АППАРАТНЫЕ СРЕДСТВА СЕТЕВОЕ ОБОРУДОВАНИЕ
Концепция защиты промышленного IT-контура на основе брандмауэра Hirschmann серии Eagle 20 Франк Зойферт В статье рассматриваются преимущества и особенности работы оборудования и ПО семейства EAGLE от компании Hirschmann. Приведены примеры типовых схем включения оборудования EAGLE в существующую сеть предприятия. Рассмотрены основные функции, режимы работы и нюансы настройки.
В ВЕДЕНИЕ Собственные сотрудники – угроза безопасности?
84
В 2004 году 17-летний школьник обнаружил слабое место системы безопасности в ОС Windows XP и создал червя Sasser, который позволяет получать доступ к терминалам и выключать их. Данная уязвимость обусловлена тем, что разработчики компании Microsoft по неустановленным причинам не защитили порт 445. Времени на создание червя потребовалось не более одной ночи, но полученные в результате его работы повреждения нанесли миллионные убытки. Специалисты Microsoft оперативно устранили технические недостатки, после чего появилась возможность перехватывать червей из внешних сетей центральным брандмауэром операционной системы. Описанный случай повлиял на деятельность многих промышленных компаний и на административные ведомства, поскольку в настоящее время большинство систем управления промышленных предприятий построено на базе ОС Microsoft. Но в этом случае решение с помощью системного брандмауэра не помогло, так как вредоносное программное обеспечение было случайно принесено сотрудниками, использующими свои ноутбуки за пределами компании. Таким образом, инфицированные ноутбуки после повторного подключения к внутренней сети компаwww.cta.ru
нии давали возможность червю снова и снова заражать всю сеть. Получается, что собственные сотрудники компании стали неумышленной угрозой её безопасности. Угроза безопасности может включать как сотрудников компании, так и клиентов, которые получают тем или иным образом доступ к корпоративной сети. Источник опасности может таиться не только во вредоносном ПО. Зачастую при подключении к случайным сетям через стандартный браузер можно подвергнуть опасности локальный компьютер и далее компьютеры всей сети. Поэтому только технологии, основанные на механизме локальной безопасности, могут обеспечить эффективную защиту производственных мощностей или объектов, которые должны быть постоянно в работе.
Как брандмауэр Hirschmann EAGLE может решить эту проблему? По умолчанию многопортовые брандмауэры EAGLE сконфигурированы для работы в прозрачном режиме (Transparent Mode) и для динамической проверки содержимого передаваемых пакетов (Stateful-Inspection). Таким образом, только данные, запрашиваемые изнутри, поступают в защищённую сеть. В ранее упомянутом примере с Sasser при условии применения брандмауэра EAGLE червь не был бы передан через него, потому что порт 445 был бы недо-
ступен. EAGLE может ограничить доступ к сети для конкретного IP-адреса или услуги, и при этом только авторизованные пользователи получают доступ к защищённой сети извне. Программное обеспечение семейства брандмауэров EAGLE совместимо с различными службами безопасности: открытыми, промышленными или специального назначения, от глобального уровня управления до местного. С помощью разделения сети на зоны EAGLE обеспечивает комплексную защиту всех существующих и будущих приложений.
Обзор возможностей Система безопасности промышленных сетей имеет свою специфику: уровень защиты должен быть выше, нежели используемый обычно в стандартной офисной среде. Такие решения предлагает компания Hirschmann, продукция которой в основном предназначена для промышленных применений. Кроме того, в результате вертикальной интеграции в перспективе всё больше и больше промышленных приложений будут разрабатываться для Ethernet. Децентрализованная архитектура безопасности на базе семейства EAGLE вызывает особенный интерес при использовании в промышленных сетях, где требуется защита от случайных и неумышленных атак внутри сети: ● безопасный удалённый доступ к машинам (станки и печатающие устройства); СТА 3/2013
А П П А Р А Т Н Ы Е С Р Е Д С Т В А / С Е Т Е В О Е О Б О Р УД О В А Н И Е
Далее приведём более подробное описание режимов и проиллюстрируем примеры применения каждого из них.
Рабочие станции x Hirschmann P1 / P2
P RM
RELA Y1 / RELAY2
L/D
AUTONEG / TP/FO
FDX
RING PORT / 3
100 0
STAN D-BY / 2
R UN
LED TEST / 1 SELEC T
MS4128 -5 Modul MAC IP
x
+24V(P1)
0V 0V
P Stand by LS
+24V(P2)
x Hirschmann x Hirschmannx Hirschmann
F A ULT RM
P
DA RM Stand by
Защищённый сервисный порт
RS20
FAULT
RM
ON
L/D FDX
USB
100 0
1
RUN
P1 | P2
P
P
RL 1 | RL2 1
AN | TP RING | 3
1
1
1
2
2 2
STBY | 2
2 3
3 4
TEST | 1
4
SELECT
IP A D D R E S S
V.24
M S2 0
MM2 - 2FXM2
MM3 - 4FLM4
M odul
Modul
Modul
M AC
1
1
IP
2
2
3
3
4
4
Исполнительные устройства
RS2-TX/TX
DA 2 LS
0 0 :6 3:8 0 :xx:yy:zz
3 4
i 7 +24V
5 6 Fault +24V*
6
7 8
FAULT
P2
P1
Stand by
RM
7
Удалённый пользователь
6
5
4
3
2 1
1 0
5
4
3
2
RM Stand by
1 V.24 Stand by
Сеть
RS2-TX/TX
i 7 +24V
Fault +24V*
Брандмауэр
6
RS2-TX/TX
FAULT
P2
i P1
Stand by
7
RM
7
+24V
6
5
5
4
3
2
4
3
2
Fault
1
1 0
+24V*
RM Stand by
6 FAULT
1 V.24
P1
P2 Stand by
Stand by
RM 7
6
5
5
4
3
2
4
3
2 1
1 0 RM Stand by
1 V.24 Stand by
x Hirschmann x Hirschmannx Hirschmann P
P1 | P2
P
P
RL1 | RL2
RM L/D
AN | TP
1
FDX
RING | 3
2
RUN
2 2
STBY | 2
1000
1
1
1
2 3
3
TEST | 1
4
4
SELECT MS20
MM2 - 2FXM2
MM3 - 4FLM4
Modul
Modul
Modul
MAC IP
1
1
2
2
3
3
4
4
MS20-08 Рис. 1. Реализация защиты сервисного порта ●
● ●
вход во внутреннюю сеть заводов (в том числе через незащищённый Интернет); работа в сети ветропарков (включая офшорные); разделение сети на сегменты в автомобильной промышленности и машиностроении. Фактически EAGLE, с одной стороны, дополняет существующие механизмы безопасности, включающие как брандмауэры, так и антивирусное ПО, а с другой стороны, представляет основу системы безопасности промышленного контура завода.
С ИСТЕМА EAGLE – ДВИЖУЩАЯ СИЛА БЕЗОПАСНОСТИ КОМПАНИИ
Решение на базе семейства EAGLE включает как линейку устройств для обеспечения безопасности приложений, так и средства операционной си-
вил брандмауэра, которые должны быть сохранены в магистральной сети, а удалённые входы в систему позволяют наблюдать и постоянно анализировать передачу данных. Семейство брандмауэров EAGLE поддерживает механизмы резервирования Redundant Ring Coupling и Dual Homing – схемы дублированных соединений сегментов локальной сети, реализованных в управляемых коммутаторах Hirschmann.
Т ИПОВЫЕ
РЕЖИМЫ ИСПОЛЬЗОВАНИЯ EAGLE
Рассмотрим типовые режимы использования семейства брандмауэров EAGLE: ● защищённый сервисный порт; ● защищённое разделение на подсети; ● безопасное соединение сетей; ● удалённый доступ через VPN-туннель.
Безопасный доступ для первоначальной конфигурации или для внешних сотрудников осуществляется с помощью встроенного DHCP-сервера. Перечислим сетевые режимы EAGLE: SCT (Single Client Transparency), MCT (Multi Client Transparency) или режим роутера. ● В режиме роутера EAGLE должен быть настроен как стандартный шлюз на защищённых портах клиентских компьютеров. ● Конфигурация EAGLE как DHCPсервера: нужно ввести IP- и MAC-адреса на незащищённых портах. ● Необходимо определение правил брандмауэра для IP-адресов, предоставляемых DHCP-сервером. Пример защиты сервисного порта представлен на рис. 1.
Защищённое разделение на подсети Конфигурация 1: сетевой режим EAGLE – прозрачный многоклиентский режим (Multi Client Transparency mode). ● Использование в существующих сетях без изменения текущей IP-конфигурации. ● Создание правил брандмауэра для контроля доступа между магистральной сетью и зоной или между всеми зонами. Конфигурация 2: сетевой режим EAGLE – режим роутера.
x Hirschmann x Hirschmannx Hirschmann P RM L /D FDX 1000 RUN
P1 | P2
P
P
RL1 | RL2 AN | TP
1
RING | 3
1
1
1
2
2 2
ST BY | 2
2 3
3
TEST | 1
4
4
SELECT MS20
x Hirschmann M M2 - 2FXM2
P
M M3 - 4FLM 4
Mod ul
M odul
M odul
MAC
1
1
P1 / P2
RM
RELAY1 / RELAY2
L/D
x Hirschmann P
2
2
3
3
4
4
RI NG PORT / 3 STAND- BY / 2 LED TEST / 1
MS41 28- 5
AU TON EG / TP/FO RI NG PORT / 3
Modul
STAND- BY / 2
RUN
AU TON EG / TP/FO
RUN
SELECT
RELAY1 / RELAY2
L/D
FDX 1 00 0
IP
P1 / P2
RM
FDX 1 00 0
MAC
LED TEST / 1 IP
SELECT MS41 28- 5 Modul MAC IP
Брандмауэр
Брандмауэр
RS2-TX/TX
i
RS2-TX/TX
i
7 +24V
7 +24V
Fau lt +24V*
6 FAULT
P2
P1
Stand by
RM
7
6
5
5
4
4
3
2 1
3
1 0
2
RM Stand by
1 V.24
x
Зона 2
0V 0V
P Stand by LS
RS20
FAULT +24V(P1)
+24V(P2)
Stand by
Зона 3
Fau lt +24V*
6 FAULT
P2
P1
Stand by
RM
7
6
5
5
4
3
2
4
3
2 1
1 0 RM Stand by
1 V.24 Stand by
F A UL T RM
DA RM Stand by
ON
USB 1
IP A D D R E S S
V.24
2 LS
00:63 :80 :x x:y y:z z
3 4
DA
5 6
7 8
x Hirschmann x Hirschmannx Hirschmann P RM L /D FDX 1000 RUN
P1 | P2
P
P
RL1 | RL2 AN | TP
1
RING | 3
1
1
1
2
2 2
ST BY | 2
2 3
3
TEST | 1
4
4
SELECT
MS20-08
MS20
M M2 - 2FXM2
M M3 - 4FLM 4
Mod ul
M odul
M odul
MAC IP
1
1
2
2
3
3
4
4
RS2-TX/TX
i 7
MS20-08
+ 24V
Fau lt +24V*
6 FAULT
P2
P1
Stand by
RM
7
6
5
5
4
4
3
2 1
3
1 0
2
RM Stand by
1 V.24 Stand by
стемы, систем управления и т.д. Преимуществами такого решения являются механизмы безопасности, которые могут быть разработаны с учётом требований конкретного проекта, тем самым обеспечивая более высокий общий уровень решения. При этом есть возможность реализовать защиту с точностью до сегмента или конечного устройства. Также стоит добавить, что EAGLE не имеет сложных списков доступа и праСТА 3/2013
Зона 1
Магистральный коммутатор
В этом режиме EAGLE должен быть настроен как стандартный шлюз для защищённого порта на клиентском компьютере. Пример защиты одной из подсетей представлен на рис. 2.
x Hirschmann P
P1 / P2
RM
RE LAY1 / RELAY2
L/D
AUTONEG / TP/FO
FDX
RING PORT / 3
1000
STAND-BY / 2
RUN
LED TEST / 1 SELECT
MS4128-5 Modul MAC IP
Рис. 2. Реализация защиты отдельной подсети
Безопасное соединение подсетей Конфигурация: сетевой EAGLE – режим роутера.
режим
85 www.cta.ru
А П П А Р А Т Н Ы Е С Р Е Д С Т В А / С Е Т Е В О Е О Б О Р УД О В А Н И Е
P
P1 / P2 RELAY1 / RELAY2
RM L/D
AUTONEG / TP/FO
FDX
RING PORT / 3
1000
STAND-BY / 2
RUN
LED TEST / 1 SELECT
MS4128-5 Modul MAC IP
Промышленный магистральный коммутатор
Промышленный магистральный коммутатор
x
Незащищённая сеть
0V 0V
x Hirschmann P
P1 / P2
RM
RELAY1 / RELAY2 AUTONEG / TP/FO
L/D
RING PORT / 3
FDX
STAND-BY / 2
1000 RUN
LED TEST / 1 SELECT
MS4128-5 Modul MAC IP
RS20
FAULT +24V(P1)
P Stand by LS
Конфигурация: сетевой режим EAGLE – прозрачный одноклиентский режим (single client transparency) или режим роутера. ● В режиме single client transparency для подключённого компьютера изменения настроек TCP/IP не требуется. ● В режиме роутера EAGLE должен быть настроен как стандартный шлюз для защищённого порта на клиентском компьютере. Пример использования удалённого доступа через VPN-туннель представлен на рис. 5.
+24V(P2)
F A ULT RM
DA RM Stand by
ON
USB 1
IP A D D R E S S
V.24
3 4
DA 2 LS
Брандмауэр
00 :6 3:8 0 :xx:yy:zz
x Hirschmann
5 6
7 8
Брандмауэр
Рис. 3. Реализация защиты соединения между отдельными сетями
Сеть предприятия x Hirschmann P
P1 / P2
RM
REL AY1 / RELAY2
L/D
AUTONEG / T P/ FO
FDX
RING PORT / 3
1000
STAND-BY / 2
RUN
LED TEST / 1 SELECT
MS4128-5 Mo dul
EAGLE
EAGLE
MAC IP
x Hirschmann
x Hirschmann
P
P
1
1 2
4
1
1
3
3
2 2
3
2
3
4
x Hirschmann
4
4
P
P 1 /P 2
RM
RE L A Y 1 / RE L A Y 2
L/D
A U TO NE G /T P /FO
FDX
RI NG P OR T /
1 0 00 RUN
STAND-BY / 23 LED TEST / 1 SELECT
MM3 - 4TX1-RT
MM3 - 4TX1-RT
Modul
Modul
1
1
2
2
3
3
4
4
M S41 2 8-5 M odul M AC IP
x Hirschmann x Hirsc hmannx Hirschma nn
x Hirschmann x Hirschma nnx Hirsc hmann P
P
P1 | P 2
P
P
P1 | P 2
RM RM
P
P
RL1 | RL2
RL1 | RL2
L/D
1
AN | TP
F DX
1
1
1
1
2
2
2 2
ST BY |2
RUN
4
4
RING | 3
1000
3
3
AN | TP
F DX
2
2 2
ST BY | 2 TE ST | 1
L/D
1
1
1
2
RING | 3
1000 RUN
3
3
TE ST | 1
4
4
S ELE CT S ELE CT MM2 - 2FXM2
MS 20
Modu l
Mo dul
1
1
IP
Производственная зона 1
P
P1 | P 2
RM
P
P RM
AN | TP
1
RING | 3
2
1
1
1
L/D
2
2 2
ST BY |2
F DX 3
3
TE ST | 1
1000
4
4
2 3
4
4
MM 2 - 2FXM 2
MM3 - 4FLM4
Mod ul
Mo dul
Modu l
MAC
1
1
IP
2
2
3
3
4
4
x Hirschmann x Hirsc hmannx Hirschma nn
P
RL1 | RL2
L/D
2 3
Производственная зона 2
x Hirschmann x Hirschma nnx Hirsc hmann
F DX 1000 RUN
MS 20
MM 3 - 4FLM4
Mod ul MAC
RUN
S ELE CT
P1 | P 2
P
P
RL1 | RL2 AN | TP
1
RING | 3
2
1
1
1
2 2
ST BY |2
2 3
3
TE ST | 1
4
4
S ELE CT
MS 20
MM2 - 2FXM2
Mod ul
MM 2 - 2FXM 2
MM3 - 4FLM4
Mo dul
Mod ul MAC
2
IP
2
2
3
3
3
4
4
4
4
1
IP
MS 20
MM 3 - 4FLM4
1
2 3
Modu l
MAC
Mo dul 1
Modu l 1
x Hir schmann x Hirschma nnx Hirschma nn P
P1 | P 2
P
P
RL1 | RL2
RM
AN | TP
L/D
1
RING | 3
F DX
RUN
1
1
1
2
2 2
STB Y | 2
1000
2 3
3
TES T | 1
4
4
S ELE CT MS 20 Mod ul MAC
MM2 - 2FXM2 Modu l 1
IP
MM3 - 4FLM4 Modu l 1
2
2
3
3
4
4
x Hirsc hmann P
P1 /P 2
RM
x Hirschmann
RELAY1 / RELAY2
L/D
P
AUTO NEG / TP/FO
FDX
P 1 /P 2
RM
RN I G PO RT / 3
10 00 RUN
RE L A Y 1 / RE L A Y 2
L/D
STAND-B Y / 2 LED TEST / 1
A U TO NE G /T P /FO
FDX
RI NG P OR T /
1 0 00 RUN
SELECT MS4 12 8-5
STAND-BY / 23 LED TEST / 1 SELECT
Modul
M S41 2 8-5
MAC
M odul
IP
M AC IP
Рис. 4. Реализация защиты при использовании одинаковых сегментов сети ●
В режиме роутера EAGLE должен быть настроен как стандартный шлюз для защищённого порта на клиентском компьютере. ● При использовании модема DSL необходимо настраивать параметры протокола Point-to-Point Protocol over Ethernet (PPPoE). Пример защиты соединений между сетями представлен на рис. 3.
x Hirschmann P
86
www.cta.ru
P1 / P2
RM
RELAY1 / RELAY2 AUTONEG / TP/FO
L/D FDX
RING PORT / 3 STAND-BY / 2
1000 RUN
LED TEST / 1 SELECT
MS4128-5 Modul MAC IP
Модем
EAGLE EAGLE
x Hirschmann P
2
Модем
4
P
P1 / P2
RM
3
RELA Y1 / RELAY2 AUTONEG / TP/FO
L/D FDX
2
3
Общественная телефонная сеть
x Hirschmann
1
1
x Hirschmann
RING PORT / 3
100 0
STAN D-BY / 2
R UN
4
LED TEST / 1 SELEC T
MS4128 -5 Modul MAC IP
P
MM3 - 4TX1-RT Modul 1
1
1
3
2
2
3
x Hirschmann x Hirschmannx Hirschmann
4
4
P
P1 | P2
P
1
P
1
1
1
2
2
RING | 3
2
STBY | 2
RUN
x Hirschmann x Hirschmannx Hirschmann RM
AN | TP
L/D FDX 1000
2
P
RL1 | RL2
RM
MM3 - 4TX1-RT
4
3 4
L/D FDX
2
3
TEST | 1
3 4
100 0 RUN
MM2 - 2FXM2
MS20
Modul
Modul
1
P1 | P2
P
P
RL 1 | RL2 1
AN | TP
1
1
2
RING | 3
1 2
2 2
STBY | 2
3
3 4
4
TEST | 1 SELECT
SELECT
Modul
MM3 - 4FLM4 Modul
M S2 0 M odul
MAC
1
1
M AC
IP
2
2
IP
3
3
4
4
2
MM2 - 2FXM2
MM3 - 4FLM4
Modul
Modul
1
1
2
2
3
3
4
4
3 4
Обслуживание одинаковых сетевых сегментов с помощью 1:1 NAT В некоторых специальных приложениях целесообразно настроить сетевые сегменты одинаково, даже использовать одни и те же IP-адреса. Для того чтобы это реализовать, необходима поддержка сетью механизма маскировки IP-адреса. EAGLE способен выполнять эти функции с помощью 1:1 NAT (Network Address Translation). Одна из возможных конфигураций сети представлена на рис. 4.
Сеть предприятия
Удалённый доступ
x Hirschmann x Hirschmannx Hirschmann P
P1 | P2
P
RM
RL 1 | RL2
L/D
AN | TP
1
FDX
RING | 3
2
100 0 RUN
P RM
2 2
STBY | 2
1
1 2
3
3
TEST | 1
4
4
P
AN | TP
1
RING | 3
2
1000 RUN
SELECT
P
2 2
STBY | 2
1
1
1
2 3
3
TEST | 1
4
4
SELECT
M S2 0
MM2 - 2FXM2
MM3 - 4FLM4
Modul
Modul
Modul
1
1
MAC
2
2
IP
M AC
P1 | P2 RL1 | RL2
L/D FDX
M odul
IP
Производственная зона
x Hirschmann x Hirschmannx Hirschmann
P
1
MS20
MM2 - 2FXM2 Modul
MM3 - 4FLM4 Modul
1
1
2
2
3
3
x Hirschmann x Hirschmannx Hirschmann P
3
3
4
4
4
4
P1 | P2
P
P
RL 1 | RL2
RM
AN | TP
L/D FDX
1
RING | 3
2 2
2 3
3
TEST | 1
RUN
1
1
1
2
STBY | 2
100 0
4
4
SELECT M S2 0
MM2 - 2F XM2
M odul
Modul
M AC IP
MM3 - 4FLM4 Modul
1
1
2
2
3
3
4
4
x Hirschmann P
P1 / P2
RM
x Hirschmann
RELA Y1 / RELAY2
L/D
AUTONEG / TP/FO
FDX
RING PORT / 3
100 0
STAN D-BY / 2
R UN
LED TEST / 1 SELEC T
P
P1 / P2
RM
RELA Y1 / RELAY2
L/D
AUTONEG / TP/FO
FDX
RING PORT / 3
100 0
STAN D-BY / 2 LED TEST / 1
R UN MS4128 -5
SELEC T
Modul MS4128 -5 MAC IP
Modul MAC IP
Рис. 5. Использование VPN-туннеля для получения удалённого доступа к сети
Удалённый доступ через интерфейс V.24 и внешний модем
Резервирование роутера с использованием VRRP
На удалённом компьютере пользователя должна быть установлена ОС Windows 2000/XP, включающая в себя VPN-клиент.
В крупных сетях, как правило, используются коммутаторы и маршрутизаторы третьего уровня OSI. Для добавления резервирования в маршрутизиСТА 3/2013
А П П А Р А Т Н Ы Е С Р Е Д С Т В А / С Е Т Е В О Е О Б О Р УД О В А Н И Е
Одна из возможных конфигураций сети уровня 3 представлена на рис. 6.
Офисная сеть x
Центральное управление x
Hirschmann
Hirschmann
P RM
P1 / P2 RELAY1 / RELAY2
P RM
P1 / P2 RELAY1 / RELAY2
L/D
AUTONEG / TP/FO
L/D
AUTONEG / TP/FO
FDX 1000 RUN
RING PORT / 3 STAND-BY / 2 LED TEST / 1
FDX 1000 RUN
SELECT
RING PORT / 3 STAND-BY / 2 LED TEST / 1 SELECT
MS4128-5 Modul
MS4128-5 Modul
MAC
MAC
IP
IP
Маршрутизатор 1 IP-адрес 10.10.10.2
Маршрутизатор 2 IP-адрес 10.10.10.3 Виртуальный IP-адрес 10.10.10.1
x Hirschmann
x Hirschmann
P
P 1
1 2 4
EAGLE 1
1
1
3
3
2 2
3
2
3
4
4
4
MM3 - 4TX1-RT
MM3 - 4TX1-RT
EAGLE 2
Modul 1 2 3
Modul 1 2 3
4
4
x Hirschmann x Hirschmannx Hirschmann P RM L/D FDX 1000 RUN
P1 | P2
P
x Hirschmann x Hirschmannx Hirschmann P
P
RL1 | RL2
RM
AN | TP
1
RING | 3
1
1
1
2
2 2
STBY | 2
2
4
4
L/D FDX
3
3
TEST | 1
1000 RUN
SELECT MS20 Modul MAC IP
P1 | P2
P
P
RL1 | RL2 AN | TP
1
RING | 3
1
1
1
2
2 2
STBY | 2
2 3
3
TEST | 1
4
4
SELECT MM2 - 2FXM2 Modul 1
MM3 - 4FLM4
MS20
Modul
Modul
1
MAC
2
IP
MM2 - 2FXM2 Modul 1
MM3 - 4FLM4 Modul 1
2
2
2
3
3
3
3
4
4
4
4
x Hirschmann P
P1 / P2
RM
RELA Y1 / RELAY2
L/D
AUTONEG / TP/FO
FDX
RING PORT / 3
100 0
STAN D-BY / 2
R UN
LED TEST / 1 SELEC T
MS4128 -5 Modul MAC IP
Производственная зона
Рис. 6. Фрагмент сети третьего уровня OSI и реализация защиты в ней
руемых сетях принято использовать протокол Virtual Router Redundancy Pro-
Производственная зона
tocol (VRRP). Повышение уровня безопасности в существующих сетях третьего уровня возможно средствами EAGLE, который также поддерживает VRRP.
В крупных сетях размеры подсетей и количество устройств EAGLE достаточно большое, и конфигурирование и особенно реконфигурирование параметров безопасности занимает много времени. Для того чтобы свести к минимуму такого рода усилия, есть возможность использования системы центрального управления ISCM (Innominate Security Configuration Management). Пример использования системы ISCM представлен на рис. 7.
Обеспечение охраны с использованием световой сигнализации Мигающая лампочка тревоги или предупреждающий маячок будет означать нарушение правил брандмауэра, то есть: ● попытку получения незаконного доступа (определяется по MAC- или IPадресу); ● попытку использования запрещённого порта сети (например, использование протокола FTP, хотя брандмауэр запретил доступ).
87 СТА 3/2013
www.cta.ru
А П П А Р А Т Н Ы Е С Р Е Д С Т В А / С Е Т Е В О Е О Б О Р УД О В А Н И Е
одного из каналов ожидающий вторичный канал автоматически включается в работу, обеспечивая непрерывную связность в сети. Конечный пользователь получает выгоду за счёт использования возможности резервирования топологии сети без необходимости перенастройки при добавлении оборудования сетевой безопасности. В случае если топология настроена как плоская L2-сеть, требовались бы огромные усилия, чтобы изменить архитектуру сети от L2 до L3. Пример использования STP-резервирования представлен на рис. 9.
Промышленный магистральный коммутатор x Hirschmann P
P1 / P2
RM
RELAY1 / RELAY2
L/D
AUTONEG / TP/FO
FDX
x Hirschmann P
P1 | P2
RM
RL1 | RL2
L/D FDX
RING PORT / 3
1000
STAND-BY / 2
RUN
LED TEST / 1 SELECT
AN | TP
MS4128-5
RING | 3
Modul
1000
STBY | 2
RUN
TE ST | 1
MA C
SELECT
IP
MS20 Modul MAC IP
Компьютер администратора
x Hirschmann P 1
1 3
2
2
3 4
4
x Hirschmann P
P1 / P2
RM
1 2 3 4
AUTO NEG / TP/FO
FDX
EAGLE
Modul
RING PO RT / 3
100 0
STAND- BY / 2
RUN
LED TEST / 1 SELECT
MS41 28 -5 Modul MAC IP
EAGLE
ISCM
RELAY1 / RELAY2
L/D
MM3 - 4TX1-RT
EAGLE
x Hirschmann P 1
1
x Hirschmann
3
2
2
3
P
x Hirschmann
4
4
x Hirschmann x Hirschmannx Hirschmann
x Hirschmann x Hirschmannx Hirschmann P
MM3 - 4TX1-RT
P1 | P2
L /D FDX
1
P
P
P
RM
RL1 | RL2
RM
Modul
AN | TP
1
RING | 3
2
2 4
FDX
2
1000
3
3
TEST | 1
L /D
1
1
1 2
ST BY | 2
1000 RUN
RUN
4
2 3 4
P
P1 | P2
1 2
2 2
2 2
1
4
2 4
3
3
L/D FDX 1000 RUN
4
4
P RM
3
3
1
1
1
M M2 - 2FXM2
MS20
MM2 - 2FXM 2
MM3 - 4FLM4
Mod ul
Modul
Modul
Mod ul
M odul
M odul
1
1
MAC
1
1
2
2
IP
2
2
3
3
3
3
4
4
4
4
Modul
P1 | P2 RL1 | RL2 AN | TP RING | 3 STBY | 2 TE ST | 1 SELECT
MM3 - 4TX1-RT
M M3 - 4FLM 4
MS20
MAC IP
1
P
RL1 | RL2 AN | TP RING | 3 ST BY | 2 TEST | 1 SELECT
SELECT
MS20 Modul
1 MAC
2 IP
3 4
Центральное управление на компьютере администратора: ISCM – Innominate Security Configuration Management
x Hirschmann x Hirschmannx Hirschmann P
P1 | P2
RM
RL1 | RL2
P
1
RUN
P
1
1
1
2
RING | 3
2
2 2
STBY | 2
1000
Резервированное кольцо
x Hirschmann x Hirschmannx Hirschmann RM
AN | TP
L/D FDX
P
4
4
L /D FDX
3
3
TEST | 1
1000 RUN
SELECT
M odul
Mod ul
IP
M M3 - 4FLM 4
MS20
AN | TP
1
P
1
1
1
2
RING | 3
2 2
ST BY | 2
2 3
3 4
TEST | 1
M M2 - 2FXM2 M odul
4
M M3 - 4FLM 4
M odul
Mod ul
1
MAC
2
2
IP
2
2
3
3
3
3
4
4
4
4
1
MAC
RL1 | RL2
SELECT M M2 - 2FXM2
MS20
P
P1 | P2
1
M odul 1
x Hirschmann x Hirschmannx Hirschmann P
P1 | P2
P
P
RL1 | RL2
RM
AN | TP
L /D
1
RING | 3
FDX
1
1
1
2
2 2
ST BY | 2
1000 RUN
2 3
3
TEST | 1
4
4
SELECT MS20
M M2 - 2FXM2
Mod ul
M M3 - 4FLM 4
M odul
MAC
M odul
1
IP
1
2
2
3
3
4
4
З АКЛЮЧЕНИЕ x Hirschmann
x Hirschmann
P
P 1
1 2
2 2
4
Modul 1
3 2
3
EAGLE
4
4
MM3 - 4TX1-RT Modul 1
2
2
3
3
4
4
Таким образом, серия Hirschmann EAGLE 20 несомненно повысит уровень безопасности компьютерной сети и поможет вывести информационную систему предприятия на качественно новый уровень. Она позволит облегчить масштабируемость смешанной сети за счёт применения модификаций моделей с самыми различными сочетаниями интерфейсов передачи данных по витой паре и оптическим каналам. А для интеграции на программном уровне не
1
1
3
3 4
MM3 - 4TX1-RT
EAGLE
x Hirschmann
x Hirschmann P
P
RL1 | RL2
L/D
RL1 | RL2
L/D
A N | TP
A N | TP
FDX
RING | 3
1000
RING | 3 S TBY | 2
RUN
S TBY | 2
RUN
P 1 | P2
RM
P 1 | P2
RM
FDX 1000
TEST | 1 SELECT
TEST | 1 SELECT
MS20
MS20
Modul
Modul
MAC
MAC
IP
IP
x Hirschmann P
P1 / P2
RM
x Hirschmann
RELAY1 / RELAY2
L/D
P
AU TON EG / TP/FO
FDX
RELAY1 / RELAY2
L/D
STAND- BY / 2
RUN
P1 / P2
RM
RI NG PORT / 3
1 00 0
AUTO NEG / TP/FO
FDX
LED TEST / 1
RING PO RT / 3
100 0
SELECT
STAND- BY / 2
RUN MS41 28- 5
LED TEST / 1 SELECT
Modul
MS41 28 -5 MAC
Modul
IP
MAC IP
Рис. 7. Использование системы ISCM для конфигурирования параметров безопасности
Лампа тревоги
Промышленный магистральный коммутатор
Реле
Промышленный магистральный коммутатор
x Hirschmann P
P1 / P2
RM
RELAY1 / RELAY2
L/D
AUTONEG / TP/FO
FDX
RING PORT / 3
1000
STAND-BY / 2
RUN
LED TEST / 1 SELECT
MS4128-5 Modul MAC IP
x
RS20
FAULT +24V(P1)
0V 0V
+24V(P2)
x Hirschmann
Сигнальный переключатель 24 В
P Stand by LS
RM Stand by
x Hirschmann
P
F A U LT RM
P
DA
1
1
ON
2 2
3
3 2
3
4
4
1
1
3
2
USB
4
4
1
IP A D D R E S S
V.24
EAGLE
EAGLE
MM3 - 4TX1-RT
MM3 - 4TX1-RT
Modul
Modul
1
1
2
2
3
3
4
4
EAGLE
2 LS
0 0:6 3:8 0:xx :y y:zz
3 4
DA
5 6
7 8
STP x Hirschmann x Hirschmannx Hirschmann P RM L/D FDX 1000 RUN
P1 | P2
P
x Hirschmann x Hirschmannx Hirschmann P
P
RL1 | RL2
RM
AN | TP
1
RING | 3
1
1
1
2
2 2
STBY | 2
2
4
4
L/D FDX
3
3
TEST | 1
1000 RUN
SELECT
P1 | P2
P
x Hirschmann x Hirschmannx Hirschmann
P
RL1 | RL2
P
AN | TP
1
RING | 3
1
1
1
2
2 2
STBY | 2
4
RM
P1 | P2
P
P
RL1 | RL2
2
L/D
3
3
TEST | 1
FDX
4
1000
SELECT
RUN
AN | TP
1
RING | 3
1
1
1
2
2 2
STBY | 2
2 3
3
TEST | 1
4
4
SELECT
MS20
MM2 - 2FXM2
MM3 - 4FLM4
MS20
MM2 - 2FXM2
MM3 - 4FLM4
Modul
Modul
Modul
Modul
Modul
Modul
MS20
MM2 - 2FXM2
MM3 - 4FLM4
MAC
1
1
MAC
1
1
Modul
Modul
Modul
IP
2
2
IP
2
2
MAC
1
1
3
3
3
3
IP
4
4
4
4
2
2
3
3
4
4
x Hirschmann P
P1 / P2
RM
x Hirschmann
RELA Y1 / RELAY2
L/D
AUTONEG / TP/FO
FDX
RING PORT / 3
100 0
STAN D-BY / 2
R UN
LED TEST / 1 SELEC T
P
P1 / P2
RM
RELA Y1 / RELAY2
L/D
AUTONEG / TP/FO
FDX
RING PORT / 3
100 0
STAN D-BY / 2
R UN MS4128 -5
LED TEST / 1 SELEC T
Modul MS4128 -5 MAC IP
Modul MAC IP
Производственная зона
Рис. 8. Использование сигнального маячка для оповещения
Реализация использования световой сигнализации в качестве оповещения о нарушении правил брандмауэра представлена на рис. 8.
Поддержка резервирования STP
88
Система EAGLE поддерживает STPрезервирование (Spanning Tree Protocol – протокол связующего дерева) благодаря BPDU (Bridge Protocol Data Unit, единица данных протокола www.cta.ru
Рис. 9. Использование STP-резервирования
управления сетевыми мостами). Таким образом исключается возможность возникновения петель в сетях передачи данных при наличии в них многосвязной топологии. Используя одну физическую либо логическую связь в качестве основной, BPDU удерживает одну из доступных вторичных связей в режиме бездействия (ожидания), поэтому полезный трафик передаётся только по одной из доступных связей. При нарушении функционирования
придётся даже останавливать компьютерную сеть предприятия и менять сетевые адреса, интерфейсы удалённого управления и фирменное ПО сделают процесс администрировании более удобным. ● Перевод Ивана Лопухова и Александра Цыганкова, сотрудников фирмы ПРОСОФТ Телефон: (495) 234-0636 E-mail: info@prosoft.ru СТА 3/2013