Производители оборудования или системные интеграторы все чаще ищут решения, которые позволят вам легко и быстро отслеживать установленные устройства и системы у заказчика. Такое дистанционное наблюдение позволяет снизить затраты на внедрение, а также предложить пакет дополнительных услуг, которые позволяют контролировать параметры процесса и прогнозировать любые дефекты до момента их возникновения. Важным элементом является безопасность передачи данных, так чтоб была она устойчива к попыткам вмешательства в работу контролируемой системы, обеспечивает целостность и надежность передаваемых данных. Давайте рассмотрим пример реализации на роутерах серии ARS и AGS компании Antaira Technologies. Система позволяет свободно формировать топологию системы мониторинга. Могут передаваться различные данные процесса или streaming video. На рисунке 1 показан пример реализации.
 Рисунок 1
Усовершенствованные системы удаленного мониторинга используют роутеры, которые используют технологию зашифрованных каналов передачи VPN и серверы, расположенные в облаке (cloud). Это решение позволяет обойти ограничения, налагаемые firewall или NAT, а также позволяет вам не использовать статические IP-адреса на стороне контролируемого устройства а также станции наблюдения.
Что влияет на безопасность этих решений? Мы можем перечислить ряд норм и стандартов, которые систематизируют кибербезопасность. Наиболее популярными являются NIST 800-53, NERC CIP для энергетики или IEC 62443. Они дают ряд рекомендаций для проектировщиков систем, производителей сетевых компонентов, а также пользователям, определяя каталог передовых практик для безопасных систем промышленной автоматизации. Система безопасности напоминает многоуровневую защиту стратегического объекта и иногда называется (с анг.) „Defence in Depth” или „Castle Approach”. Они делятся на три аспекта - физический, технический и административный.
Физическая безопасность обеспечивается инфраструктурной безопасностью, в частности cloud серверами и роутерами end point. Места, где расположены серверы, защищены от вмешательства третьих лиц. Как hardware, так и software постоянно обновляется, и их рабочий статус контролируется на постоянной основе. Приложения оптимизированы и проверены на безопасность. Не менее важным элементом является безопасность роутера, состоящая из введения нескольких уровней доступа, принуждающего периодически использовать надежные пароли, анализа пакетов с точки зрения их структуры и их фильтрации, правил QoS. Важным элементом также является самодиагностика и использование Watch-dog таймера, позволяющего выполнять автоматический сброс в случае проблем со связью. Техническим важным элементом является защита канала передачи. Подтверждением соответствия этим стандартам являются сертификаты безопасности ISO 27001 и AICPA. Давайте рассмотрим одну из самых безопасных реализаций VPN с использованием протокола Open VPN. Мы можем выделить три уровня безопасности при установлении связи между end point:
- аутентификация (анг. authentication) - проверка того, действительно ли вы хотите подключиться к серверу и клиенту. Это можно сделать с помощью логина и пароля или ключей аутентификации. Второй метод является более безопасным и используется в промышленных системах. Это предотвращает ситуацию, когда кто-то получает элемент авторизации (например пароль), или когда делается попытка выдать себя за VPN-сервер. Благодаря TLS сервер всегда имеет свой собственный ключ, выданный сертификат и сертификат ЦС. На стороне клиента также должна быть копия правильного сертификата ЦС. Аутентификация должна заканчиваться положительно с обеих сторон - сервер (cloud) и клиент (роутер),
- авторизация (анг. End points authorisation ) - проверка того, что данный клиент имеет право на доступ к сети VPN. Как и выше, это можно сделать на основе пароля, набора ключей.
- шифр (анг. cipher) состоит в том, чтобы зашифровать передачу таким образом, чтобы она не могла быть прочитана или как-то изменена.
Существуют также другие механизмы, предназначенные для повышения безопасности передаваемой передачи. В OpenVPN есть механизм HMAC (ang. Keyed-Hash Message Authentication Code), который использует отдельный ключ для подписи каждого контрольного пакета при начале передачи. Данные, которые не подписаны соответствующим образом этим ключом, автоматически отклоняются. Другая форма это многофакторная аутентификация - это еще одна форма, где AWS MFA (Amzaon Multi-Factor Authentication) является интересной и безопасной реализацией.
Для безопасного общения необходим метод для успешной аутентификации его участников и обеспечения его целостности. Для этого была создана инфраструктура открытых ключей, то есть набор элементов, который позволяет создавать ключи, сертификаты, их подпись, отзыв и проверку.
Весь сервис обслуживается проверенными компаниями, которые называются центрами сертификации (анг. Certificate Authority). При создании VPN-подключения сервер cloud генерирует пару ключей, состоящую из личного ключа и публичного ключа, вместе с запросом на подпись сертификата (CSR). CSR - это закодированный текстовый файл, который содержит публичный ключ и другую информацию, которая будет включена в сертификат. После генерации CSR сервер отправляет его в центр сертификации, который проверяет правильность содержащейся в нем информации и, если информация содержащаяся в нем верна, подписывает сертификат цифровой подписью с секретным ключом и отправляет его обратно. Кроме того, стоит обратить внимание на безопасность, которая является целью сертификата. Благодаря этому, даже если у нас есть сертификат, подписанный нашим ЦС, но он не относится к типу сервера, мы не сможем запустить наш собственный сервер. Благодаря этому невозможно выдать себя за клиента с действительным клиентским сертификатом под сервер cloud VPN. Процесс авторизации гарантирует, что только авторизованные устройства могут устанавливать связь и что передача зашифрована и защищена от изменения третьими лицами. Процесс аутентификации и авторизации выглядит следующим образом:
- роутер подключается к серверу и представляет свой сертификат, подписанный ЦС сервер проверяет его правильность, используя сертификат ЦС,
- сервер представляет свой сертификат, подписанный ЦС, и клиент проверяет его на основании сертификата ЦС,
- сервер шифрует передачу клиенту, используя открытый ключ клиента, а клиент расшифровывает его, используя свой закрытый ключ,
- клиент шифрует передачу на сервер, используя открытый ключ сервера, а сервер расшифровывает его, используя свой закрытый ключ,
- сервер использует свой закрытый ключ для подписи (обеспечивает целостность и достоверность происхождения) данных клиенту, и клиент проверяет их, используя открытый ключ сервера,
- клиент подписывает свои данные на сервер, используя свой закрытый ключ, а сервер проверяет их, используя открытый ключ клиента.
Системы удаленного мониторинга позволяют управлять любыми машинами и системами из любой точки мира. Производитель или интегратор может отслеживать рабочие параметры системы, установленной на расстоянии сотен или тысяч километров в режиме реального времени. Это позволяет осуществлять удаленную оптимизацию и заблаговременное обнаружение проблем без необходимости отправки сервисного специалиста на сайт. Безопасность таких решений является одним из ключевых элементов и обеспечивается многоуровневой безопасностью на аппаратном и программном уровне. Современные решения обеспечивают высокий уровень безопасности как с простой, так и с дешевой реализацией.
Информация antaira.pl
В статье используется информация с сайта: https://openvpn.net
|
|
