Kybernetická bezpečnost vyžaduje ochranu komponent, sítí a systémů před neoprávněným přístupem a zajištění integrity dat. Za tímto účelem je nutné zavést organizační a technická opatření na ochranu síťových zařízení, řešení a softwaru pro počítače. Zmíníme nyní základní principy a poučky, kterých bychom se měli při řešení kybernetické bezpečnosti držet:
1. Izolujme komponenty a systémy od veřejné sítě. Vyhněme se integraci komponent nebo systémů do veřejné sítě a použijme VPN (virtuální privátní síť), pokud potřebujeme přistupovat ke komponentám nebo systémům prostřednictvím veřejné sítě.
2. Nastavení firewallu. Nakonfigurujme firewally pro ochranu sítě a komponent a systémů integrovaných do sítě před vnějšími vlivy. Použijme firewally k segmentaci sítí nebo izolaci řídicích jednotek.
3. Zastavme nepoužívané komunikační kanály. Deaktivujme nepoužívané komunikační kanály (SNMP, FTP, BootP, DCP atd.) mezi používanými komponentami.
4. Zvažme hloubkovou obranu při plánování systému. Při ochraně komponent, sítí a systémů nestačí pouze implementovat opatření, která byla zvažována samostatně; strategie hloubkové obrany by měla zahrnovat několik koordinovaných opatření zahrnujících operátory, integrátory a výrobce.
5. Omezení přístupových práv. Omezme přístup ke komponentám, sítím a systémům na osoby, jejichž autorizace je nezbytně nutná, a pozastavme nepoužívané uživatelské účty.
6. Bezpečný přístup. Pro začátek si pamatujme, že po prvním spuštění musíme změnit výchozí přihlašovací údaje. Používejte také bezpečné heslo, které odráží složitost a životnost.
Heslo by se mělo měnit podle pravidel platných pro jeho používání a používat správce hesel s náhodně generovaným heslem. Kdykoli je to možné, používejme také centrální systém správy uživatelů pro zjednodušení správy uživatelů a přihlašovacích údajů.
Mezi další principy a pravidla patří také.
Pro vzdálený přístup používat zabezpečené přístupové cesty, jako je VPN (virtuální privátní síť) nebo HTTPS.
Povolit protokolování událostí souvisejících se zabezpečením v souladu s bezpečnostními pokyny a zákonnými požadavky na ochranu dat.
Ujistit se, že firmware všech používaných zařízení je vždy aktuální. Zkontrolovat také používaná zařízení a bezpečnostní doporučení, zda neobsahují zveřejněné bezpečnostní zranitelnosti.
Nainstalovat bezpečnostní software na všechny počítače, abychom detekovali a eliminovali bezpečnostní rizika, jako jsou viry, trojské koně a další malware, a ujistit se, že vždy používáme nejnovější databázi.
Analýzu hrozeb provádět pravidelně, aby se zjistilo, zda opatření přijatá pro vaše komponenty, sítě a systémy stále poskytují dostatečnou ochranu.
Zařízení s SD kartami chránit před neoprávněným fyzickým přístupem. Zajistit, aby k SD kartě neměly přístup neoprávněné osoby a aby data nebyla možné obnovit, pokud je SD karta zničena.
Hardware FL MGUARD 2100 a 4300 jsou průmyslové bezpečnostní routery s vestavěným firewallem se stavovou kontrolou paketů. Poskytují vysokou datovou propustnost a pomáhají decentralizovat a chránit výrobní buňky a jednotlivé stroje před neoprávněným provozem.
Jako router nebo brána se zařízení připojuje k podsíti nebo síťové zóně. Každé síťové zóně je přiřazena samostatná IP adresa, přes kterou je možné k zařízení přistupovat ze sítě.
Funkce NAT (maskování IP adres, 1:1 NAT, přesměrování portů) usnadňují integraci samostatných strojů (PLC) nebo více podsítí se stejným nastavením IP adresy do existující sítě, aniž by bylo nutné měnit nastavení IP adresy strojů nebo podsítí.
Tolik trochu teorie, a jak to udělat s nastavením bezpečnostního routeru FL MGUARD 2105
Zapneme FL MGUARD 2105 a LAN kabel připojíme do XF2.
Do prohlížeče (Chrome nebo Microsoft Edge) naklepneme výchozí IP adresu XF02 https://192.168.1.1, kde je přihlašovací obrazovka webového serveru pro FL MGUARD 2105.
Výchozí nastavení je uživatelské jméno = admin, heslo = private.
Přihlášení k webovému serveru FL MGUARD 2105. Veškeré nastavení se u všech těchto routerů dělá přes vestavěný webový server, nejsou potřebné žádné další nástroje.
Nejprve je nutné aktualizovat firmware routeru FL MGUARD 2105, který stáhneme zde.
Aktualizujeme přes tlačítko "Update". Pokud se vše provedlo OK, router ohlásí úspěch a restartuje se.
Přístup k zařízení umožňuje omezit přístupová práva k síťovému rozhraní 1 a 2. Pravidla přístupu umožňují omezit přístup k webovému serveru zařízení (webová správa nebo konfigurační API) na jednu z dostupných síťových zón. Pokud je tato možnost povolena, je přístup k HTTPS serveru zařízení povolen z vybrané síťové zóny (TCP port 443).
Je nutné také pro pro FL MGUARD 2105 nastavit čas a datum. Pokud máme přístup na NTP server, můžeme synchronizovat čas právě touto službou. Pokud ne, je možná zadat čas ručně.
V nastavení síťového rozhraní nastavíme síťovou zónu 1 a síťovou zónu 2 tak, aby odpovídaly naší skutečné aplikaci.
Funkci DHCP serveru můžeme na zařízení FL MGUARD 1105 povolit nebo zakázat podle skutečnosti v síti.
Příště si ukážeme, jak na tomto zařízení nastavit Port forwarding, NAT a Stealth Mode.
Závěr:
Všechna zařízení mGuard jsou vybavena osvědčenou bezpečnostní technologií mGuard a jsou od základu navržena tak, aby splňovala požadavky na síťovou bezpečnost. Zařízení používají silný firewall. Systémové a síťové služby jsou zabezpečeny.
Všechny komponenty na konci životnosti jsou nepřetržitě monitorovány prostřednictvím procesu PSIRT (Product Security Incident Response Team). Veškeré zjištěné nebo nahlášené bezpečnostní mezery jsou okamžitě analyzovány a v případě potřeby odstraněny.
Detaily, jak vše udělat a nastavit, pokud si nevíte rady, najdete u podpory Phoenix Contact u nás.
Jaroslav Blažek
Doplňující odkazy k článku:
Bezpečnostní routery Phoenix Contact jsou zde.
FL MGUARD 2105, 1357850 je tady.
Všechny výrobky od Phoenix Contact najdete zde.
Phoenix Contact Česká Republika.
