В производственной области комбинация Ethernet и IP постепенно становится нормой. В этой связи важное значение приобретает защита промышленных сетей от внешних и внутренних опасностей. Для реализации концепции обслуживания и поддержки, а также организации управления промышленными сетями необходимы интеллектуальные коммутаторы Ethernet. Интегрированные во всеобъемлющее решение обеспечения безопасности, они позволяют предотвратить несанкционированный доступ и манипуляции данными или устройствами.

Многие промышленные сети охватывают не менее трех отдельных сетей: корпоративную сеть IP, сеть на уровне управления и сеть на полевом уровне. Корпоративная сеть обслуживает такие административные области, как персонал, бухгалтерия и поставки. Уровень управления связывает устройства контроля и мониторинга: контроллеры с программируемой логикой (Program Logic Controller, PLC) на базе персональных компьютеров, стойки ввода/вывода и интерфейсы «человек-машина» (Human Machine Interface, HMI). На полевом уровне соединяются разнообразные устройства ввода/вывода: датчики (измерительные датчики, фотоэлементы, расходомеры и т. д.) и прочее автоматическое и подвижное оборудование (роботизированные станки и агрегаты, различные частотные генераторы и исполнительные механизмы).

Эксплуатация нескольких сетей с различными технологиями имеет многочисленные недостатки: эффективность и продуктивность низки, расходы велики, сеть очень сложна, а работа с ней требует соответствующего обучения персонала. Кроме того, приходится мириться с ограничениями в отношении пропускной способности и сетевой адресации. Применение простой проводки Ethernet позволяет устранить эти недостатки, если на уровне управления все протоколы будут заменены на Ethernet. Проще говоря, стандарт может интегрировать все три уровня в единую систему и, кроме того, открывает новые возможности для защиты сети.

ИНТЕЛЛЕКТУАЛЬНЫЕ КОММУТАТОРЫ И ВИРТУАЛЬНЫЕ ЛОКАЛЬНЫЕ СЕТИ КАК БАЗИС

Основу для защищенных сетей Ethernet составляют интеллектуальные коммутаторы, отличающиеся высокой готовностью, качеством услуг (Quality of Service, QoS) и функциями безопасности. Традиционные концентраторы и неуправляемые коммутаторы уже не удовлетворяют требованиям приложений реального времени, применяемых в современных производственных сетях. Предприятия стремятся изолировать трафик внутренних служб от трафика уровня управления. Благодаря коммутаторам Ethernet перед ними открывается возможность организации виртуальных локальных сетей (Virtual Local Area Network, VLAN), посредством которых сегменты могут разделяться на логические домены.

По причине специфических задержек по времени в ранних сетях Ethernet системные администраторы производственных предприятий делали выбор отнюдь не в пользу этой технологии. Поскольку данные передавались различными конечными устройствами одновременно, в сети происходили коллизии. При обнаружении подобной коллизии соответствующий сетевой интерфейс формировал очередь ожидания. В случае неуправляемых коммутаторов передача данных выполнялась не в реальном времени.

Производственные сети характеризуются в первую очередь тем, что пакеты данных рассылаются в соответствии с принципом «один ко многим». Копия одного пакета отсылается множеству получателей, из-за чего порты конечной станции на неуправляемом коммутаторе переполняются информацией, и к конечным устройствам начинают предъявляться слишком высокие требования. Помощь в решении этих проблем могут оказать интеллектуальные и управляемые коммутаторы Ethernet, поскольку они обладают рядом дополнительных функций для автоматизации производства.

ИНТЕЛЛЕКТУАЛЬНЫЕ ФУНКЦИИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

Интеллектуальный коммутатор предлагает множество функций обеспечения безопасности. Пользователи в состоянии укрепить сеть путем принятия мер по защите в виде паролей и соответствующей конфигурации устройств. Сетевая безопасность базируется на информации о портах, пользователях и МАС-адресах, а также мгновенной реакции на действия хакеров и других непрошеных гостей. Протоколы SSH и SNMP (в третьей версии) шифруют проходящую по сети информацию, тем самым защищая трафик данных от шпионажа и манипуляций. Граница частной виртуальной локальной сети (Private VLAN Edge) изолирует порты на коммутаторе и обеспечивает передачу трафика данных по виртуальному пути напрямую от точки входа к устройству агрегации, а не просто к другому порту.

Параметры контроля доступа (Access Control Parameter, ACP) на базе портов ограничивают доступ в критичные части сети, при этом пакеты допускаются или не допускаются в сеть на основании МАС-адреса отправителя или получателя, IP-адреса или портов TCP/UDP. Просмотр АСР производится посредством аппаратного обеспечения, и при реализации этой функции безопасности производительность передачи не страдает. Кроме того, конфигурируемые по времени АСР позволяют настраивать разнообразные услуги для разных временных интервалов. АСР могут использоваться и для фильтрации трафика на базе различных значений сервисного кода. Еще одно средство обеспечения безопасности — защита портов, позволяющая установить, что подключенный пользователь имеет право работать через данный порт. Это происходит путем ограничения доступа на основании МАС-адресов.

Управляемые коммутаторы Ethernet предлагают следующие преимущества:

  • возможность построения виртуальных локальных сетей для разделения областей на логические рабочие группы. При помощи VLAN конечные устройства могут объединяться в группы, к примеру в частные сети, а инспекторы машин — в одну группу, даже если они находятся в разных зданиях;
  • управление многоадресной передачей. Чтобы не рассылать информацию всем пользователям, эти устройства используют протокол многоадресной рассылки (Internet Group Multicast Protocol, IGMP), поэтому трафик направляется только желаемому получателю. Таким образом, IGMP защищает пакетные линейные карты и устройства ввода/вывода с ограниченной пропускной способностью;
  • контроль качества услуг и управление очередями. Тем самым коммутаторы в состоянии назначать более высокий приоритет критичным данным. При перегрузках сети трафик также передается с высоким приоритетом. При отсутствии обеих этих функций пакеты бы терялись.

В интеллектуальных коммутаторах Ethernet пользователи могут настроить транковые интерфейсы 802.1q, на которых трафику данных назначаются теги для правильного отнесения конечного устройства к виртуальной сети и правильного назначения соответствующих параметров QoS или идентификации исходной VLAN потока данных.

МНОГОЧИСЛЕННЫЕ УГРОЗЫ

Для производственной сети опасны не только хакеры вообще, но и промышленные шпионы в частности. Нападение может осуществляться посредством готовых эксплоитов с применением таких средств, как Back Orifice, при этом хакер пытается получить доступ к сети или важным системам. Еще одним случаем являются атаки по типу «отказ в обслуживании» (Denial of Service, DoS), в результате которых серверы оказываются парализованными из-за большого числа запросов. К атакам DoS, среди прочих, относятся Trinoo, TFN и Syn Floods. Разведочные действия означают составление атакующим карты сети для своих злонамеренных целей, при этом применяются такие методы, как зондирование посредством эхозапросов и зондирование портов. Они обычно являются предвестниками готовящегося нападения. Еще одной категорией атак являются, к примеру, такие действия, как попытки отключить корпоративную политику. Они могут быть обнаружены, если в сетевом трафике появляются определенные текстовые строки. Среди оставшихся атак можно выделить перехваты пакетов данных в определенных местах сети при неадекватной ее конфигурации (анализатор пакетов), фальсификация ключей в инфраструктурах PKI (атаки по типу «человек в середине»), фальсификация IP-адресов (IP-спуфинг) и определение пароля по методу «грубой силы».

ФУНКЦИИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ НА КОММУТАТОРАХ

Коммутаторы Ethernet, в отличие от концентраторов и неуправляемых коммутаторов, обладают множеством механизмов обеспечения безопасности. Среди прочего они поддерживают протокол 802.1х, защиту портов, регистрацию МАС-адресов и отслеживание интерфейсов протокола динамической конфигурации хостов (Dynamic Host Configuration Protocol, DHCP). Каждая из этих мер может быть индивидуально сконфигурирована в соответствии с требованиями конкретной производственной среды.

Списки контроля доступа (Access Control List, ACL) следят за тем, чтобы определенные шаблоны трафика направлялись на специфичные порты. Тем самым предотвращается доступ к важным корпоративным данным для тех, кто все-таки смог проникнуть в сеть. Кроме того, списки контроля доступа и некоторые функции QoS интеллектуальных коммутаторов также препятствуют перегрузке сети, которая может возникнуть вследствие действий атакующего.

В целях создания более стабильной и управляемой сети современные коммутаторы могут поддерживать простые графические интерфейсы, стандартные браузеры и такие инструменты сетевого управления, как HP OpenView и Cisco Works.

СПИСКИ КОНТРОЛЯ ДОСТУПА

В случае ACL речь идет о списках с идентификаторами безопасности, где записаны все доступные в сети услуги и соответствующие хосты. Они управляют привилегиями доступа к сетевым услугам, файлам и каталогам. ACL могут, к примеру, запретить дальнейшую передачу пакета с какого-либо маршрутизатора. Фильтрация пакетов при помощи ACL позволяет не только управлять правами доступа, но и ограничивать сетевой трафик. Списки разрешают или запрещают прохождение пакетов через определенные интерфейсы.

ACL представляет собой последовательное регулирование условий разрешения или запрета. Коммутатор сравнивает поступающие на интерфейс пакеты с записями в ACL для того, чтобы определить, можно ли пропустить пакет. Записи просматриваются одна за другой, поэтому их последовательность в списке имеет большое значение. Первым делом принимается решение о том, принять пакет или отказать ему. Если ограничений нет, он проходит дальше. Коммутатор способен контролировать все коммутируемые пакеты, включая те, которые передаются по виртуальной сети через мост.

Конфигурацию ACL на коммутаторе третьего уровня следует рассматривать как базовую меру безопасности. Если бы этого регулирования не было, то все пакеты данных беспрепятственно достигали любой части сети. ACL также упорядочивают обращение определенных хостов к определенным частям сети. В качестве примера регулирования можно привести следующий критерий отбора: трафик электронной почты пропускается, а трафик telnet — нет. При конфигурировании списков контроля доступа возможно также блокирование входящего или исходящего трафика. В них содержится упорядоченный список записей контроля доступа (Access Control Entry, ACE), где задаются специальные условия.

Интеллектуальные коммутаторы поддерживают различные типы ACL — в зависимости от трафика данных (TCP/IP, UDP, IGMP, ICMP и т. д.). Списки контроля доступа имеются также для поддержки QoS. В производственной области особую роль играют прежде всего ACL виртуальных сетей. Они фильтруют трафик данных между конечными устройствами одной VLAN. Неподдерживаемые протоколы контролируются посредством МАС-адресов и записей контроля доступа Ethernet. ACL для VLAN или плоскости виртуальных локальных сетей содержат информацию о доступе для данных, направляемых в такую сеть.

ВЫСОКАЯ ГИБКОСТЬ И МОБИЛЬНОСТЬ

Протокол 802.1х предлагает безопасность на уровне портов для аутентификации пользователей при помощи системы контроллеров терминального доступа (TACACS+) или сервера RADIUS. Вместе с сервером RADIUS он позволяет осуществлять динамическую аутентификацию пользователей на базе портов, которая может быть расширена для динамического назначения виртуальной сети определенным пользователям, независимо от того, где они входят в сеть. Такая интеллектуальная функциональность обеспечивает более высокую гибкость и мобильность в случае разнородного контингента пользователей.

При комбинировании контроля доступа и пользовательских профилей с надежными сетевыми средствами соединения, услугами и приложениями администраторы могут эффективнее управлять мобильностью персонала компаний и радикально снизить количество служебного трафика путем санкционирования доступа к сетевым ресурсам и управлению. В случае многоуровневых коммутаторов достигается высокая степень безопасности консоли. Защита доступа с консоли коммутатора и из интерфейса управления на базе Web предотвращает проникновение в сеть посторонних и несанкционированное изменение конфигураций коммутатора. TACACS+ и аутентификация RADIUS обеспечивают централизованное управление доступом и не позволяют изменять конфигурацию неавторизованным пользователям.

ВСЕОХВАТЫВАЮЩАЯ ЗАЩИТА

В защите информационных технологий заинтересованы предприятия любого типа и любого размера. Специализирующаяся в области защиты информации компания Internet Security Systems (ISS) за первые месяцы 2003 г. отметила значительный прирост количества угрожающих происшествий и атак со стороны хакеров. И хотя общее число инцидентов в области безопасности снизилось со 161 до 137 млн, в период с апреля по июль был зафиксирован рост количества атак на 13,7%. При этом источник большинства из них находился внутри предприятия.

Меры безопасности наиболее действенны, когда они интегрированы во всеохватывающую концепцию безопасности. Наряду с брандмауэрами свое место в решении обеспечения безопасности должны занимать системы обнаружения вторжения (Intrusion Detection System, IDS). Они постоянно следят за трафиком данных во всех сетевых сегментах и выискивают шаблоны, на основании которых можно сделать вывод об атаке. При необходимости они самостоятельно могут принять соответствующие меры и оповестить администратора о нападении на сеть. В идеальном случае IDS следует устанавливать в тех местах, где обеспечивается наилучшая интеграция в сетевую инфраструктуру, а именно на коммутаторе.

Защищенное соединение по туннелю виртуальной частной сети (Virtual Private Network, VPN) имеет смысл, когда на производстве дополнительно развернута беспроводная локальная сеть (Wireless Local Area Network, WLAN). Так, компания Cisco разработала концепцию SAFE для интегрированных функций обеспечения безопасности во всех продуктах. С ее помощью предприятия могут самостоятельно проанализировать, оценить и трансформировать свои требования к безопасности: в идеальном случае интегрированные функции безопасности в коммутаторах дополняются IDS, VPN, брандмауэрами и серверами управления доступом. При помощи SAFE предприятие может внедрить и директивы по защите.

УПРАВЛЕНИЕ ПРОМЫШЛЕННЫМИ СЕТЯМИ

Протокол DHCP используется в локальных сетях для динамического назначения хосту IP-адресов с центрального сервера, что позволяет заметно снизить издержки на администрирование IP-адресов. Кроме того, протокол способствует ограничению пространства IP-адресов, поскольку последние не должны быть привязаны к хосту. Фактически IP-адреса нужны только хостам, соединенным с сетью.

В случае промышленного Ethernet на интеллектуальном коммутаторе теперь можно активировать функцию DHCP/Option 82 — пользователь идентифицируется по порту коммутатора, через который он соединен с сетью (а не по своему МАС-адресу). К одному порту на коммутаторе доступа могут подключаться несколько пользователей и идентифицироваться единообразно. Серверы DHCP умеют назначать IP-адреса, контролировать доступ, а также определять функции качества услуг и обеспечения безопасности для каждого пользователя. Коммутатор Ethernet работает в качестве агента ретранслятора DHCP и сконфигурирован таким образом, что передает сообщения DHCP между клиентами и серверами. Опция DHCP 82 обеспечивает изоляцию передачи, когда клиентские порты находятся в одной виртуальной локальной сети. Запросы к клиентам в одной и той же VLAN перехватываются агентом ретрансляции и не передаются другим клиентам в виртуальной сети, предохраняя их от перегрузки. Для идентификации передается поле опции 82, благодаря чему достигается очень простое управление и поддержка сетей. Администраторы должны лишь заменять устройства по мере их морального старения или выхода из строя. Конфигурация выполняется автоматически через центральную сеть.

Поскольку Ethernet, как и Internet, использует протокол TCP/IP, становится возможным управление производственными системами на базе Web. Для администрирования промышленных сетей Ethernet предлагаются такие инструменты управления, как CiscoWorks. Подобные решения следят за трафиком в локальной сети, обслуживают ее и обладают функциями для распознавания и устранения ошибок. Менеджер аппаратных ошибок успешно идентифицирует большинство узких мест и проблем до того, как о них узнает сетевой администратор. Управление на базе Web процессами конфигурации и обновления программного обеспечения на коммутаторах все чаще становится решающим фактором во все увеличивающихся по размерам промышленных сетях.

Решение для управления локальной сетью позволяет создать и модифицировать виртуальную локальную сеть. Оно предлагает распределение программного обеспечения, учет устройств и анализ системных журналов для коммутируемых инфраструктур. С его помощью сетевое управление становится более действенным и эффективным. Продукт легко интегрируется, к примеру, в решение для управления виртуальными частными сетями и безопасностью. Устройства должны быть всегда доступны, особенно в случае конвергентных приложений с передачей голоса и данных. Итак, полноценное решение по управлению локальными сетями должно включать в себя средства для устранения ошибок, масштабируемого обзора топологии, индивидуальной конфигурации, анализа маршрутов канального и сетевого уровней, отслеживания голосовых маршрутов, мониторинга трафика данных и рабочих потоков приложений.

КОНВЕРГЕНЦИЯ НА ПРОИЗВОДСТВЕ

На полевом уровне передача осуществлялась в большинстве случаев по полевым шинам, возможности которых были рассчитаны на небольшие объемы данных. Для сквозной передачи данных без шлюзов протоколы полевой шины имеет смысл отобразить на Ethernet и TCP/IP. При помощи Ethernet сетевым администраторам удастся интегрировать промышленную сеть в конвергентную голосовую сеть/сеть передачи данных. Преимущества в стоимости, обслуживании и управлении очевидны, поскольку вместо трех различных сетей передача голоса и данных, а также управление производством будут возложены на инфраструктуру одной сети.

Продукты для промышленного Ethernet должны выбираться таким образом, чтобы они обеспечивали высокую готовность, качество услуг и расширенную безопасность. Оперативную сходимость сети обеспечивает протокол быстрого связующего дерева. Если на каком-либо сетевом узле возникает проблема, то немедленно организуется резервный канал и менее чем за секунду оказывается подключенным другой сетевой узел. Высокая степень готовности достигается также при помощи IGMP. Эта функция позволяет без особого труда управлять многоадресным трафиком данных в коммутируемой сети. Без IGMP возможна перегрузка управляющих сетей.

Промышленная сеть Ethernet пропускает через себя различные данные: от обычных стандартных программ или критичной для предприятия информации об управлении до требующей высокой пропускной способности передачи голоса и видео. И без назначения приоритетов потокам данных сеть обойтись не сможет. Технология QoS отвечает за то, чтобы весь трафик данных получал необходимую пропускную способность, приоритет и время задержки, чем достигается эффективное и бесперебойное функционирование сети.

Конечные устройства на производстве обладают интерфейсами Ethernet, управление которыми осуществляется через порты коммутатора Ethernet. Современные стандарты Ethernet и интеллектуальные коммутаторы позволяют назначать приоритеты в реальном времени и масштабировать пропускную способность от 10 Мбит/с до 100 или 1000 Мбит/с. В принципе можно утверждать, что интеллектуальное коммутирующее решение на базе Ethernet допускает простое сквозное применение и тем самым заметно упрощает структуру промышленной сети: информация не должна проходить через различные полевые шины или сетевые инфраструктуры, а специальные защитные функции предотвращают несанкционированный доступ к данным и устройствам — изнутри и снаружи.

Вальтер Хильдебрант — менеджер немецкого отделения Cisco Systems. С ним можно связаться по адресу: http://www.cisco.de.


Специально для жестких сред

Catalyst 2955 с 12 портами локальной сети предназначен для использования в жестких производственных средах. При его применении заводские цехи и поточные линии получают выигрыш от использования стандартизированной инфраструктуры Ethernet. К интеллектуальным услугам коммутации добавляются также избыточная подача питания, сетевой мониторинг, простая замена оборудования, управление многоадресным трафиком и QoS. Коммутатор отвечает специальным требованиям к промышленному применению, компактен, пассивно охлаждается и обладает сигнализацией на выходе, включающейся посредством реле. Он работает при температурах от -40 до +600С, а также в средах с сильной вибрацией и ударными импульсами. Благодаря небольшим размерам устройство можно размещать в промышленных установках и распределительных коробках.


? AWi Verlag