ndc.fi, [email protected]