Silniki i napędyRobotyPLC, HMI, OprogramowanieZasilanie, aparatura nnKomunikacjaBezpieczeństwoPomiaryObudowy, złącza, komponentyPrzemysł 4.0
RynekFirmyProduktyGospodarkaTemat miesiącaRaportyWywiadyTechnikaPuls branżyKalendariumMagazyn

Switche zarządzalne vs niezarządzalne – o czym należy pamiętać?

21 stycznia 2023
Komunikacja

Wybierając urządzenia z kręgu automatyki przemysłowej, musimy kierować się nie tylko ceną i kompatybilnością, ale także mieć na uwadze cyberbezpieczeństwo…

Posłuchaj
00:00

Prześledźmy ten temat na przykładzie przełączników sieciowych. Zacznijmy od najprostszego i najważniejszego ich podziału.

  • Switche niezarządzalne – bardzo proste urządzenia, które działają od razu po wyjęciu z pudełka i podłączeniu zasilania. Służą najczęściej do rozszerzenia sieci Ethernet o dodatkowe porty.
  • Switche zarządzalne – w podstawowym wariancie działają na takiej samej zasadzie jak switche niezarządzalne, tzn. w oparciu o przełączanie ramek ethernetowych. Są jednak wyposażone w dodatkowe funkcje konfiguracji i ustawień.

Niestety, wdrażanie tych ostatnich w praktyce nie wygląda zbyt optymistycznie, bo prawdopodobnie aż 1/3 firm nie wie, jakiego rodzaju switchy używa – lub stosuje głównie te niezarządzalne. Wiemy o tym, bo sierpniu 2021 r. udostępniliśmy jako firma Elmark Automatyka anonimową checklistę bezpieczeństwa. 130 respondentów z sektora OT pozwoliło nam stworzyć analizę stanu cybersecurity polskiego przemysłu. Cieszy za to fakt, że kolejna 1/3 firm deklaruje, iż używa wyłącznie urządzeń zarządzalnych, a reszta korzysta z nich przynajmniej w większości.

 
Rys. 1. Wykorzystanie przełączników zarządzalnych w aplikacjach przemysłowych

Wybór przełącznika a (cyber)bezpieczeństwo sieci przemysłowej

Powiedzmy wprost: w przypadku switchy niezarządzalnych nie można w ogóle mówić o bezpieczeństwie!

Urządzenia tego rodzaju są bardzo proste i nie mogą zabezpieczyć sieci nawet przed powstawaniem pętli. Switche zarządzalne mają zaś taki mechanizm. W przypadku aplikacji o wymaganej wysokiej dostępności (czyli m.in. tych przemysłowych) umożliwią zbudowanie redundantnych połączeń i ograniczą ruch broadcastowy, co zminimalizuje skutki pętli.

Jeśli sieć oparta jest na switchach niezarządzalnych, nie mamy możliwości odizolowania od siebie różnych procesów technologicznych – każdy może komunikować się z każdym. Niesie to ryzyko w razie nieautoryzowanego dostępu, bo atakujący będzie miał dostęp z każdego miejsca do wszystkich urządzeń w sieci. W tym zakresie switche zarządzalne umożliwiają konfigurację wirtualnych sieci lokalnych (VLAN), co pozwala odizolować proces A od procesu B. Zabezpieczają sieć przed nieautoryzowanym dostępem. Modele pochodzące od wiodących na rynku producentów pozwalają konfigurować różne typy zabezpieczeń, np.:

  • Port Security, czyli prostą funkcję, która umożliwia komunikację na danym porcie fizycznym przełącznika tylko zaufanym adresom MAC;
  • możliwość wyłączenia nieużywanych portów;
  • bardziej zaawansowany i uniwersalny mechanizm, czyli listę kontroli dostępu (ACL, access control list). To spis zdefiniowanych instrukcji zezwoleń lub zakazów, który jest wykonywany sekwencyjnie – od góry do dołu. Instrukcje zawierają informacje o adresach IP lub adresach MAC, co do których jest podejmowana decyzja o przepuszczeniu bądź odrzuceniu;
  • standard IEEE 802.1X, który oferuje obsługę scentralizowanej identyfikacji użytkowników. Protokół 802.1X wymaga kompatybilnych przełączników sieciowych (switchy) oraz mechanizmu uwierzytelniającego.

Przełączniki sieciowe mają wiele funkcji, które można skonfigurować, aby zwiększyć bezpieczeństwo samego urządzenia oraz zabezpieczyć dostęp do sieci. Które wybrać?

Dobrym wyznacznikiem jest norma IEC 62443, a dokładniej część IEC 62443-4-2.

 
Rys. 2 Przegląd normy IEC 62443

Czym jest IEC 62443?

W dużym uproszczeniu – to zbiór standardów mających na celu zabezpieczenie automatyki przemysłowej przed cyberatakiem i jego konsekwencjami. Jest to bardzo kompleksowa norma i zapoznanie się ze wszystkim jej zapisami byłoby czasochłonne. Na szczęście ta analiza nie spoczywa na nas, a na producencie. Naszym zadaniem będzie zweryfikowanie, czy on i jego urządzenie mają stosowny certyfikat.

Uproszczony model doboru komponentu możemy oprzeć na dwóch zagadnieniach:

  • Część IEC 62443-4-1: Bezpieczeństwo producenta – czy wdrażana jest polityką cyberbezpieczeństwa podczas tworzenia produktów?
  • Część IEC 62443-4-2: Bezpieczeństwo komponentu – czy urządzenie, które chcemy wykorzystać, zapewnia funkcjonalnośi pozwalają je odpowiednio zabezpieczyć przed nieautoryzowanym dostępem/atakiem?

To nie wszystko…

Sama zgodność z IEC 62443-4-2 nie oznacza jeszcze końca procesu. Na tym etapie powinniśmy również dopytać (dystrybutora/producenta), do jakiego poziomu bezpieczeństwa (Security Level) jego rozwiązania pozwalają zabezpieczyć nasz system. Punktem wyjścia dla przemysłu jest poziom drugi, czyli ochrona przed celowym nadużyciem za pomocą prostych środków ataku (wszelkich naruszeń uprawnień lub dostępu do urządzeń). Z kolei poziom pierwszy definiować będzie ataki przypadkowe, a trzeci i czwarty – te z użyciem wyrafinowanych metod.

Informacji należy szukać u źródła: u producentów i dystrybutorów sprzętu. Możemy również posiłkować się stronami towarzystw certyfikacyjnych (np. isasecure.org.), do czego serdecznie zachęcam.

Dowiedz się więcej o cyberbezpieczeństwie OT

Powyższy artykuł powstał na bazie wniosków z raportu bezpieczeństwa przemysłowego autorstwa firmy Elmark Automatyka. Zachęcamy do zapoznania się z całością. Ułatwi to zrozumienie najważniejszych zagadnień związanych z cyberbezpieczeństwem przemysłowym. Publikacja jest do pobrania bezpłatnie pod adresem: info.elmark.com.pl/raport

Tomasz Sokół, Elmark Automatyka


Elmark Automatyka
tel. 22 773 79 37
ul. Bukowińska 22 lok. 1B
02-703 Warszawa
elmark@elmark.com.pl
www.elmark.com.pl

Więcej na www.elmark.com.pl
Powiązane treści
Przemysłowe sieci komunikacyjne
Zobacz więcej w kategorii: Prezentacje firmowe
Roboty
Akademia ASTOR - oferta szkoleń dla przemysłu
Silniki i napędy
Czy silnik serwo zawsze jest niezbędny? Porównanie technologii silników krokowych, BLDC i serwo pod kątem sterowania, wydajności i kosztów
Silniki i napędy
Serwonapędy SEW-EURODRIVE - liczy się każda sekunda kątowa, wysoka dynamika i powtarzalność pozycjonowania napędów
Silniki i napędy
Ruch ma znaczenie - maszyna CNC jest tak dobra, jak jej serwonapędy
Przemysł 4.0
Procesy energetyczne w ekosystemie rozwiązań IoT - jubileusz firmy NUMERON
Artykuły
Kompetencje na czasie - czy jesteś przygotowany na wyzwania 2025 roku?
Zobacz więcej z tagiem: Komunikacja
Gospodarka
Internet Rzeczy coraz szybciej się łączących
Prezentacje firmowe
IO-Link i Real-Time Maintenance – nowoczesna technologia dla efektywnego utrzymania ruchu i inteligentnej diagnostyki
Prezentacje firmowe
Magistrala CAN w transporcie publicznym i magazynach energii – niezawodna komunikacja i automatyzacja
Elmark Automatyka S.A. Elmark Automatyka S.A. www.elmark.com.pl elmark@elmark.com.pl
Profil firmy
Polecamy
Polecamy

Poradnik doboru rozwiązań drukujących - drukarki mobilne, stacjonarne i przemysłowe

Jak dobrać drukarkę do zastosowań w logistyce, przemyśle czy handlu? Na co zwrócić uwagę, jeżeli chodzi o cechy i funkcje urządzenia? Jak zapewnić wysoką niezawodność pracy oraz trwałość systemu drukującego? A co z oprogramowaniem? W artykule odpowiadamy na powyższe pytania, przedstawiając przykłady nowoczesnych urządzeń drukujących, które z powodzeniem sprawdzają się w wymienionych zastosowaniach.
Cała branża automatyki. Twoje pytania.
Poszukuję produktu lub usługi Chcę skontaktować się z firmą Mam pytanie ogólne
Zapytania ofertowe
Unikalny branżowy system komunikacji B2B Znajdź produkty i usługi, których potrzebujesz Katalog ponad 7000 firm i 60 tys. produktów