Technický článek 2017

Ochraňte řádně svou bezdrátovou síť

Novinky

Technické články

PR kontakt pro Českou republiku

Rockwell Automation
Petra Dadejová
Argentinská 4
170 00 Praha 7
Tel: +420 607 011 862

Přihlaste se k odběru Automation Today

Získejte nejnovější informace o technologických trendech a řešení od Rockwell Automation.

Duben 2017

Ochraňte řádně svou bezdrátovou síťOchraňte řádně svou bezdrátovou síť


Při implementaci zabezpečené a spolehlivé bezdrátové sítě pro nejdůležitější aplikace se řiďte těmito osvědčenými bezpečnostními postupy vycházejícími z norem.


Příchod informačního věku do výroby je významný nejen tím, k jakým datům získáte přístup ve svých výrobních provozech, ale také tím, jak k nim budete přistupovat.

Bezdrátová technologie vám poskytuje nové možnosti k metaforickému přestřižení kabelu a nové transformaci provozu.

Tento přechod může zahrnovat využívání mobilních zařízení k monitorování provozu z jakéhokoli místa v závodě, nebo propojení techniků údržby se vzdálenými experty s cílem rychlejšího vyřešení odstávek. Můžete také začít používat bezdrátové kamery využívající internetový protokol (IP) pro účely monitorování těžko dostupných oblastí provozu. V rámci transformace můžete provést propojení s bezdrátově připojenými zařízeními v neustále se rozrůstajícím průmyslovém internetu věcí (IIoT) s cílem shromažďovat z výrobních procesů kvalitativní, bezpečnostní a další údaje.

Můžete zajít ještě dále, protože bezdrátová technologie snižuje potřebné množství hardwaru a kabeláže, což vede ke snížení instalačních nákladů a požadavků na údržbu.


Měnící se požadavky


Bezdrátová technologie není ve výrobních a průmyslových prostředích novinkou. Používá se už roky například při přenosu dat mezi dvěma místy a k dispečerskému řízení a sběru dat (SCADA). Vzhledem k tomu, že se bezdrátová technologie čím dál častěji používá v kritických aplikacích a pro řízení v reálném čase, mění se i požadavky na tuto technologii kladené. Konkrétně pak čím dál více výrobců staví propojené podniky (Connected Enterprises) a své průmyslové a podnikové systémy propojuje do ethernetové síťové architektury. Tito výrobci pak potřebují spolehlivou bezdrátovou komunikaci s nízkou úrovní latence a šumu, aby dosáhli nepřerušované kontroly a přístupu k datům. Kromě toho musí mít jistotu, že jejich bezdrátová komunikace bude bezpečná. Vzhledem k unikátním rizikům, kterým bezdrátová komunikace čelí, tedy například možnosti zachycení a monitorování dat, bezdrátovému spoofingu a útokům typu denial-of-service, je zabezpečení naprostou nezbytností. Do zabezpečení patří používání metod pro ověření zařízení a šifrování v souladu s IEEE 802.11, což je čím dál rozšířenější standard pro nasazení spolehlivé a bezpečné bezdrátové sítě pro aplikace v rámci systémů průmyslové automatizace a řízení (IACS).

Při implementaci průmyslové bezdrátové sítě vezměte v úvahu konstrukční a bezpečnostní pokyny z příručky „Deploying 802.11 Wireless LAN Technology within a Converged Plantwide Ethernet Architecture“, kterou vypracovala společnost Rockwell Automation a její strategický alianční partner Cisco®.


Autonomní vs. unifikovaná


V první řadě je důležité se zamyslet nad dvěma odlišnými typy architektur bezdrátové místní sítě (WLAN), které se používají v prostředí IACS, protože bezpečnostní vlastnosti jsou u obou typů odlišné.

Autonomní typ architektury využívá samostatné bezdrátové přístupové body k implementaci všech funkcí WLAN. Konfigurace a řízení probíhá u všech autonomních přístupových bodů zvlášť. Autonomní architektura se obvykle používá pouze pro nasazení v malé škále nebo pro samostatné bezdrátové aplikace. Počáteční náklady na hardware jsou nižší, konstrukce a nasazení je jednodušší a kontrola nad kvalitou služeb je granulární, díky čemuž lze provoz aplikace IACS na síti upřednostnit.

Unifikovaná architektura se používá pro velká nasazení napříč podnikem s velkým množstvím klientů a aplikací. Přináší základové služby, včetně prevence vniknutí a bezdrátového přístupu pro hosty a poskytuje základ pro vybudování mobility v celém podniku. Řešení s unifikovanou architekturou rozděluje funkce mezi odlehčené přístupové body (LWAP) a bezdrátové kontroléry LAN (WLC). Tato architektura umožňuje „bezdotykové“ nasazení a nahrazování přístupových bodů, jednodušší aktualizace konfigurací a firmwaru a také centralizovanou kontrolu a viditelnost.


Zabezpečení autonomní architektury


Standard zabezpečení Wi-Fi Protected Access 2 (WPA2) s šifrováním na úrovni Advanced Encryption Standard (AES) je jediný bezpečnostní mechanismus doporučený pro průmyslové aplikace WLAN. WPA2 přináší nejpokročilejší zabezpečení, jaké je dnes pro sítě WLAN v průmyslovém prostředí k dispozici, přičemž šifrování AES se implementuje na úrovni hardwaru a neovlivňuje výkon aplikace.

V autonomní architektuře může WPA2 podporovat ověření předem sdíleného klíče a ověření protokolu 802.1X / Extensible Authentication Protocol (EAP). Rozhodnutí ohledně vhodnější ověřovací metody pro vaši autonomní síť WLAN musíte přijmout na základě svých zásad pro zajištění bezpečnosti, podpoře infrastruktury, jednoduchosti nasazení a dalších faktorů.

V rámci jedné autonomní architektury se také můžete rozhodnout pro použití několika ověřovacích metod, které budou podporovat různé typy klientů.

Ověření předem sdíleného klíče vyžaduje společné heslo, které bude sdíleno napříč zařízeními v celé architektuře. Pamatujte, že tato metoda nesmí omezovat přístup ke konkrétním klientům. Každý, kdo bude disponovat heslem, se může v síti WLAN autentizovat.

Ověření předem sdíleného klíče je tak vhodné pro malé sítě WLAN, v nichž jsou všichni klienti pečlivě kontrolováni. Může se jednat například o aplikaci obsahující pevný počet bezdrátových zařízení využívající mosty pracovní skupiny (WGB).

Ověření 802.1X/EAP využívá k zajištění přístupu k síti WLAN rámec EAP. Tato metoda ověření využívá standard 802.1X IEEE pro řízení přístupu na základě portů a přináší silné zabezpečení díky kontrole přístupu pomocí uživatelských přihlašovacích údajů. Tuto metodu lze použít na místech, kde ověřením předem sdílených kódů nemůže uspokojit vaše bezpečnostní požadavky.

Konfigurační doporučení pro tento přístup zahrnují použití protokolu EAP-FAST k ověření WGB na autonomní síti WLAN. Tento specializovaný přístupový bod by měl být nakonfigurován jako server Uživatelské vytáčené služby pro vzdálenou autentizaci (RADIUS) k uložení přístupových údajů WGB, ale neměl by přijímat žádné bezdrátové klienty.

Ověření adresy MAC je třetí metodou pro ověření, která ale není bezpečná při samostatném použití, protože adresy MAC lze odhalit a zneužít. Než abyste používali pouze tento bezpečnostní přístup samostatně, využijte jej jako doplněk k ověřování pomocí předem sdíleného klíče nebo 802.1X/EAP s tím, že se bude jednat o další ochranu před náhodnými připojeními v kritických řídicích aplikacích.


Zabezpečení unifikované architektury


Unifikovaná architektura WLAN vyžaduje certifikáty a další protokoly EAP k ověření nad rámec autentizace 802.1X/EAP. Ověření předem sdíleného klíče nebude v unifikované architektuře fungovat, protože nedokáže zajistit zabezpečení pro rychlý roaming, které unifikovaná architektura vyžaduje.

Unifikované architektury by měly používat pro zabezpečení celopodnikové sítě WLAN ověření typu EAP-Transport Layer Security (TLS). Tato metoda vyžaduje umístění serveru RADIUS v průmyslové zóně 3. úrovně, přičemž musí být na kontroléru podporovány místní certifikáty EAP.

Neroamingové aplikace sice ověření EAPS-TLS vyžadovat nemusí, ale když jej použijete pro aplikace s rychlým roamingem i bez něj, zjednoduší se tím nasazení a sníží zmatky ohledně různých metod zabezpečení pro různá zařízení.


Další faktory ke zvážení


Hardware, který vyberete pro svou architekturu WLAN by měl podporovat váš cíl dosáhnout zabezpečené a spolehlivé bezdrátové komunikace. Sem patří bezdrátový přístupový bod (WAP) a hardware WGB, například bezdrátový přístupový bod Allen-Bradley® Stratix 5100™ (WAP), který splňuje široce uplatňované normy IEEE 802.11 a/b/g/n a zajišťuje dostupnost spektra 2,4 GHz a 5 GHz k dosažení široké škály provozních potřeb.

Novější hardwarová řešení, která mohou fungovat jako přístupový bod v autonomní architektuře nebo jako WGB v autonomní i unifikované architektuře, vám umožňují vybudovat zabezpečenou a spolehlivou bezdrátovou síť jen s jedním zařízením. V roli přístupového bodu mohou tato zařízení fungovat jako router k bezpečnému zapojení bezdrátových klientů do drátové sítě. V roli WGB mohou bezpečně propojit až 19 klientů s drátovými IP adresami do bezdrátové sítě.

V unifikované architektuře se také přesvědčte, že váš WLC nabízí a zajišťuje na bezdrátových přístupových bodech (CAPWAP) úplnou kontrolu nad šifrováním mezi přístupovým bodem a kontrolérem. Měl by také podporovat odhalování škodlivých přístupových bodů a útoků denial-of-service.

Síťová segmentace pak dokáže rozdělit řídicí a podnikové sítě. Díky tomu můžete v každé ze sítí používat odlišné bezpečnostní postupy a zajistit, že pracovníci ve výrobních oblastech získají přístup pouze k datům souvisejícím s výrobou, přičemž data z podnikových aplikací zůstanou izolována.

Ať už nasazujete malou bezdrátovou síť s jedním přístupovým bodem nebo větší celopodnikovou síť, zajistí vám dodržení těchto normovaných bezpečnostních osvědčených postupů možnost používat bezdrátové technologie a IIoT při současném zabezpečení provozu a duševního vlastnictví před bezdrátovými útoky.

Zjistěte více informací o Síťových bezpečnostních službách Rockwell Automaton.

O Rockwell Automation


Rockwell Automation, Inc. (NYSE: ROK), je celosvětově největší společností zaměřenou na průmyslovou automatizaci a oblast zpracování informací. Poskytuje svým zákazníkům možnost být více produktivní a dodržovat principy trvalé udržitelnosti životního prostředí. S centrálou v Milwaukee v USA zaměstnává více než 22.000 a lidí a poskytuje své služby zákazníkům ve více než 80 zemích.

Pro další informace kontaktujte náš mediální tým.