Doporučení k zajištění zabezpečení PC a organizační opatření, aby všechny počítače používané v prostředí automatizačního řešení byly chráněny před operacemi souvisejícími se zabezpečením.
Používání nejnovější verze software, např. software pro týmové inženýrství, operační systém atd.
V této druhé části si vysvětlíme přesměrování portů u FL MGUARD a jak je nakonfigurovat.
Routy, trasy. Když zařízení pracuje v režimu routeru, funguje jako brána mezi různými podsítěmi. Použití statických nastavení tras umožňuje zařízení dosáhnout síťových cílů, které jsou pro výchozí bránu neznámé. K těmto cílům mohou přistupovat i připojení síťoví klienti, kteří zařízení používají jako svou výchozí bránu.
Router může směrovat data mezi dvěma síťovými rozhraními zařízení (síťovými zónami), ale ve výchozím nastavení z výroby je datový provoz ze síťové zóny 1 do síťové zóny 2 blokován firewallem.
Datový provoz však lze realizovat v různých zónách s následujícím nastavením:
Funkce firewallu umožňuje zvláštní povolení nebo blokování přístupu k síti pro jednotlivé klienty nebo více síťových klientů. Funkce NAT umožňuje výměnu dat mezi síťovými zónami.
Přesměrování portů je technika, pomocí které mohou být datové pakety odeslané na IP adresu a konkrétní port zařízení přesměrovány na jinou cílovou IP adresu a jiný cílový port v síti.
Původní cílová IP adresa a původní cílový port v záhlaví příchozího datového paketu jsou přeloženy podle pravidel přesměrování portů. Překlad záhlaví je zadán do tabulky sledování připojení zařízení. Pakety odpovědí jsou porovnány s těmito položkami a data záhlaví jsou převedena na původní hodnoty. Firewall automaticky povoluje datový provoz z IP adres a portů definovaných v pravidlech přesměrování portů.
Prakticky. Nyní nastavíme konfiguraci sítě pro přesměrování portů na bezpečnostním routeru FL MGUARD 1105 od společnosti Phoenix Contact. Na obrázku níže síťová zóna 1 (oblast OFFICE) obsahuje počítač (192.168.6.5) a je připojen k XF1 zařízení FL MGUARD 1105. A v síťové zóně 2 (oblast OT) se nachází Raspberry Controller.
Prvním krokem je konfigurace nastavení rozhraní pro síťové zóny 1 a 2 přes tento port v zóně 1.
Přes webový server FL MGUARD 1105 nakonfigurujme nastavení IP adresy v části Interfaces>Interfaces> Net zone 1 a Net zone 2 a další nastavení tak, aby odpovídala vaší skutečné aplikaci a
budeme používat funkce přesměrování portů, proto nastavíme Interfaces>Interfaces>Mode na Router.
V budoucnu nastavíme nenápadný režim, tzv. Stealth mode.
Dalším krokem je přidání konfigurační tabulky pro přesměrování portů do zařízení FL MGUARD 2105.
Pro přesměrování portů využijeme záložku NAT pro konfiguraci přesměrování portů a 1:1 NAT. Zde je stručné vysvětlení nastavení NAT.
Jednou z hlavních funkcí překladu síťových adres (NAT) je skrýt skutečnou IP adresu připojených síťových klientů před externími síťovými zařízeními (tzv. maškaráda IP adres).
Když síťový klient odesílá data prostřednictvím zařízení, zařízení nahradí zdrojovou IP adresu (src_ip) svou vlastní IP adresou (odesílajícího rozhraní).
Jako zdrojová IP adresa je příjemce dat vždy informován o IP adrese zařízení mGuard. Poté odešle odpovědní paket do zařízení mGuard, které jej přepošle původnímu zařízení.
V této konfiguraci bude síťová zóna 2 maskovaná, proto nastavme přepínač pro zónu 2 na hodnotu Zapnuto.
Dále můžeme přidat trasu kliknutím na pravidlo přesměrování portů v řádku ‚Add row‘.
Protokol nastaví síťový protokol použitý k odesílání datových paketů tak, aby se pravidlo aplikovalo (výchozí = TCP).
Nastavíme síťové zóny, kam musí být datové pakety odesílány do zařízení, aby se pravidla uplatňovala.
Ze síťové zóny 1 = Datové pakety přeposílané ze síťové zóny 1 do síťové zóny 2
Ze síťové zóny 2 = Datové pakety přeposílané ze síťové zóny 2 do síťové zóny 1
Nastavme síťový port zařízení, na který mají být odesílány datové pakety, aby se na ně vztahovala pravidla. Datové pakety odeslané na tento port budou obvykle přeposílány na zadanou cílovou IP adresu (To IP) a definovaný cílový port (To port). Příchozí port lze nastavit od 1 do 65535. Následující porty nelze nastavit, protože se používají pro služby zařízení. Dns (53), https (443), ntp (123), snmp (161), dhcp (67, 68).
Nastavuje IP adresu cílového klienta, na kterou jsou přeposílány příchozí datové pakety při použití pravidla. Původní cílová adresa v záhlaví datového paketu může být přeložena na tuto IP.
Na port. Po použití pravidla lze nakonfigurovat síťový port, na který jsou přeposílány příchozí datové pakety. Původní cílový port záhlaví datového paketu je přeložen na tento port.
Výsledek. Toto je nastavení přesměrování portů v tomto článku.
Jak je znázorněno na obrázku níže, data z adresy 192.168.6.1:1217 jsou přenesena na adresu 192.168.13.40:1217. Data z adresy 192.168.6.1:8443 jsou také přenesena na adresu 192.168.13.40:443.
Klikněte na obrázek pro zvětšení
Nakonec uložíme nastavení.
Přístup k adrese 192.168.6.1:8443 pomocí webového prohlížeče, jako je Chrome (tj. síťové rozhraní FL MGUARD 2105 XF1).
Hotovo. Přistupujeme k webovému serveru řídicí jednotky Raspberry.
Jak to funguje, referenční video FL MGUARD 1105.
Závěr:
Všechna zařízení mGuard jsou vybavena osvědčenou bezpečnostní technologií mGuard a jsou od základu navržena tak, aby splňovala požadavky na síťovou bezpečnost. Zařízení používají silný firewall. Systémové a síťové služby jsou zabezpečeny.
Všechny komponenty na konci životnosti jsou nepřetržitě monitorovány prostřednictvím procesu PSIRT (Product Security Incident Response Team). Veškeré zjištěné nebo nahlášené bezpečnostní mezery jsou okamžitě analyzovány a v případě potřeby odstraněny.
Detaily, jak vše udělat a nastavit, pokud si nevíte rady, najdete u podpory Phoenix Contact u nás.
Jaroslav Blažek
Doplňující odkazy k článku:
Bezpečnostní routery Phoenix Contact jsou zde.
FL MGUARD 2105, 1357850 je tady.
Všechny výrobky od Phoenix Contact najdete zde.
Phoenix Contact Česká Republika.
