SECFlow tietoturvakytkimet - NDC
KAIKKI TEOLLISUUDEN TIETOLIIKENTEEN TARPEET YHDESSÄ KYTKIMESSÄ. RAD SecFlow: Moderni tietoturvallinen kytkinperhe, joka on suunniteltu teollisuuden ja sähköverkkojen tiedonsiirron erityistarpeisiin. Moderni kytkinperhe. Liitännät sarjaliikenteelle. SecFlow-kytkimet ovat teollisuusstandardien mukaisesti rakennettuja ja sertifioituja (esim. IEC61850-3 kytkimiä. Ne ovat modulaarisia ja monipuolisesti kalustettavissa olevia laitteita, jotka voidaan ohjelmallisesti konfiguroida Layer 2 kytkimeksi tai Layer 3 reitittimeksi. Sarjaliikenneporteilla varustettu SecFlow voi konvertoida tai enkapsuloida sarjaliikennettä (esim IEC101). Käytännössä tämä mahdollistaa sarjaliikenteen tunnelit, gatewaymoodin ja IEC101:n tapauksessa protokollan muuttamisen IEC104-liikenteeksi. Tämä on kätevä ominaisuus, kun vanhoja RTU:ja liitetään pakettiverkkoon, tai esim. SCADAjärjestelmän sarjaliikenneräkit halutaan poistaa. Vahva tietoturvaratkaisu. iSIM hallintatyökalu. SecFlown suurin innovaatio on jokaiseen kytkimeen saatavissa oleva erillinen palomuuritoiminto, joka on suunniteltu erityisesti kaukokäytön ja hajautettujen teollisuusympäristöjen turvaamiseksi. Koska palomuurisääntöjä seurataan jokaisessa kytkimessä, myös verkon ristikkäisliikenne on suojattua. Myös muut turvaominaisuudet ovat huipputasoa. SecFlow iSIM on visuaalinen verkonhallintatyökalu, jolla laitteiden provisiointi, rengasverkkojen konfigurointi ja verkon tilan monitorointi onnistuu kätevästi. iSimin avulla voi mm. konfiguoida hälytysten edelleenlähettämisen niin, että tietoliikenneverkon hälytykset näkyvät SCADA-järjestelmän hälytyksinä. SecFlow 1 SecFlow 1 on SecFlow-tuoteperheen kompaktein tuote, joka kuitenkin sisältää tehokkaan IEC101/104-sovelluspalomuurin. Sen käyttökohteita ovat yksittäisten RTU:den liittäminen verkkoon kuituyhteyden tai mobiiliverkon yli. Konstruktio • IEC 61850-3 sertifioinnin mukaisesti immuuni sähkömagneettiselle säteilylle • Laaja lämpötila-alue: -40°C…+75°C, IP30, ei tuulettimia, 5-95% ilmankosteus, DIN kiskoasennus Monipuoliset liitännät • 9-36VDC tai 36-60VDC virransyöttö • 2xSIM, UMTS/GPRS (mahdollistaa mobiiliverkon vaihtamisen puhelinverkon häiriötilanteissa) • 2xRS-232 tai 1xRS-232 & 1xRS-485 • 1x10/100TX ethernet • Optio: 1x100/1000Mbps SFP • Sovelluspalomuuri, GRE VPN, SSH-autentikointi SecFlow 2 SecFlow 2 on sähköasemien ja teollisuuskohteiden monipuolinen integrointialusta. SecFlow 1:n tavoin tuote täyttää kaikki keskeiset korkealaatuisille teollisuuskytkimille asetettavat fyysiset vaatimukset. Liitäntävaihtoehdot • Virransyöttö: 9-36VDC, 36-60VDC, 85-135VDC, 170-270VDC, 90-250VAC. Yksi virtalähde jossa kaksi syöttöliitintä. • 3G-reititin, jossa 2 SIM-korttipaikkaa ja automaattinen yhteyden vaihto verkkojen välillä • SHDSL-modeemi • 4 x RS-232 • 4, 8 tai 16 Fast ethernet (10/100Mbps) kupariporttia • 2 Gigabit ethernet SFP porttia • 4 PoE/PoE+ porttia (max 30W per portti), Alternative A ja B • 2 digitaalista I/O-liitäntää & tunnelointi yhdelle tai useammalle kytkimelle • WLAN AP (Hyödyllinen esim. huoltoetäyhteyden muodostusta varten, jolloin tietoliikenneasentajan ei tarvitse mennä laitetilaan) Verkko / Layer 2 • ITU-T G.8032 rengastopologia (standardi, <50ms toipumisaika); MSTP, RSTP • VLAN, LAG, port queueing, jumbo-kehykset • IEEE1588v2 transparent clock Verkko / Layer 3 (erillinen ohjelmistolisenssi) • Layer 3 kytkeminen • Staattiset reitit • OSPF, RIPv2, VRRP reititys NDC Networks Oy Niittymäentie 9, 02200 Espoo www.ndc.fi, [email protected] SecFlow 4 SecFlow 4 on runkoverkkokäyttöön tarkoitettu modulaarinen kytkin, jonka tehtävänä on muodostaa verkon selkäranka, sekä toimia mm. sähköasemaympäristössä tiedonsiirron ytimenä. Muide SecFlow-kytkimien tavoin SecFlow 4 tuote täyttää kaikki keskeiset korkealaatuisille teollisuuskytkimille asetettavat fyysiset vaatimukset. SecFlow 2:n ominaisuuksien lisäksi SecFlow 4:n ominaisuuksia ovat mm. VPN-tunneleiden terminointi kaikkia tyypillisimpiä VPN-tunneleita käyttäen. Liitäntävaihtoehdot • Virransyöttö: 9-36VDC, 36-60VDC Mahdollisuus kalustaa kahdella virtalähteellä joissa kaksi syöttöliitintä. 7 modulipaikkaa • 4 x Gigabit ethernet (10/100/1000Mbps) SFP kuituportti • 4 x Gigabit ethernet (10/100/1000Mbps) kupariportti • 4 x Gigabit PoE (10/100/1000Mbps) kupariportti, max 30W, Alternative A & B • 4 x Fast ethernet (10/100Mbps) kupariportti • 4 x Fast PoE (10/100Mbps) kupariportti, max 30W, Alternative A & B • 2xRS-232 + 2xRS-485 • 4xRS-232 • Palomuurimoduli Kaukokäytön tietoturvariskit SecFlow ratkaisumalli Riski: vuokrayhteydet, mobiiliverkko Ratkaisu: Vahva suojaus. Jos viestiverkko muodostaa yhteyksiä julkisen internetin yli (esim. operaattoreiden mobiili- ja DSL-yhteydet), man-inthe-middle –hyökkäyksissä väliin pääsevä laite voi lukea ja modifioida sen läpi kulkevaa viestiliikennettä. Kaikki SecFlow-kytkimet tukevat monipuolisesti VPNtunneleita - esimerkkinä IPSec-suojattu GRE tunnelointi/ VPN, jossa 3DES tai AES kryptaus. GRE-tunnelointi säilyttää mm. VLAN-informaation mobiililinkkien yli (ei tuettu tavallisessa IPSec tunnelissa). Myös muut, tavanomaisemmat VPN-tunnelit tuettuja. Riski: Toimistotekniikan tietoturvamalli: Palomuuri erottaa prosessiverkon internetistä. Ratkaisu: Hajautettu palomuuri, kryptatut yhteydet, laiteautentikonti, port blocking. Maantieteellisesti laajalle levittäytyneen verkon turvallisuus on usein vain kulunvalvonnan varassa. Etäiset, miehittämättömät kohteet ovat helppoja murtokohteita, ja tarjoavat helpon tavan päästä suoraan tietoverkkoon käsiksi. Tällöin murtautuja pääsee liittymään verkkoon esim. sarjaliikenneväylän tai ethernetin yli. Hajautettu palomuuri. SecFlow:n palomuurikytkin asennetaan jokaiseen suojeltavaan kohteeseen – ei vain solmukohtiin. Näin verkkosegmenttien sisäinen liikenne voidaan myös turvata. Koska laite sisältää kytkintoiminnallisuden, erillistä palomuurilaitetta ei tarvita. Laiteautentikointi. IEEE802.1x-protokollaan perustuva autentikointimalli, jossa tietoliikennelaitteet autentikoituvat RADIUS-palvelimella. Port blocking. Jos kytkimestä irroitetaan esim RJ45 liitin, portti suljetaan liikenteeltä, ja se pitää avata valvomosta. Riski: Käyttäjien aiheuttamat virheet Ratkaisu: Käyttäjähallinta Huolimattomasti kirjoitettu komentosarja joka on vahingossa ohjattu väärälle ala-asemalle. Käyttäjäoikeuksia voidaan rajoittaa esim. vain paikalliseen kohteeseen, tai esim. niin, että ABB:n huoltohenkilökunta ei voi konfiguroida Siemensin RTU:ta. Kytkimen hallintayhteyden salasanan leviäminen hallitsemattomasti huoltohenkilökunnan kautta Käänteinen SSH –autentikointi. Jos muuntamolta halutaan huoltoyhteys runkoverkkoon, yhteydenmuodostus aloitetaan runkoverkon puolelta. Näin muuntamon laitetiloihin murtautuminen ei anna pääsyä runkoverkkoon. Lisäksi huoltoyhteydelle voidaan antaa aika- ja toiminnallisuusrajoituksia. Riski: Tahallinen tietoturvahyökkäys Ratkaisu 1: Perinteinen palomuurimalli. Jos huoltohenkilökunnan tietokoneella liitytään verkkoon, tietokoneella mahdollisesti olevat haittaohjelmat voivat saastuttaa verkon komponentteja (vrt. Stuxnet). Porttipohjainen autentikointiin, IP-osoitteisiin, VLANeihin ja MAC-osoitteisiin perustuva turvamalli. (IP/MAC filtteröinti, RADIUS-autentikointi) Hyökkäyksen kohteena voi olla SCADA (esim. Denial of Service -hyökkäys) ja verkon muiden kohteiden (sähköasemat, muuntamot, erotinasemat) monitorointi tai hallinta. Ratkaisu 2: Sovelluspalomuuri. Sovelluspalomuuri IEC101, IEC104, Modbus ja DNP3 protokollille. SecFlow-kytkimet sisältävät rinnakkaisprosessorin, joka lukee jokaisen paketin sisällön: • Protokollavalidointi. Tarkistaa paketin rakenteen ja varmistaa, että kaikki kentät täyttävät standardin vaatimukset, ja että edestakainen viestintä täyttää tavallisen yhteyskäytännön periaatteet (esim. Master muodostaa yhteyden; yhteydenmuodostuksen järjestys; annettu vastaus liittyy kysymykseen) • Sovelluslogiikka. Jokaista lähettävää ja vastaanottavaa laiteparia varten tarkistetaan, onko laitteiden välinen viestintä sallittua, ja sisältävätkö viestit ei-sallittuja sisältöjä. Mahdollistaa esim. muuntamolta SCADApavelimelle tai toiselle muuntamolle suunnatun kirjoituskomennon estämisen ja raportoinnin valvojalle. • Heuristinen tunnistaminen. Laiteparien liikennöinnistä etsitään poikkeavuuksia – mm. toistuvat erikoiskomennot (reset, clear history), tavallisen tietoliikennemäärän ylittävä purske, jne. SecFlow hallintaohjelmisto: iSIM SecFlow iSIM on täydellinen verkonhallintaohjelmisto SecFlow kytkinverkon hallintaan. Se toteuttaa tyypilliset verkonhallintaohjelmistojen ominaisuudet sekä useita uniikkeja palomuuri-tyyppisiä ominaisuuksia helppokäyttöisessä käyttöliittymässä. Topologian ja yhteyksien esittäminen graafisesti Verkon hallinta • Topologian automaattinen tunnistaminen ja esittäminen graafisesti • G.8032-renkaiden konfigurointi; MSTP ja RSTP • Liikenteen tilastointi & suorituskykyhistorian visualisointi • Service Level Agreement (SLA) verifiointi valituille yhteyksille käyttäen OAM paketteja • SNMP northbound/southbound rajapinnat Turvaominaisuudet • Laiteparien (tai laiteryhmien) turvamatriisi (ks kuva) jossa jokaisen laitteen välistä liikennöintiä voidaan rajoittaa • Perusteellinen loki johon kirjataan hälytykset, sekä analyysityökalut joilla hälytysten alkuperää voidaan tutkia • Helppokäyttöinen VPN-tunneleiden muodostaminen Ohjelmistopäivitykset & varmuuskopiot • Kytkimien keskitetyt ohjelmistopäivitykset • iSIM-tietokannan säännölliset varmuuskopiot Laiteparimatriisissa määritellään laiteparien välisen liikenteen rajoitukset NDC Networks Oy Niittymäentie 9, 02200 Espoo www.ndc.fi, [email protected] RAD DATA COMMUNICATIONS NDC NETWORKS RAD Group on yksityinen Israelilainen telekommunikaatioalan yritysryhmä. Ryhmään kuuluu 10 erillistä tuotekehitystä tekevää yritystä. Näistä suurin on RAD Data Communications, joka toimii samalla muiden 9 yrityksen globaalina jakelukanavana. NDC Networks toimittaa tietoliikenneverkkoja, joiden toimintavarmuus haastavissa olosuhteissa on elintärkeää. Asiakkaitamme ovat puolustusteollisuus, sähköverkot, vesihuolto, teleoperaattorit ja teollisuusyritykset. Perustamme toimintamme asiakkaan kuuntelemiseen. Osaamisemme kattaa seuraavat osa-alueet: RAD:n painopistealueita ovat: 1. 2. Operaattori- ja erikoisverkkojen accessratkaisut, joilla erilaiset siirtotiet ja tekniikat yhdistetään runkoverkon solmuihin. RAD on mm. Carrier Ethernet ratkaisujen uranuurtaja, ja on viime vuosina kunnostautunut mm. verkkojen yhteyslaadun (SLA) seurannan osaajana. Kaukokäyttöverkkojen tiedonsiirtoratkaisut, jotka esim. sähköverkkoyhtiön tapauksessa kattavat toimisto- ja SCADA-verkon runkoyhteydet, SCADA-verkon yhteydet sähköasemille ja aina esim. mittarikeskittimille asti, sekä erikoisratkaisut laukaisunsiirtoon. NDC Networks on edustanut Suomessa RAD Data Communicationsia - ja sen kautta kaikkia RAD Groupin tuotteita - jo 90-luvun alusta lähtien. • Point-to-point mikroaaltolinkit langattomien ethernet-runkoverkkojen rakentamiseksi • 1.35GHz WiMAX-laajakaistaverkot alueille, joissa yhteyksien luotettavuus on kriittistä • Mobiili- ja radiomodeemit & kattavat hallintaohjelmistot harvaan asutuille alueille • Teollisuustietoliikenteen peruskomponentit: Kytkimet, sarjaliikenne, I/O • Sulautettujen järjestelmien ohjelmistokehitys & käyttöliittymät • Palvelut: Suunnittelu, koulutus, konfigurointi, käyttöönotto, tuki, vaihtolaitepalvelu • Ota yhteyttä! - Niittymäentie 9, 02200 Espoo, www.ndc.fi, [email protected] NDC Networks Oy Niittymäentie 9, 02200 Espoo www.ndc.fi, [email protected]
© Copyright 2024