Uživatelská příručka pro bezpečné nasazení bezpečnostních ovladačů BANNER SC26-2
O tomto průvodci
Tento dokument poskytuje informace, které pomohou zlepšit kybernetickou bezpečnost systémů, které zahrnují bezpečnostní řídicí jednotky XS/SC26-2. Je určen pro použití řídicími inženýry, integrátory, IT profesionály a vývojáři odpovědnými za nasazení a konfiguraci bezpečnostních řídicích jednotek XS/SC26-2.
Zavedení
Tato část představuje základy zabezpečení a bezpečného nasazení.
Co je zabezpečení?
Zabezpečení je proces zachování důvěrnosti, integrity a dostupnosti systému
- Důvěrnost: Zajistěte, aby je mohli vidět pouze lidé, kterým chcete informace zobrazit
- Integrita: Ujistěte se, že data jsou taková, jaká mají být
- Dostupnost: Ujistěte se, že systém nebo data jsou k dispozici pro použití
Společnost Banner si uvědomuje důležitost vytváření a zavádění produktů s ohledem na tyto koncepty a podporuje je
zákazníkům věnovat náležitou péči při zabezpečení svých produktů a řešení Banner Safety.
POZNÁMKA: Jakmile jsou zjištěny a opraveny zranitelnosti produktu Banner Safety, jsou vydána bezpečnostní doporučení popisující každou zranitelnost v konkrétní verzi produktu a také verzi, ve které byla zranitelnost opravena. Bezpečnostní doporučení společnosti Banner Safety jsou k dispozici na adrese: bannerengineering.com/support/tech-help/PSIRT.
Mám Firewall. Není to dost?
Firewally a další produkty zabezpečení sítě, včetně datových diod a systémů prevence narušení (IPS), mohou být důležitou součástí jakékoli bezpečnostní strategie. Strategie založená pouze na jediném bezpečnostním mechanismu však není tak odolná jako strategie, která zahrnuje více nezávislých vrstev zabezpečení.
Společnost Banner Safety proto doporučuje zvolit k zabezpečení přístup „Defense in Depth“.
Co je obrana do hloubky?
Hloubková obrana je koncept použití více nezávislých vrstev zabezpečení ke zvýšení nákladů a složitosti úspěšného útoku. Aby mohl útočník provést úspěšný útok na systém, musel by najít nejen jednu zneužitelnou zranitelnost, ale musel by využít zranitelnosti v každé vrstvě obrany, která chrání aktivum.
NapřampPokud je systém chráněn, protože je v síti chráněné firewallem, útočník potřebuje pouze obejít firewall, aby získal neoprávněný přístup. Pokud však existuje další vrstva obrany, jako je požadavek na ověření uživatelského jména/hesla, musí útočník najít způsob, jak obejít firewall i ověřování uživatelského jména/hesla.
Obecná doporučení
Při používání produktů a řešení Banner Safety použijte následující bezpečnostní postupy.
- Bezpečnostní řídicí jednotky uvedené v tomto dokumentu nebyly navrženy ani určeny k přímému připojení k jakékoli rozsáhlé síti, včetně, ale nejen, podnikové sítě nebo internetu obecně. Další směrovače a brány firewall (jako jsou ty znázorněné v „Referenční architektura“ na straně 18) které byly nakonfigurovány s přístupovými pravidly přizpůsobenými specifickým potřebám webu, musí být použity pro přístup k zařízením popsaným v tomto dokumentu zvenčí mimo místní řídicí sítě. Pokud řídicí systém vyžaduje externí připojení, postarejte se o kontrolu, omezení a monitorování veškerého přístupu, napřampvirtuální privátní sítě (VPN) nebo architektury demilitarizované zóny (DMZ).
- Posilte konfigurace systému povolením/používáním dostupných funkcí zabezpečení a deaktivací nepotřebných portů, služeb, funkcí a sítě file akcií.
- Použijte všechny nejnovější aktualizace zabezpečení produktu Banner Safety, správu bezpečnostních informací (SIM) a další doporučení.
- Použijte všechny nejnovější bezpečnostní záplaty operačního systému na řídicí systémy PC.
- Používejte antivirový software na počítačích s řídicími systémy a udržujte příslušné antivirové signatury aktuální.
- Používejte software pro whitelisting na počítačích s řídicími systémy a ponechejte si w
- hitelist aktuální.
Kontrolní seznam
Tato část poskytuje jakoampKontrolní seznam, který vám pomůže vést proces bezpečného nasazení bezpečnostních ovladačů XS/SC26-2.
- Vytvořte nebo najděte síťový diagram.
- Identifikujte a zaznamenejte požadované komunikační cesty mezi uzly.
- Identifikujte a zaznamenejte požadované protokoly na každé cestě, včetně role každého uzlu. (Vidět „Požadavky na komunikaci“ na straně 7.)
- Podle potřeby revidujte síť, abyste zajistili vhodné rozdělení, přidejte brány firewall nebo jiná zařízení pro zabezpečení sítě. Aktualizujte schéma sítě. (Viz „Architektura sítě a bezpečné nasazení“ na straně 18.)
- Nakonfigurujte brány firewall a další zařízení pro zabezpečení sítě. (Viz „Konfigurace brány Ethernet Firewall“ na straně 9 a „Architektura sítě a bezpečné nasazení“ na stránce 18.)
- Povolte a/nebo nakonfigurujte příslušné bezpečnostní funkce na každém bezpečnostním ovladači XS/SC26-2. (Viz „Zabezpečení
Schopnosti“ na straně 11.) - Na každém bezpečnostním ovladači XS/SC26-2 nastavte každé podporované heslo na silnou hodnotu. (Viz „Heslo/PIN
Správa“ na straně 13.) - Vylepšete konfiguraci každého bezpečnostního ovladače XS/SC26-2 a deaktivujte nepotřebné funkce, protokoly a porty.
(Viz „Zpevnění konfigurace“ na straně 15.) - Otestujte / kvalifikujte systém.
- Vytvořte plán aktualizace/údržby.
POZNÁMKA: Zabezpečené nasazení je pouze jednou součástí robustního bezpečnostního programu. Tento dokument, včetně tohoto kontrolního seznamu, je omezen pouze na poskytování pokynů k bezpečnému nasazení. Další informace o bezpečnostních programech obecně naleznete v části „Další pokyny“ na straně 21.
Požadavky na komunikaci
Komunikace mezi různými částmi řídicího systému je a musí být podporována. Bezpečnost řídicího systému však lze zvýšit omezením povolených protokolů a cest, kterými jsou povoleny, pouze na to, co je potřeba.
Toho lze dosáhnout deaktivací všech komunikačních protokolů, které nejsou na konkrétním zařízení potřeba, a použitím vhodně nakonfigurovaných a nasazených síťových bezpečnostních zařízení (např.ampfirewally a směrovače) k blokování každého protokolu (ať už vypnutého nebo ne), který nepotřebuje přecházet z jedné sítě/segmentu do druhé.
Společnost Banner Safety doporučuje omezit protokoly povolené síťovou infrastrukturou na minimální sadu požadovanou pro zamýšlenou aplikaci. Úspěšné provedení vyžaduje vědět, který protokol je potřebný pro každou interakci na úrovni systému.
Tato část popisuje, jak jsou podporované sériové a ethernetové aplikační protokoly používány bezpečnostními řídicími jednotkami Banner, a uvádí roli každého účastníka v komunikaci. Ethernetové protokoly nižší úrovně zde nejsou diskutovány, ale místo toho se předpokládá, že jsou podporovány v případě potřeby aplikačním protokolem.
Tyto informace slouží jako vodítko při specifikaci síťové architektury a na pomoc při konfiguraci firewallů uvnitř této sítě, aby podporovaly pouze požadované komunikační cesty pro jakoukoli konkrétní instalaci.
Podporované protokoly
Ethernetové protokoly
Následující tabulka uvádí, které ethernetové protokoly jsou podporovány bezpečnostními řídicími jednotkami Banner XS/SC26-2. Upozorňujeme, že některé z podporovaných protokolů nemusí být v daném systému vyžadovány, protože instalace může používat pouze podmnožinu dostupných protokolů.
Tabulka 1. Podporované ethernetové protokoly
| Protokol | XS/SC26-2 | |
| Odkaz | ARP | x |
| Internet | IPv4 | x |
| IGMP | x | |
| ICMP | x | |
| Doprava | TCP | x |
| UDP | x | |
| Aplikace | Modbus TCP®(1) | x |
| Ethernet/IP™(2) | x |
- Modbus® je registrovaná ochranná známka společnosti Schneider Electric USA, Inc.
- EtherNet/IP™ je ochranná známka společnosti ODVA, Inc.
Pokračování ze stránky 7
| Protokol | XS/SC26-2 | |
| PROFINET®(1) | x | |
| TLS 1.2 | x |
Protokoly USB
Kromě ethernetové komunikace podporují bezpečnostní řídicí jednotky XS/SC26-2 komunikaci přes přímé připojení USB.
Tabulka 2. Podporované protokoly USB
| Protokol | XS/SC26-2 | |
| Aplikace | USB Communications Device Class (CDC) s ovladačem pro konkrétní aplikaci | x |
Aplikační protokol XS/SC26-2
Aplikační protokol XS/SC26-2 je proprietární protokol, který poskytuje přístup ke službám podporovaným XS/
Bezpečnostní řídicí jednotky SC26-2. Toto je jediný protokol používaný softwarem bezpečnostního ovladače Banner při komunikaci s bezpečnostním ovladačem XS/SC26-2.
Aplikační protokol XS/SC26-2 podporuje mnoho různých operací, včetně následujících:
- Nahrajte / stáhněte potvrzenou konfiguraci
- Potvrďte novou konfiguraci
- Resetujte bezpečnostní ovladač na výchozí tovární nastavení
- Povolit a nakonfigurovat síťové rozhraní
- Sledujte živou aplikaci
- Nakonfigurujte uživatelský přístup a hesla bezpečnostního ovladače
- View a vymažte (volitelně) protokol všech závad, které se v ovladači vyskytly
- Resetujte bezpečnostní ovladač na výchozí tovární nastavení
- View konfigurační protokol
Aplikační protokol XS/SC26-2 je přenášen přes přímé připojení USB 2.0 CDC pomocí standardního kabelu kompatibilního s USB 2.0 nebo přes připojení Ethernet TLS 1.2.
XS/SC26-2 Discovery Protocol
Protokol XS/SC26-2 Discovery je proprietární protokol, který umožňuje softwaru Banner Safety Controller lokalizovat bezpečnostní řídicí jednotky XS/SC26-2 v místní síti v rámci zóny zabezpečení. XS/SC26-2 Discovery Protocol je založen na vysílání UDP. Protože je Discovery Protocol založen na vysílání UDP, nebude dostupný mimo bezpečnostní zónu nebo LAN, ke které je řadič připojen. Protokol Discovery také není dostupný napříč sítěmi VLAN.
Ethernetové servery
Tato část shrnuje dostupné funkce zaměřené na ethernetovou komunikaci, kde je komunikace zahájena jiným zařízením nebo počítačem.
Tabulka 3. Možnosti serveru XS/SC26-2
| Funkčnost | Požadované aplikační protokoly | Example Klienti | |
| Ethernet | PROFINET | PROFINET | Ostatní ovladače |
Pokračování ze stránky 8
| Funkčnost | Požadované aplikační protokoly | Example Klienti | |
| Modbus TCP Server | ModBus TCP | Ostatní ovladače | |
| Ethernet/IP | Ethernet/IP | Ostatní ovladače | |
| Živý režim a server vzdálené konfigurace | Aplikační protokol XS/SC26-2 | Software Banner Safety Controller (PCI) | |
| Discovery Server | XS/SC26-2 Discovery Protocol | Software Banner Safety Controller (PCI) |
Konfigurace ethernetové brány firewall
Nakonfigurujte síťové a hostitelské brány firewall tak, aby umožňovaly pouze očekávaný a požadovaný síťový provoz.
Tato část identifikuje EtherTypes a porty TCP/UDP používané protokoly podporovanými bezpečnostními řídicími jednotkami XS/SC26-2.
Tyto informace vám pomohou nakonfigurovat síťové brány firewall tak, aby podporovaly pouze požadované komunikační cesty pro jakoukoli konkrétní instalaci.
Protokoly nižší úrovně
Ethernetová komunikace je typicky popsána pomocí čtyř vrstev, z nichž každá má svou vlastní sadu protokolů. Na vrcholu této hierarchie je aplikační vrstva. Pod aplikační vrstvou jsou vrstvy Transport, Internet a Link.
Informace o podporovaných protokolech z těchto tří nižších vrstev jsou shrnuty v následujících tabulkách
Tabulka 4. Protokoly propojovací vrstvy
| Protokol | Etherový typ |
| Address Resolution Protocol (ARP) | 0 × 0806 |
| PROFINET | 0 × 8892 |
Tabulka 5. Internet Layer Protocols
| Protokol | EtherType | IP protokol # |
| Internetový protokol verze 4 (IPv4) | 0 × 0800 | (není k dispozici) |
| Protokol pro internetovou kontrolní zprávu (ICMP) | 0 × 0800 | 1 |
| Internet Group Management Protocol (IGMP) | 0 × 0800 | 2 |
Tabulka 6. Protokoly transportní vrstvy
| Protokol | EtherType | IP protokol # |
| Transmission Control Protocol (TCP) | 0 × 0800 | 6 |
| Uživatel Datagram protokol (UDP) | 0 × 0800 | 17 |
Každý z těchto protokolů nižší úrovně je vyžadován jedním nebo více aplikačními protokoly podporovanými bezpečnostními řídicími jednotkami XS/SC26-2.
Protokoly aplikační vrstvy
Následující tabulka uvádí čísla portů TCP a UDP pro protokoly aplikační vrstvy podporované bezpečnostními řídicími jednotkami XS/SC26-2.
Tabulka 7. Protokoly aplikační vrstvy
| Protokol | TCP port | Port UDP | XS/SC26-2 |
| ModBus TCP | 502 | x | |
| PROFINET | 3496449152 | x | |
| ETHERNET/IP | 44818 | 222244818 | x |
| Aplikační protokol XS/SC26-2 | 63753 | x | |
| XS/SC26-2 Discovery Protocol | 63754 | x |
Bezpečnostní schopnosti
Tato část popisuje možnosti a bezpečnostní funkce bezpečnostního ovladače XS/SC26-2. Využijte možnosti a funkce zabezpečení jako součást strategie ochrany do hloubky k zabezpečení svého řídicího systému.
Schopnosti podle produktu
Tato část poskytuje shrnutí view podporovaných bezpečnostních funkcí.
Tabulka 8. Možnosti zabezpečení
| Bezpečnostní schopnosti | XS/SC26-2 |
| Předdefinovaná sada Předmětů a Přístupových práv | x |
| Seznam řízení přístupu | x |
Tato část popisuje funkce řízení přístupu podporované bezpečnostními řídicími jednotkami XS/SC26-2, které zahrnují jejich možnosti autorizace.
Proces kontroly přístupu lze rozdělit do dvou fází:
- Definice – Určení přístupových práv pro každý subjekt (dále jen Autorizace)
- Vynucení – Schválení nebo zamítnutí žádosti o přístup
Definování přístupových práv pro každý subjekt znamená, že systém musí mít nějaké prostředky k identifikaci každého subjektu. Nejznámějším způsobem, jak toho dosáhnout, je přiřazení jedinečného ID uživatele každé osobě, která bude přistupovat do systému.
Bezpečnostní řídicí jednotky XS/SC26-2 však takové zařízení neposkytují – neexistuje žádná podpora pro vytváření dalších uživatelských ID. Pro ověření nemusí být ani zadáno ID uživatele. V tomto případě je autorizace založena na používané funkci a hesle, které je poskytnuto pro ověření. Funkce ověřování podporované bezpečnostními řídicími jednotkami XS/SC26-2 však implicitně definují pevnou sadu subjektů, které jsou zde identifikovány.
Předměty definované a podporované serverovým protokolem XS/SC2 6-2 Safety Controllers jsou uvedeny v následující tabulce.
Tabulka 9. Předměty dostupné u bezpečnostních ovladačů XS/SC26-2
| Funkčnost | Aplikační protokol | Předměty k dispozici | |
| USB | Požadavky na konfiguraci a živé sledování | USB aplikace | Anonymní Uživatel 1 Uživatel 2 Uživatel 3 |
Pokračování ze stránky 11
| Funkčnost | Aplikační protokol | Předměty k dispozici | |
| Ethernet | Požadavky na živé sledování | Aplikační protokol XS/SC26-2 | Anonymní Uživatel 1 Uživatel 2 Uživatel 3 |
| Požadavky na konfiguraci | Aplikační protokol XS/SC26-2 | Uživatel 1 Uživatel 2 Uživatel 3 |
Určení přístupových práv
Pro každý subjekt poskytují bezpečnostní řídicí jednotky XS/SC26-2 předdefinovaná přístupová práva. V některých případech lze tato přístupová práva částečně omezit, zatímco v jiných případech je buď nelze změnit vůbec, nebo je lze zrušit pouze deaktivací přidruženého serveru/protokolu.
Tabulka 11. Přístupová práva k bezpečnostním řídicím jednotkám XS/SC26-2
| Funkčnost | Aplikační protokol | Předměty k dispozici | |
| Ethernet | PROFINET Server | PROFINET | Anonymní |
| Modbus TCP Server | ModBus TCP | Anonymní | |
| ETHERNET/IP server | Ethernet/IP | Anonymní |
Klíč:
A = Kontrola přístupu
R = Číst
W = Napsat
D = Smazat/vymazat
Uživatel 1 má možnost zakázat jakémukoli subjektu čtení nebo zápis konfigurace aplikace a/nebo konfigurace sítě. Pouze uživatel 1 může resetovat ovladač na tovární nastavení
Vynucení
Bezpečnostní řídicí jednotka XS/SC26-2 vynucuje přístupová práva k datům a službám, které poskytuje. XS/
Bezpečnostní řídicí jednotka SC26-2 zajišťuje, že konfiguraci aplikace a sítě může aktualizovat pouze uživatel s přístupovými právy k zápisu konfigurace aplikace.
Fyzický přístup: Bezpečnostní řídicí jednotka XS/SC26-2 vyžaduje fyzický nebo síťový přístup k řídicí jednotce, aby bylo možné změnit konfiguraci aplikace, aplikační logiku a/nebo přepsat/vynutit aplikační data. Chcete-li bezpečnostní ovladač zabezpečit, omezte fyzický přístup k němu umístěním ovladače do bezpečného fyzického prostředí, jako je například uzamčená skříň.
Správa hesel/PINů
Bezpečnostní řídicí jednotka XS/SC26-2 má sadu předdefinovaných předmětů. Hesla pro každý subjekt musí být explicitně spravována. Software Banner Safety Controller vynucuje jedinečná hesla pro každý subjekt.
Bezpečnostní ovladač XS/SC26-2 vyžaduje pro přístup k USB kód PIN, který obsahuje 4 číslice.
Pro přístup k síti Ethernet vyžaduje bezpečnostní řídicí jednotka XS/SC26-2 heslo o délce 8 až 31 znaků. Heslo musí obsahovat kombinaci následujících položek:
- Velká písmena
- Malá písmena
- Alespoň jedno číslo
- Alespoň jeden speciální znak
Kromě toho musí být všechna hesla v rámci jednoho bezpečnostního ovladače jedinečná pro uživatele 1, uživatele 2 a uživatele 3.
Všechna tato omezení jsou vynucována řídicí jednotkou a softwarem Banner Safety Controller při použití přes Ethernet.
Společnost Banner Safety důrazně doporučuje používat složitá hesla všude tam, kde se hesla používají k ověřování.
Tabulka 12. Autentizace Podporováno bezpečnostním ovladačem XS/SC26-2
| Funkčnost | Ověřené subjekty | Jak se přidělují hesla |
| Požadavky na konfiguraci | Uživatel 1 Uživatel 2 Uživatel 3 |
Uživatel 1 tato hesla ovládá. |
Podrobnější informace o přidělování těchto hesel naleznete v uživatelské příručce XS/SC26-2 (p/n 174868).
Komunikační protokoly
Některé komunikační protokoly poskytují funkce, které pomáhají chránit data, když jsou „v letu“ – aktivně se pohybují po síti.
Mezi nejčastější z těchto funkcí patří:
- Šifrování – chrání důvěrnost přenášených dat.
- Ověřovací kódy zpráv – Zajišťuje autenticitu a integritu zprávy kryptografickou detekcí zprávy.amperování nebo padělání. Tím je zajištěno, že data pocházela z očekávaného zdroje a nebyla od přenosu změněna, bez ohledu na to, zda byla či nebyla škodlivá.
V současné době poskytuje obě tyto funkce pouze aplikační protokol XS/SC26-2 při použití přes Ethernet. Jiné komunikační protokoly podporované bezpečnostními řídicími jednotkami XS/SC26-2 neposkytují žádnou z těchto funkcí, jak je podrobně uvedeno v následujících tabulkách. Proto může být vyžadováno kompenzační řízení, aby byly splněny bezpečnostní požadavky instalace na ochranu dat za letu.
Tabulka 13. Protokolem poskytované funkce zabezpečení na bezpečnostních řídicích jednotkách XS/SC26-2
| Protokol | Šifrování dat | Kódy ověřování zpráv | |
| USB | Aplikační protokol XS/SC26-2 | N | N |
| Ethernet | Aplikační protokol XS/SC26-2 | Y | Y |
| XS/SC26-2 Discovery Protocol | N | N |
Tabulka 14. Protokolem poskytované možnosti zabezpečení na průmyslových protokolech založených na Ethernetu XS/SC26-2
| Protokol | Šifrování dat | Kódy ověřování zpráv | |
| Ethernet | PROFINET | N | N |
| ModBus TCP | N | N | |
| Ether Net/IP | N | N |
Protokolování a auditování
Bezpečnostní řídicí jednotky XS/SC26-2 neposkytují vyhrazený protokol zabezpečení zabudovaný do řídicí jednotky.
Bezpečnostní řídicí jednotka XS/SC26-2 však zaznamenává události aktualizace konfigurace do malé tabulky konfiguračních protokolů (10 položek). Každý záznam obsahuje čas a datum, kdy byla konfigurace potvrzena, s použitím data a času změny konfigurace, jak je uloženo na PC. Součástí je také název konfigurace a potvrzení Cyclic Redundancy Check (CRC).
View tento konfigurační protokol pomocí softwaru Banner Safety Controller. Protokol je pouze pro čtení a nelze jej resetovat ani exportovat z řídicí jednotky. Resetování ovladače na výchozí tovární hodnoty také vygeneruje záznam v tabulce protokolu.
Bezpečnostní řídicí jednotka XS/SC26-2 má také protokol poruch. Většina událostí, které jsou zaznamenány v protokolu chyb bezpečnostního ovladače XS/SC26-2, představuje funkční problémy, jako jsou selhání hardwaru a neočekávané operace firmwaru. I když tyto nejsou specifické pro zabezpečení, mohou poskytnout informace, které jsou užitečné během auditu zabezpečení. Po odpojení napájení z bezpečnostního ovladače se protokoly poruch neuchovávají. View protokol poruch buď prostřednictvím softwaru Banner Safety Controller nebo na palubním displeji
Zpevnění konfigurace
Tato část poskytuje informace, které lze použít ke zpevnění konfigurace produktů XS/SC26-2, které jsou přítomny v konkrétní instalaci, aby pomohla snížit potenciál potenciálního útoku.
Kromě aktivace a používání funkcí zabezpečení, jako je ověřování, řízení přístupu a autorizace, zvažte zesílení konfigurace.
Společnost Banner Safety doporučuje deaktivovat všechny porty, služby a protokoly, které zamýšlená aplikace nevyžaduje. Udělejte to na každém produktu XS/SC26-2.
Bezpečnostní ovladač
Použijte informace v této části při upevňování konfigurace bezpečnostního ovladače XS/SC26-2. Zvažte tyto možnosti při konfiguraci jakéhokoli bezpečnostního ovladače XS/SC26-2, který je podporuje.
Tato nastavení jsou specifikována v hardwarové konfiguraci, která je stažena do XS/SC26-2Safety Controller.
USB port, integrované rozhraní a fyzický přístup
Chcete-li snížit potenciál potenciálního útoku, omezte fyzický přístup k portu USB a rozhraní na desce omezením fyzického přístupu k bezpečnostnímu ovladači.
Toho lze dosáhnout umístěním bezpečnostního ovladače do fyzicky bezpečného prostředí, jako je například uzamčená skříň
Rozhraní Ethernet
Použijte informace v této části při upevňování konfigurace ethernetového rozhraní bezpečnostního ovladače XS/SC26-2. Při konfiguraci jakéhokoli rozhraní XS/SC26-2 Ethernet zvažte tato nastavení.
Pokud vaše nasazení nepotřebuje přístup k zařízením, která nejsou v síti řízení procesů, mělo by být směrování zakázáno nastavením IP adresy brány na všechny nuly:
Tabulka 15. Zakázání směrování IP
| Servis | Název parametru | Hodnota |
| IP směrování | Adresa IP brány | 0.0.0.0 |
Tato nastavení jsou specifikována v hardwarové konfiguraci, která je stažena do bezpečnostního ovladače XS/SC26-2.
Ethernetové rozhraní lze také zcela deaktivovat pomocí softwaru Banner Safety Controller.
Další informace o těchto parametrech naleznete v uživatelské příručce bezpečnostního ovladače XS/SC26-2 (p/n 174868)
Síťová architektura a bezpečné nasazení
Tato část poskytuje bezpečnostní doporučení pro nasazení bezpečnostního ovladače XS/SC26-2 v kontextu větší sítě
Referenční architektura
Následující obrázek znázorňuje referenční nasazení bezpečnostních řídicích jednotek XS/SC26-2.
Obrázek 1. Referenční síťová architektura
Sítě výrobní zóny (které zahrnují sítě výrobních operací, dohledu a řízení procesů) jsou odděleny od ostatních nedůvěryhodných sítí, jako je podniková síť (také označovaná jako obchodní síť, podniková síť nebo intranet) a internet pomocí demilitarizovaného Zónová (DMZ) architektura. Sítě řízení procesů jsou omezeně vystaveny provozu ze sítí vyšší úrovně, včetně jiných sítí ve výrobní zóně, a také z jiných sítí řízení procesů.
Vzdálený přístup a demilitarizované zóny (DMZ)
Architektura DMZ používá dva firewally k izolaci serverů, které jsou přístupné z nedůvěryhodných sítí. DMZ by měla být nasazena tak, aby byla povolena pouze specifická (omezená) komunikace mezi obchodní sítí a DMZ a mezi řídicí sítí a DMZ. V ideálním případě by obchodní síť a řídicí síť neměly spolu přímo komunikovat.
Pokud je vyžadována přímá komunikace do řídicí sítě z obchodní sítě nebo z internetu, pečlivě kontrolujte, omezujte a sledujte veškerý přístup. Napřampvyžaduje dvoufaktorovou autentizaci, aby uživatel získal přístup k řídicí síti pomocí virtuální privátní sítě (VPN), a dokonce i poté omezil povolené protokoly/porty na minimální požadovanou sadu. Dále by měl být každý pokus o přístup (úspěšný či neúspěšný) a veškerý zablokovaný provoz zaznamenán v bezpečnostním protokolu, který je pravidelně auditován.
Přístup k sítím řízení procesů
Ethernetový provoz ze sítě Supervisory Control do sítí Process Control by měl být omezen tak, aby podporoval pouze požadované funkce.
Pokud však mezi těmito oblastmi není nutné používat konkrétní protokol (například Modbus TCP), nakonfigurujte bránu firewall tak, aby tento protokol blokovala. Kromě blokování brány firewall, pokud řadič nemá jiný důvod, proč musí tento protokol používat, nakonfigurujte samotný řadič tak, aby podporu protokolu zakázal.
POZNÁMKA: Brány firewall pro překlad síťových adres (NAT) obvykle nevystavují všechna zařízení na „důvěryhodné“ straně brány firewall zařízením na „nedůvěryhodné“ straně brány firewall. Firewally NAT dále spoléhají na mapování IP adresy/portu na „důvěryhodné“ straně firewallu na jinou IP adresu/port na „nedůvěryhodné“ straně firewallu. Protože komunikace s bezpečnostní řídicí jednotkou XS/SC26-2 bude obvykle zahájena z počítače na „nedůvěryhodné“ straně síťového firewallu Process Control, může ochrana sítě Process Control pomocí firewallu NAT způsobit další komunikační problémy. Před nasazením NAT pečlivě zvažte jeho dopad na požadované komunikační cesty.
Další úvahy
Správa konfigurace
Strategie pro aplikaci oprav zabezpečení, včetně změn konfigurace, by měla být zahrnuta do plánu zabezpečení zařízení. Použití těchto aktualizací často vyžaduje, aby byl dotčený bezpečnostní ovladač XS/SC26-2 dočasně vyřazen z provozu. Některé instalace vyžadují rozsáhlou kvalifikaci a/nebo uvedení do provozu před nasazením změn do produkčního prostředí. I když je tento požadavek nezávislý na zabezpečení, zajištění schopnosti rychle aplikovat bezpečnostní opravy a zároveň minimalizovat prostoje, může vést k potřebě další infrastruktury, která by pomohla s touto kvalifikací.
Komunikace v reálném čase
Při navrhování architektury sítě je důležité pochopit, jaký dopad budou mít zařízení na ochranu sítě (jako jsou firewally) na charakteristiky komunikačního provozu v reálném čase, který jimi musí procházet.
V důsledku toho mohou síťové architektury, které vyžadují komunikaci v reálném čase, aby procházela takovými zařízeními, omezovat aplikace, které lze úspěšně nasadit.
Další pokyny
Pokyny specifické pro protokol
Orgány pro normalizaci protokolů mohou zveřejnit pokyny, jak bezpečně zavést a používat jejich protokoly. Tato dokumentace, pokud je k dispozici, by měla být považována za doplněk k tomuto dokumentu
Vládní agentury a normalizační organizace
Vládní agentury a mezinárodní normalizační organizace mohou poskytnout pokyny k vytvoření a udržování robustního bezpečnostního programu, včetně toho, jak bezpečně nasadit a používat řídicí systémy.
NapřampMinisterstvo vnitřní bezpečnosti USA zveřejnilo pokyny k návrhu bezpečné architektury a doporučeným postupům pro kybernetickou bezpečnost s řídicími systémy. Taková dokumentace, je-li to vhodné, by měla být zvážena jako doplněk k tomuto dokumentu. Podobně International Society of Automation publikuje specifikace ISA-99, aby poskytla návod na vytvoření a provozování programu kybernetické bezpečnosti, včetně doporučených technologií pro průmyslovou automatizaci a řídicí systémy.
Kontaktujte nás
Sídlo společnosti Banner Engineering Corp. se nachází na adrese: 9714 Tenth Avenue North | Minneapolis, MN 55441, USA | Telefon: + 1 888 373 6767
Celosvětová umístění a místní zástupce naleznete na adrese www.bannerengineering.com. 
Dokumenty / zdroje
 |
Bezpečné nasazení bezpečnostních ovladačů BANNER SC26-2 [pdfUživatelská příručka Bezpečnostní řídicí jednotky SC26-2 Secure Deployment, SC26-2, Safety Controllers Secure Deployment, Controllers Secure Deployment, Secure Deployment, Deployment |