Jak bezpečně připojit stroj do podnikové Ethernet sítě pomocí zařízení Microwall VPN

Stroje používané ve výrobě pracují často ve starších verzích operačních systémů. Na jejich funkci to nemá vliv, ale mohou být snadno zranitelné v případě, že se začne sítí šířit vir, na který není starší OS připraven. V naší praktické ukázce si předvedeme, jak jednoduše zajistit bezpečnost u starší CNC frézky.

Řídicí počítač CNC frézky používá Windows 7 v poslední verzi aktualizace. Protože Microsoft ukončil rozšířenou podporu tohoto operačního systému v roce 2020, je vhodné preventivně ošetřit bezpečnou integraci frézky v síti.

Průmyslový firewall Microwall VPN je jednoduchý 2portový firewall, který funguje na principu whitelistu. Whitelist je jednoduše opakem blacklistu. To znamená, že všechna povolená připojení musí být výslovně schválena. Filtr propustí přes definovaný port jen to, co si sami nadefinujete, zbytek odmítne. Všechny nepotřebné porty zůstanou uzavřené.

Proč je potřeba stroj zabezpečit?

V roce 2017 si vyděračský software WannaCry proklestil cestu sítěmi a médii po celém světě. Zneužil zranitelnost ve sdílení souborů a tiskáren v sítích Windows. Zároveň demonstroval potenciální nebezpečí vyplývající z provozu neopodstatněných síťových služeb. Říkáte si, že stačí deaktivovat nadbytečné služby. Ne vždy je ale jasné, které služby jsou mezi dílčími komponentami systému skutečně potřeba.

Začínáme analýzou

Porty řídicího počítače CNC frézky podrobně zmapujeme např. nástrojem nmap [Příklad zde: Finding Open Ports in the Network]. Software v našem případě odhalil dvanáct otevřených portů, na které lze přistoupit přes síť, včetně webového serveru. Při druhé intenzivní kontrole bylo nalezeno celkem 24 otevřených TCP portů. Starší nenakonfigurovaný webový server 7.5 obsahuje známé chyby zabezpečení, které mohou vést ke vzdálenému spuštění kódu. Přes něj by případný útočník mohl v síti spouštět libovolné programy. Přitom analýza ukazuje, že webový server neposkytuje nic jiného než informační stránku, takže je pravděpodobně stejně nadbytečný jako ostatní otevřené porty. Pro bezpečný provoz CNC frézky bude tedy ideální zařízení izolovat prostřednictvím Microwall VPN.

Nastavujeme zařízení Microwall VPN

Krok 1: Určíme provozní režim a nezbytná pravidla pro firewall

Aby byla konfigurace co nejjednodušší, spouštíme Microwall v režimu NAT. Microwall přebírá v síti roli řídicího počítače CNC frézky. V praxi je pouze jeden případ, kdy má frézka komunikovat přes síť, a to pokud je třeba získat přístup k výrobním datům. Pak je nutné povolit přístup k souborovému systému od firemního MES systému pro správu výroby. Všechna ostatní připojení jsou zařízením Microwall VPN zablokována.

MES systém neprovádí s frézkou žádnou další činnost, takže mohou být veškerá síťová příchozí připojení na CNC frézku zcela zablokována. Verze souborového serveru, která má umožnit přístup k programu CNC, je známá a jednoznačná. Protože známe IP adresu souborového serveru, není nutné žádné rozlišování jmen. Navíc zařízení Microwall VPN umí vyhledat počítače v síti, stejně jako dostupné síťové protokoly. Například transportní protokoly NetBIOS a porty 137, 138 a 139 lze ignorovat a dokonce blokovat. Pro automatické aktualizace času by mohl být povolen port 123 UDP a pro překlad jmen prostřednictvím DNS port 53 UDP. Protože však ani tyto funkce nejsou pro fungování frézky potřebné, zůstávají rovněž blokovány.

O správu sítě se stará IT oddělení, takže porty pro automatické aktualizace zůstávají uzavřeny. V opačném případě bychom museli povolit připojení TCP k serveru WSUS (Windows Server Update Services).

Počítač s MES systémem potřebuje pouze navázat připojení k IP adrese frézky a k jejím souborům. Dotaz jde z jednoznačné IP adresy a na jednoznačný cílový port a IP adresu. Vzhledem k tomu, že tato komunikace probíhá přes TCP, je zpětný kanál přímo zahrnut do připojení. Zadáním jediného pravidla je frézka trvale zabezpečena. Zároveň je zajištěna její funkce výměny dat s firemním MES systémem.

Krok 2: Konfigurace IP adres

Zařízení Microwall VPN má dva Ethernet porty, jeden pro izolovanou strojní Ethernet síť a druhý pro podnikovou Ethernet síť. Oba porty je třeba nastavit.

    1. Zadání názvu sítě (Network name) usnadní IT správci pozdější přiřazení pravidel.
    2. Pro podnikovou síť (port WAN – network 1) je převzata původní konfigurace IP řídicího počítače (tj. 10.10.10.20). Kromě HW adresy se v okolní síti nic nemění.
    3. Na ostrovní strojní síti (port LAN – network 2) volíme pro větší pohodlí klasickou síť 192.168.1.0/24. Pro tuto síť funguje zařízení Microwall  jako výchozí brána a je jí přidělena adresa 192.168.1.1.

    Nakonfigurujeme IP adresu CNC počítače: Řídicí počítač CNC frézky obdrží IP adresu 192.168.1.10. Výchozí bránou je Microwall s IP adresou 192.168.1.1.

    Nastavíme pravidlo brány firewallu pro přístup k souborovému serveru: V posledním kroku zajistíme, aby byl CNC počítač s IP adresou 192.168.1.10 schopen navázat TCP spojení přes port 445 s produkčním datovým MES serverem s IP adresou 10.10.10.100.

    Krok 3: Vyzkoušíme v provozu

    Zkušební provoz trvající několik týdnů ukazuje, že frézka funguje jako obvykle, vše je tedy v pořádku.

    Shrňme si stručně přínosy

    Díky zařízení Microwall VPN je možné CNC frézku během několika minut izolovat ve vlastním segmentu Ethernet sítě. Pro zajištění funkčnosti stačí zadat = povolit jedno pravidlo firewallu. 

    Doporučené produkty1