С проникновением Ethernet и TCP/IP в сети промышленной автоматизации растет осознание уязвимых мест и угроз для безопасности сетевых систем управления и автоматизации. Рынок средств безопасности промышленных сетей (Industrial Network Security) появился не так давно, и традиционное офисное оборудование для него не подходит, в результате появляются продукты, предназначенные для промышленной среды. Многие из этих устройств, именуемых маршрутизаторами-брандмауэрами, маршрутизаторами для виртуальных частных сетей (Virtual Private Network, VPN) и обеспечения безопасности или сетевыми устройствами безопасности (Network Security Appliance), на первый взгляд похожи, в связи с чем возникает соблазн ограничиться при выборе лишь одним критерием — стоимостью. Однако следует быть осторожным: важное кроется в мелочах, в данном случае — в наличии мощных инструментов для администрирования. Речь не о том, какой продукт предлагает максимально широкую функциональность — система должна обеспечить именно тот набор функций, который требуется клиентам, предоставив сбалансированное и целостное решение.
ВАРИАНТЫ ИСПОЛНЕНИЯ И ИНТЕРФЕЙСЫ
Наиболее популярным вариантом исполнения являются устройства для крепления на монтажную шину в коммутационных шкафах с электропитанием 24 В. Обычно достаточно, чтобы корпус имел защиту IP 20. Если технологию безопасности требуется также гибко интегрировать в промышленные ПК или реализовать ее в распределительных помещениях сети, то следует обратить внимание на другие варианты исполнения, к примеру, карты PCI или шасси формата 19”.
Необходимо продумать, с помощью каких интерфейсов и средств внутренние сети Ethernet производственных установок или цехов будут взаимодействовать с внешними сетями. Достаточно ли подключения по Ethernet к локальной сети? Существует ли необходимость в поддержке PPPoE для прямого соединения с Internet через модем DSL? Для узкополосных приложений дистанционного мониторинга могут оказаться эффективными последовательные коммутируемые соединения через аналоговый модем и ISDN или мобильная связь через GSM/GPRS. Однако эти технологии не подходят для задач дистанционного обслуживания, поскольку они более требовательны к пропускной способности или времени отклика. Для них необходимо предусмотреть соединение на базе Ethernet или хотя бы широкополосное мобильное соединение (EDGE/UMTS/HSDPA).
ИНТЕГРАЦИЯ И МАРШРУТИЗАЦИЯ СЕТЕЙ
Чаще всего маршрутизаторы применяются для подключения производственных установок и цехов к окружающей сети. К стандартному набору возможностей относятся маскирование внутренней сети установки посредством преобразования сетевых адресов (Network Address Translation, NAT) и переадресация определенных пакетов данных через порты (Port Forwarding). Гораздо реже встречается очень полезная функция, известная как 1:1 NAT, или виртуальное отображение (Virtual Mapping). Она позволяет отображать подсети производственных установок с идентичными внутренними пространствами IP-адресов на однозначные внешние адреса, так что они оказываются доступны извне по этим виртуальным адресам.
Если такая функциональность необходима, то следует также обратить внимание на возможность настройки дополнительных внутренних и внешних маршрутов в другие сети и на поддержку виртуальных локальных сетей (Virtual LAN). Кроме того, надо проверить, предоставляют ли устройства необходимые сетевые службы: клиент и сервер DHCP для динамической настройки маршрутизатора или подключаемых хостов, продвижение и кэширование DNS (DNS Forwarding/Cashing) и локальное разрешение имен хостов, регистрацию DynDNS имен хостов для динамически изменяемых внешних IP-адресов (как в случае с DSL), а также клиент и сервер NTP для синхронизации системного времени.
БЕЗОПАСНОСТЬ И ПРОИЗВОДИТЕЛЬНОСТЬ БРАНДМАУЭРА
Интегрированный брандмауэр является важным инструментом контроля сетевого трафика и его ограничения в рамках надежных соединений. Простые пакетные фильтры уже не справляются с этой задачей. Между тем, брандмауэры на базе технологии контекстной проверки (Stateful Inspection Firewall) способны контролировать корректность инициализации соединений и автоматически распределять ответные пакеты по существующим соединениям (Connection Tracking). Далее, следует убедиться в наличии базовых защитных механизмов для предотвращения атак подмены IP (IP Spoofing), SYN Flooding и отказа в обслуживании (Denial of Service).
В том случае, если средства обеспечения безопасности необходимо внедрить в существующие системы и сети без дальнейшей их сегментации, избежать, когда требуется реконфигурации систем, важно, чтобы устройства безопасности функционировали не только в качестве маршрутизаторов, но и в скрытом режиме (Stealth Mode), и в режиме моста (Bridge Mode). В идеале для администрирования устройствам не требуется даже собственный IP-адрес: они автоматически присваивают себе сетевые идентификаторы (MAC- и IP-адреса) защищаемой системы. Помимо таких гибких устройств на рынке представлены решения, функционирующие исключительно в качестве маршрутизатора или моста.
Очень полезен брандмауэр для пользователей (User Firewall), когда некоторым пользователям требуется разрешить определенные соединения при условии их предварительной авторизации. Например, технические специалисты с помощью ноутбука подключаются к локальной сети и получают посредством DHCP динамичный IP-адрес, чтобы с помощью программы для проектирования выполнить программирование управляющих элементов, находящихся за устройствами безопасности в защищенных производственных ячейках. Таким образом, доступ к портам для проектирования управляющих элементов предоставляется только уполномоченным лицам.
Не в последнюю очередь следует уделить внимание производительности устройств. Продукция из нижней ценовой категории часто оснащается маломощными процессорами, так что она оказывается способна справиться лишь с небольшим трафиком (несколько Мбит/с), превращаясь в узкое место для всей сети. Хорошие маршрутизаторы безопасности обеспечивают работу брандмауэра в обоих направлениях со скоростью линии (Wire Speed), т. е. 2х99 Мбит/с в сети Ethernet на 100 Мбит/с.
VPN ДЛЯ ДИСТАНЦИОННЫХ СЛУЖБ INTERNET
Внедрение устройств сетевой безопасности чаще всего обусловлено необходимостью обеспечения защиты при осуществлении диагностики, обслуживания и мониторинга состояния производственных установок и цехов через Internet. Для этого применяются виртуальные частные сети (Virtual Private Networks, VPN), которые, благодаря технологиям шифрования, обеспечивают аутентификацию, конфиденциальность и целостность трафика данных.
Архитектура безопасности IPSec сегодня наиболее популярна, поддерживается коммерческими производителями и сообществом разработчиков открытых кодов (Open Source). Протокол IPSec реализуется в ядре соответствующей операционной системы, к примеру Linux. При реализации в процессоре шифрование выполняется с аппаратным ускорением, в результате производительность VPN повышается чуть ли не десятикратно по сравнению с полностью программными решениями. Методы 3DES и AES-256 способны обеспечить надежное шифрование и сейчас, и в обозримом будущем. Для доступа VPN важны режим туннеля IPSec (IPSec Tunnel Mode) и поддержка технологии NAT Traversal (NAT-T). Как правило, при помощи VPN связывают две подсети (а не отдельные узлы), которые, в свою очередь, находятся за другими шлюзами NAT или брандмауэрами, к примеру, сеть производственного цеха и сеть центра дистанционного обслуживания (Remote Service Center). Полезны также проверка достижимости конечной точки туннеля (Dead Peer Detection, DPD), поддержка фрагментации IKE (IKE Fragmentation Support), обеспечивающая надежные соединения даже на «плохих» участках Internet с потерей фрагментов UDP и контроль корреспондирующих станций VPN с именами хостов DynDNS, что позволяет автоматически восстанавливать соединения после разрыва или смены IP-адреса.
На рынке появляется все больше устройств, где используется реализация OpenVPN, программное обеспечение с открытыми кодами, которое, в отличие от IPSec, выполняется не в ядре, а в пользовательском пространстве операционной системы. Производителям легче перенести эту технологию на свою платформу, однако они лишаются преимуществ высокой производительности за счет аппаратного ускорения шифрования, что может стать серьезной проблемой, особенно для масштабируемости центрального узла. Кроме того, OpenVPN не является, как IPSec, стандартом Internet.
Некоторые решения предлагают туннелирование SSH/SSL, но они не позволяют объединить сети IP через VPN: для каждого соединения туннелирование настраивается отдельно и ограничивается протоколами TCP со статичными портами. Таким образом, данная технология не пригодна для доставки таких служб на базе UDP, как IP-телефония (VoIP) или потоковая передача видео.
Для аутентификации партнеров по VPN предпочтительнее использовать цифровые сертификаты вместо заранее распределенных ключей (Preshared Key). Необходимо удостовериться в том, что устройства предоставляют полноценную поддержку для инфраструктуры открытых ключей (Public Key Infrastructure, PKI) и для них имеется управляющее программное обеспечение, облегчающее взаимодействие с центрами сертификации (Certificate Authority) и работу с самими сертификатами.
Особо следует обратить внимание на возможность последующего оснащения: почти все представленные на рынке устройства обеспечения безопасности поддерживают VPN только в режиме эксплуатации в качестве маршрутизатора. Если поддержку удаленного администрирования через Internet необходимо внедрить в уже существующую систему, то сделать это прозрачным (для окружающей сети) образом можно, только если устройство способно устанавливать соединения VPN еще и в режимах Stealth и Bridge. Кроме того, устройство должно быть способно применять правила брандмауэра внутри туннелей VPN.
Некоторые маршрутизаторы для удаленного обслуживания предназначены или пригодны только для соединений VPN «точка-точка», то есть от рабочего места технического специалиста к одной конкретной машине. Однако такой подход устарел: информацию о соединении с каждой отдельной машиной приходится хранить локально (в итоге она становится известной обслуживающему персоналу), а сами машины должны быть доступны через публичные IP-адреса. Более разумное решение — подключение систем через исходящие соединения VPN к центральному сервисному шлюзу или порталу. При этом обязательна поддержка уже упомянутой технологии 1:1 NAT в туннелях VPN. Только при таких условиях сервисный центр может применять однозначные (виртуальные) адреса, чтобы обращаться к системам клиентов, имеющим одинаковые или перекрывающиеся адресные пространства. Кроме того, устройству требуются простые программные интерфейсы и/или цифровой ввод/вывод для подключения и контроля соединений VPN, поскольку почти все владельцы предпочитают сохранять контроль над соединениями для дистанционного обслуживания.
Если по соединению глобальной сети с ограниченной пропускной способностью нужно предоставлять сразу несколько служб, то полезными окажутся функции обеспечения качества сервиса (Quality of Service, QoS). К примеру, с их помощью управление пропускной способностью позволяет обеспечить разборчивость речи при телефонии VoIP и приемлемость времени отклика в случае применения Remote Desktop Sharing, в то время как передаче файлов, осуществляемой в фоновом режиме, придется довольствоваться оставшейся пропускной способностью.
УПРАВЛЕНИЕ УСТРОЙСТВАМИ И МОНИТОРИНГ
Данный раздел наиболее важен для тех, кто планирует внедрить и эксплуатировать более 100 устройств обеспечения безопасности, ведь всем этим «зоопарком» небольших, но сложных устройств надо управлять так, чтобы время осталось и на другую работу.
Прежде всего, отдельные устройства должны вводиться в эксплуатацию без каких-либо дополнительных вспомогательных средств. Как правило, это достигается с помощью интегрированного пользовательского интерфейса Web (Web GUI). Для автоматизации развертывания устройств или обновления их конфигурации, например, с помощью сценариев, нужен полноценный интерфейс командной строки (Command Line Interface, CLI). Эти подходы должны использовать надежную аутентификацию пользователей и защищенные протоколы (HTTPS вместо HTTP и SSH вместо Telnet с сертификатами в качестве опции), причем область их действия необходимо ограничить заданными сетями. Устройство безопасности без защиты администрирования является бесполезным. Далее, пригодится возможность загружать конфигурационные профили с устройства и на него, а также сохранять их и повторно активировать. Особенно это касается базового профиля, который, в отличие от заводских настроек, конфигурируется в соответствии с индивидуальными требованиями клиента.
Если система безопасности оснащена эффективным централизованным решением для администрирования, то развертывание даже большого количества устройств безопасности не доставит трудностей (см. Рисунок 1). К примеру, система управления может предоставлять шаблоны настроек, структурированные в иерархическом порядке и переносимые на устройства, что существенно повышает продуктивность при вводе оборудования в эксплуатацию и последующем обслуживании. Модель ролей и прав позволяет специалисту на месте настроить определенные параметры устройства (к примеру, ввести внешний IP-адрес маршрутизатора, маску сети или шлюз по умолчанию, информация о которых была предоставлена пользователем в самый последний момент), но он не сможет изменить централизованные настройки, важные для обеспечения безопасности. Программное обновление устройств должно быть возможно по сети без прерывания эксплуатации устройства.
Как правило, при дистанционном обслуживании устройства, находящиеся за клиентскими брандмауэрами, невозможно настраивать из центра администрирования (метод Push). Они должны самостоятельно запрашивать настройки у центрального сервера посредством HTTPS или через сервер-посредник (метод Pull) и быть управляемыми через VPN.
Если предполагается интеграция устройств в системы администрирования и мониторинга сетей, то понадобится поддержка SNMP в защищенной версии 3 с обширной базой данных управляющей информации (Management Information Base, MIB), а также возможность отправлять центральному серверу сообщения SNMP Trap и Syslog для важных событий системы и брандмауэра.
Торстен Рессель — директор по развитию бизнеса в Innominate Security Technologies.
© AWi Verlag
Рисунок 1. Поддержка эффективного централизованного администрирования одновременно с возможностью целенаправленной передачи административных прав персоналу на местах служит ключом к успешному развертыванию большого количества устройств безопасности (на рисунке изображена архитектура административного решения для оборудования mGuard от Innominate).