سیستم اتوماسیون و کنترل صنعتی (بخش اول)

موضوعات

• راهکار WoMaster برای محافظت کامل

• امنیت پیشرفته پورت‌ها

  • احراز هویت MAC (MAB) مبتنی بر استاندارد IEEE 802.1x

• مکانیزم‌های نظارتی و محافظتی شبکه

  • DHCP Snooping
  • بررسی پویا ARP (DAI)
  • محافظت از منبع IP  (IP Source Guard)
  • لیست کنترل دسترسی IPv4/IPv6 (ACL)

• قابلیت‌های ACL در محصولات WoMaster

با افزایش تقاضا برای اینترنت اشیاء صنعتی (IIoT)، سیستم اتوماسیون و  کنترل صنعتی قدیمی که پیش‌تر به‌صورت بسته و ایزوله عمل می‌کردند، اکنون با چالش‌هایی برای اتصال به اینترنت مواجه شده‌اند. هرچند این اتصال می‌تواند بهره‌وری عملیاتی را افزایش دهد، اما هم‌زمان تهدیدات امنیت سایبری بیشتری را نیز به همراه دارد. در نتیجه، دولت‌ها و شرکت‌ها نسبت به خسارات بالقوه‌ی ناشی از حملات سایبری نگرانی بیشتری پیدا کرده‌اند.

استاندارد  IEC 62443 مجموعه‌ای به‌روز از دستورالعمل‌ها و بهترین رویه‌های امنیتی را برای بخش‌های مختلف شبکه ارائه می‌دهد. این استاندارد همچنین شامل راهنمایی‌هایی برای افراد مسئول در بخش‌های مختلف شبکه است تا از باگ ‌های امنیتی شناخته‌شده و حملات ناشناخته جلوگیری شود. هدف نهایی این استاندارد، افزایش ایمنی شبکه‌ها و تقویت امنیت در محیط‌های اتوماسیون و کنترل صنعتی است.

در حال حاضر، بسیاری از یکپارچه‌سازان سیستم (System Integrators) مانند Siemens و ABB  از تأمین‌کنندگان قطعات خود می‌خواهند که با زیرمجموعه‌ی IEC 62443-4-2  که به‌طور خاص به امنیت تجهیزات مصرفی (End Devices) می‌پردازد، مطابقت داشته باشند. این بخش، چهار سطح تهدید امنیتی را تعریف می‌کند:

• سطح 1: محافظت در برابر دسترسی‌های ناخواسته و بدون احراز هویت (غیرعمدی).
• سطح 2: سطح پایه مورد نیاز در صنعت اتوماسیون؛ تمرکز آن بر تهدیدات سایبری از سوی هکرها است که شایع‌ترین نوع حمله برای یکپارچه‌سازان سیستم محسوب می‌شود.
• سطوح 3 و 4: طراحی شده برای مقابله با دسترسی‌های عمدی توسط هکرهایی که از مهارت‌ها و ابزارهای پیشرفته استفاده می‌کنند.

تهدیدهای اصلی از نگاه کارشناسان امنیت سایبری

• دسترسی غیرمجاز
• انتقال داده بدون امنیت
• رمزنگاری‌نشدن داده‌های کلیدی
• گزارش‌گیری ناقص از رویدادها
• خطاهای عملیاتی

راهکار WoMaster برای محافظت کامل

WoMaster راهکار امنیتی یکپارچه سخت‌افزار و نرم‌افزار مبتنی بر فناوری ASIC)) ارائه می‌دهد. این راهکار شامل موارد زیر است:

• طبقه‌بندی بسته‌ها در لایه‌های 2 تا 7
• احراز هویت چندلایه
• انتقال ایمن داده‌ها
• رمزنگاری داده‌های حساس
• گزارش‌گیری کامل از رویدادها و تله‌ها
• جلوگیری از خطاهای عملیاتی

این راهکارها از سطح 2 استاندارد IEC 62443-4-2 فراتر رفته و امنیت بالاتری برای کاربردهای صنعتی ایجاد می‌کنند.

از دیدگاه کارشناسان امنیت سایبری، تهدیدات اصلی که می‌توانند شبکه‌های داخلی را تحت تأثیر قرار دهند شامل موارد زیر هستند:
دسترسی غیرمجاز، انتقال ناامن داده‌ها، رمزنگاری‌نشده بودن داده‌های کلیدی، لاگ‌های رویدادی ناقص، و خطاهای عملیاتی.

مکانیزمی یکپارچه از نرم‌افزار و سخت‌افزار مبتنی بر ASIC برای حفاظت ارائه می‌دهد که در آن از جدیدترین فناوری امنیتی مدارهای مجتمع با کاربرد خاص (ASIC) استفاده شده است. این مکانیزم قابلیت‌هایی نظیر طبقه‌بندی بسته‌ها در سطوح L2 تا L7 ، احراز هویت چندسطحی، انتقال امن داده‌ها، رمزنگاری داده‌های کلیدی، ثبت کامل رویدادها و تله‌ها، پیشگیری از خطاهای عملیاتی و ثبت دقیق آن‌ها را فراهم می‌سازد. این قابلیت‌ها حتی فراتر از الزامات سطح ۲ استاندارد IEC 62443-4-2  عمل می‌کنند و بدین ترتیب، بستری بسیار امن برای کاربردهای صنعتی فراهم می‌نماید.

امنیت پیشرفته پورت‌ها

احراز هویت MAC (MAB) مبتنی بر استاندارد IEEE 802.1x

 MAB (MAC Authentication Bypass) امکان کنترل دسترسی مبتنی بر پورت را با عبور از فرآیند احراز هویت آدرس    MAC  از طریق سرورهای TACACS+ یا Radius فراهم می‌کند.

پیش از اجرای MAB، هویت نقطه پایانی (برای مثالPLC ) ناشناخته بوده و تمام ترافیک آن مسدود می‌شود. سوئیچ با بررسی یک بسته اطلاعاتی، آدرس MAC منبع را تشخیص داده و آن را احراز هویت می‌کند. پس از موفقیت‌آمیز بودن فرآیند MAB، هویت نقطه پایانی مشخص شده و تمام ترافیک آن مجاز شناخته می‌شود. سوئیچ همچنین با فیلتر کردن آدرس MAC  منبع، اطمینان حاصل می‌کند که فقط نقطه پایانی تأییدشده توسط MAB مجاز به ارسال داده است.

علاوه بر MAB ، احراز هویت همچنین می‌تواند از طریق جدول آدرس MAC (Static) یا  (Auto-Learn) در سوئیچ انجام شود:

• MAC (MAC Address Auto Learning): این قابلیت اجازه می‌دهد سوئیچ به گونه‌ای برنامه‌ریزی شود که تعداد مشخصی از اولین آدرس‌های MAC مشاهده ‌شده روی یک پورت امن را یاد بگیرد و به‌طور خودکار در جدول     MAC Static  وارد کند. این آدرس‌ها تا زمانی که کاربر آن‌ها را به‌صورت دستی حذف نکند، باقی می‌مانند.
• (Sticky MAC) : در صورت فعال بودن این قابلیت، آدرس MAC یا دستگاه‌های مجاز به یک پورت خاص “می‌چسبند” و سوئیچ اجازه نمی‌دهد آن‌ها به پورت دیگری منتقل شوند. این ویژگی باعث افزایش امنیت پورت می‌شود.
• (Port Shutdown Time): این گزینه به کاربران اجازه می‌دهد زمانی را تعریف کنند که در صورت وقوع یک تخلف امنیتی، پورت به‌صورت خودکار برای آن مدت غیرفعال (خاموش) شود.

ادامه دارد…