Технические статьи 2017

Правильная защита вашей беспроводной сети

Новости

Технические статьи

Россия и СНГ
Контакты для представителей СМИ

Маркетинговые коммуникации
Анна Оганян
Специалист по маркетингу Россия и СНГ
Тел.: +7 495 956 04 64

Подписаться на Automation Today

Узнайте последние новости в области автоматизации и о решениях компании Rockwell Automation

Апрель 2017

Правильная защита вашей беспроводной сетиПравильная защита вашей беспроводной сети Wireless Network


Наступление информационной эры в производстве ознаменовало не только количество доступных вам данных технологических процессов, но и способ доступа к ним.


И что самое важное, беспроводные технологии, образно говоря, освободили вас от пут кабелей и позволили организовать вашу работу радикально новым способом.

Например, можно использовать мобильные устройства для контроля за производственными операциями из любой точки предприятия или связи технических специалистов с удаленными экспертами для быстрого устранения неисправностей. Можно использовать беспроводные камеры с поддержкой протокола IP для контроля операций в труднодоступных зонах. Также можно подключаться к беспроводным устройствам из постоянно растущего парка промышленного интернета вещей (IIoT) для сбора данных о качестве, безопасности и других показателях производственных процессов.
Помимо этого, беспроводные технологии сокращают количество сетевой аппаратуры и кабелей, что снижает затраты на установку и обслуживание.

Изменяющиеся потребности


Беспроводная связь – не новость для производственной и промышленной среды. Она используется в течение многих лет для передачи данных в одноранговых сетях и системах оперативно-диспетчерского управления (SCADA). Однако, поскольку беспроводные соединения все чаще применяются для критически важных задач и управления в реальном времени, изменяются и требования к технологии.

В частности, поскольку многие производители, создавая Единое предприятие, объединяют свои промышленные и информационные системы в сетевую архитектуру на базе Ethernet, им необходима надежная беспроводная связь с низкими уровнями задержек и без разрывов для непрерывного контроля и доступа к данным. Более того, им необходимо обеспечить безопасность своих беспроводных соединений.

Учитывая уникальные опасности, характерные для беспроводных сетей, включая перехват и слежение за данными, имитацию беспроводного соединения и сетевые атаки, безопасность абсолютно необходима. В частности, необходимо использовать аутентификацию устройств и шифрование данных по стандарту IEEE 802.11, который все чаще принимается за основу при развертывании надежных и безопасных беспроводных сетей для систем промышленной автоматизации и управления (IACS).

При внедрении промышленной беспроводной сети необходимо помнить о некоторых правилах проектирования и обеспечения безопасности, изложенных в руководстве "Внедрение беспроводной технологии LAN 802.11 в объединенной архитектуре Ethernet предприятия," разработанном компанией Rockwell Automation и ее стратегическим партнером Cisco®.


Автономность против унификации


Сначала следует рассмотреть два различных типа архитектуры беспроводной локальной сети (WLAN), используемые в настройках IACS, поскольку требования к обеспечению безопасности для каждого из них различаются.
В автономной архитектуре используются автономные точки беспроводного доступа для реализации всех функций WLAN. Каждую автономную точку доступа можно настраивать и программировать индивидуально.

Автономная архитектура обычно используется только для систем небольшого размера или для автономных беспроводных приложений. Ее характеризуют низкие первоначальные вложения, простая структура и внедрение, а также более четкий контроль качества связи, позволяющий отдать приоритет трафику приложений IACS в сети.

Унифицированная архитектура используется для систем большого масштаба в рамках целого предприятия, со значительным количеством клиентов и приложений. В ее состав входят основополагающие сервисы, включая предотвращение несанкционированного проникновения и гостевой беспроводной доступ, кроме того она создает базу для мобильных приложений на предприятия в целом.

Унифицированная архитектура разделяет функции между универсальными точками доступа (LWAP) и беспроводными контроллерами LAN (WLC). Это решение характеризуется автоматическим развертыванием и заменой точек доступа, требует меньше усилий для обновления конфигурации и встроенного программного обеспечения, а также обеспечивает централизованное управление и прозрачность.

Безопасность автономной архитектуры


Стандарт безопасности Wi-Fi Protected Access 2 (WPA2) с расширенным стандартом шифрования (AES) – единственный механизм обеспечения безопасности, рекомендуемый для промышленных приложений WLAN. Стандарт WPA2 обеспечивает самую лучшую защиту, доступную в настоящее время для промышленных беспроводных локальных сетей, а шифрование AES реализовано на аппаратном уровне и не влияет на производительность приложений.

В автономной архитектуре WPA2 поддерживает как аутентификацию по общему ключу, так и аутентификацию по протоколу 802.1X / протоколу расширенной проверки подлинности (EAP). Рассмотрев свою политику безопасности, наличие инфраструктуры и трудозатраты на внедрение, вы сможете решить, какой из двух этих методов аутентификации лучше всего подойдет для вашей автономной беспроводной сети.
Кроме того, можно использовать несколько методов аутентификации в рамках единой автономной архитектуры, например, для поддержки разных типов клиентов.

При проверке подлинности по общему ключу используется единый для всех устройств архитектуры пароль. Помните, что этот метод не может ограничить доступ к отдельным клиентам - любой пользователь с паролем может пройти аутентификацию в сети WLAN.
В результате аутентификация по общему ключу лучше всего подойдет для небольших сетей WLAN с жестким контролем всех клиентов. В частности, речь может идти о системе с фиксированным числом машин с беспроводным доступом, для которых используются мосты рабочих групп (WGB). Аутентификация по протоколу 802.1X / EAP использует инфраструктуру EAP для обеспечения доступа к сети WLAN. Используя стандарт 802.1X IEEE для управления доступом для портов, этот метод аутентификации обеспечивает надежную защиту за счет контроля доступа на основании учетных записей отдельных пользователей. Его можно использовать, если аутентификация по общему ключу не удовлетворяет вашим требованиям к безопасности.

Рекомендации по настройке для этого метода включают использование протокола EAP-FAST для аутентификации WGB-устройств в автономной сети WLAN. Отдельную точку доступа следует настроить в качестве сервера службы идентификации удаленных пользователей (RADIUS) для хранения учетных данных WGB, запретив при этом доступ к ней любых беспроводных клиентов.
Аутентификация по MAC-адресу – третий способ идентификации, который, однако, небезопасен при использовании в одиночку.

Безопасность унифицированной архитектуры


Унифицированная архитектура WLAN нуждается в сертификатах и других протоколах EAP для аутентификации, помимо аутентификации по протоколу 802.1X / EAP. Кроме того, аутентификация по общему ключу не будет работать в унифицированной архитектуре, поскольку она не способна обеспечить безопасность при быстрых перемещениях, необходимую для унифицированной архитектуры.

В унифицированной архитектуре должна использовать аутентификацию по протоколу EAP-TLS для поддержания безопасности в сети WLAN всего предприятия. Для этого потребуется сервер RADIUS, расположенный в промышленной зоне уровня 3, причем контроллер должен поддерживать локальные сертификаты EAP.

Приложения, не подразумевающие перемещений, могут обойтись без аутентификации по протоколу EAPS-TLS, однако ее использование одновременно для режима быстрого перемещения и режима без перемещений поможет упростить развертывание и уменьшить путаницу в выборе метода защиты для различных устройств.

Прочие рекомендации


Оборудование, выбранное для архитектуры WLAN, должно поддерживать безопасную и надежную беспроводную связь. Это подразумевает использование беспроводных точек доступа (WAP) и устройств WGB, например, беспроводных точек доступа Allen-Bradley® Stratix 5100™ (WAP), соответствующих распространенным стандартам IEEE 802.11 a/b/g/n и обеспечивающих доступ на частотах 2,4 и 5 ГГц для решения широкого спектра производственных задач.

Новые аппаратные решения, способные работать точкой доступа в автономной архитектуре или WGB-устройством в автономной или унифицированной архитектуре, позволяют разворачивать безопасные и надежные беспроводные сети на базе только одного устройства. В качестве точки доступа эти устройства могут использоваться как маршрутизатор для безопасного подключения беспроводных клиентов к проводной сети. В качестве WGB-устройства они способны безопасно подключать до 19 проводных клиентов с IP-адресами к беспроводной сети.

При использовании унифицированной архитектуры необходимо убедиться, что ваш WLC обеспечивает полный контроль и шифрование доступа беспроводной точки доступа к контроллеру (CAPWAP). Кроме того, он должен поддерживать обнаружение подставных точек доступа и сетевых атак.
Наконец, сегментирование сети позволяет разделить вашу сеть управления и информационную сеть предприятия. При этом можно использовать различные методы обеспечения безопасности в каждой сети, что поможет гарантировать строгое разграничение доступа к данным: работники производства смогут получить доступ только к производственным данным и не увидят данных из приложений, относящихся к управлению предприятием.

Независимо от того, разворачиваете ли вы небольшую беспроводную сеть на одной точке доступа или более крупную сеть для всего предприятия, с помощью стандартизованных методов обеспечения безопасности вы сможете использовать беспроводные технологии и промышленный интернет вещей, не подвергая угрозе безопасность своих технологических операций и интеллектуальную собственность.

Узнайте больше об услугах по построению сетей и обеспечению безопасности компании Rockwell Automaton.

О компании Rockwell Automation

Rockwell Automation, Inc. (NYSE: ROK), крупнейшая в мире компания в сфере промышленной автоматизации и информатизации, повышает производительность своих заказчиков и способствует устойчивому развитию в мире. Головной офис Rockwell Automation находится в Милуоки, шт. Висконсин США, штат сотрудников составляет приблизительно 22 000 человек, которые работают с заказчиками более чем в 80 странах мира.

Для получения дополнительной информации, пожалуйста, свяжитесь с пресс-центром.