{{{sourceTextContent.title}}}

Los interruptores industriales de Ethernet realzan la seguridad en ningún coste - parte 2 del Cyber

{{{sourceTextContent.subTitle}}}

Si usted es un PLCs programado más cómodo que ejecutando medidas de seguridad del cyber esta serie de blogs está para usted

{{{sourceTextContent.description}}}

Su meta es darle una descripción de las funciones de la seguridad incorporadas a los dispositivos de la red así que usted puede ejecutar los que son apropiados para su uso.

En el primer blog, discutí brevemente la defensa profundizada y cómo es importante ejecutar tipos múltiples de defensas en diversos puntos en la red del control. Esta mejor práctica maximiza la protección contra incidentes de la seguridad del cyber, si son accidentales o intencionales.

Las maneras también miradas de la parte 1 en de controlar el acceso a los dispositivos específicos, tales como Ethernet industrial cambian. ¿En hoy? blog de s, miramos maneras de controlar los tipos de mensajes cualquier dispositivo o la computadora puede enviar o recibir en una red.

Autentificación y seguridad del puerto

¿En la categoría de? ¿controles básicos, pero fácilmente pasados por alto? es la materia simple de apagar o de inhabilitar los puertos inusitados en los dispositivos manejados de la red. Esto evita que los usuarios desautorizados o los dispositivos conecten con la red.

¿Ahora, deje? s considera otros medios del acceso de red. Esto es generalmente controlado usando una autentificación 802.1x llamado estándar. ¿? ¿x? refiere a diversas secciones del estándar.

Hay puestas en práctica numerosas de este estándar, el más común cuyo es el protocolo del RADIO.

802.1x define estos papeles:

Supplicant: El dispositivo que quiere el acceso a la red.

Authenticator: Un dispositivo en la red, tal como un interruptor que permite o bloquea mensajes del supplicant. Utiliza la información del servidor de la autentificación (tal como un servidor del RADIO) para determinar independientemente de si aceptar transmisiones del supplicant. ¿El RADIO permite el acceso dependiendo de las credenciales de la conexión de un dispositivo o del dispositivo? MAC address de s.

¿Si la conexión no es posible? ¿por ejemplo el caso con el IO, la impulsión o el otro dispositivo que no tiene un dispositivo del interfaz utilizador para entrar en las credenciales de la conexión? ¿entonces el dispositivo? se utiliza el MAC address de s. Para facilitar la facilidad del reemplazo, los primeros tres octetos que se utilizan para identificar el fabricante pueden ser utilizados. Por ejemplo, todos los dispositivos de la red vendidos por Schneider Electric tienen los mismos primeros tres octetos en sus direcciones del MAC.

¿Si está configurado para permitir tráfico a y desde las direcciones del MAC que contienen a Schneider? s primer tres octetos, entonces usted tiene una regla del acceso de red que permita todos los dispositivos eléctricos de Schneider. Si un PLC falla, usted puede substituirlo por uno del mismo fabricante y será permitido transmitir los paquetes enseguida. Todo el tráfico de los dispositivos no conformes será bloqueado.

Los medios adicionales de desplegar seguridad en una red existente son aprovecharse de la seguridad portuaria, que permite que un usuario defina el MAC o el IP address de un dispositivo permitido conectar con un puerto dado. La capacidad de no prohibir a acceso por el campo común primero tres octetos o gamas de IP address permite el reemplazo y el despliegue fáciles del dispositivo. Cualquier violación puede trabarse abajo del puerto y accionar una alarma (salida del relais y/o trampa del SNMP).

Prevención de ataques DHCP-Basados de la red

Los servidores del DHCP distribuyen parámetros de la configuración de red, tales como IP address, para los interfaces y los servicios. Aquí están algunos tipos de ataques que apunten comunicaciones del DHCP:

¿Agregando otro servidor del DHCP a la red que distribuye IP address falsos? ¿El spoofing del servidor del DHCP?

¿Petición de todos los IP address disponibles? ¿Ataque del agotamiento del DHCP?

¿Asumir el control el IP address de un dispositivo existente? ¿Hijacking del IP address?

Tales ataques se pueden prevenir cerca:

Aceptar solamente los paquetes del servidor del DHCP de puertos confiados en

Comparar la dirección del hardware del cliente en las tablas del DHCP con el MAC address de la fuente del paquete

¿Comparar comunicaciones del lanzamiento del DHCP de puertos untrusted con los ajustes en? ¿tabla de los atascamientos?

La tabla de los atascamientos es una tabla que correlaciona las direcciones del IP y del MAC de dispositivos. Si alguien está secuestrando un IP address, la tabla de los atascamientos demostrará que el MAC address del secuestrador no es lo que se supone para ser.

¿Algunos dispositivos de la red, tales como interruptores industriales de Ethernet de Hirschmann con el sistema operativo de Hirschmann (HiOS) proporcionan el IP address adicional spoofing con una capacidad llamada? ¿Protector de la fuente del IP.? Cuando un paquete del IP se recibe en un puerto untrusted, se compara con las entradas en las tablas obligatorias. Si el IP address de la fuente no está situado en el puerto, u opcionalmente si el MAC address de la fuente no está situado en el puerto, se desecha el paquete.

Listas de control de acceso

Otra manera de regular el acceso y el tráfico de red es utilizar la característica del Access Control List (ACL) común en interruptores y ranuradores. Esta característica filtra los paquetes IPv4 basados en un número de parámetros, tales como fuente e IP address de la destinación. ACLs puede también filtrar los marcos de Ethernet basados en criterios, incluyendo la fuente y el MAC address de la destinación.

ACLs y los cortafuegos pueden filtrar encendido:

Fuente y dirección de destinación

Fuente y puerto de destinación

Protocolo

¿Allí es, sin embargo, una diferencia principal entre ellos? solamente los cortafuegos pueden hacer la inspección de Stateful. En resumen, la inspección de Stateful implica el interpretar de una comunicación usando datos del intercambio de información anterior. Esto incluye las cosas como las cuales el dispositivo comenzó la sesión, que el dispositivo por último enviado un mensaje y era el mensaje pasado rechazado debido a error.

Mientras que ACLs evalúa un paquete basado en su evaluación en tiempo real de él, los cortafuegos miran intercambios de información más grandes del cuadro y después determinan qué comunicaciones son válidas y cuáles no son.

Aunque ACLs proporciona un pedazo del rompecabezas de la seguridad del cyber, no substituyen cortafuegos.

{{medias[5367].title}}

{{medias[5367].description}}

{{medias[5368].title}}

{{medias[5368].description}}

{{medias[5369].title}}

{{medias[5369].description}}