BANNER SC26-2 Güvenlik Denetleyicileri Güvenli Dağıtım Kullanıcı Kılavuzu
BANNER SC26-2 Güvenlik Kontrolörleri Güvenli Dağıtım

İçindekiler saklamak
1 Bu Kılavuz Hakkında
2 giriiş
3 Güvenlik Nedir?
4 Güvenlik Duvarım var. Bu yeterli değil mi?
5 Derinlemesine Savunma Nedir?
6 Genel Öneriler
7 Kontrol listesi
8 İletişim Gereksinimleri
9 Desteklenen Protokoller
10 USB Protokolleri
11 XS/SC26-2 Uygulama Protokolü
12 XS/SC26-2 Keşif Protokolü
13 Ethernet Sunucuları
14 Ethernet Güvenlik Duvarı Yapılandırması
15 Alt Seviye Protokoller
16 Uygulama Katmanı Protokolleri
17 Güvenlik Yetenekleri
18 Ürüne Göre Yetenekler
19 Erişim Kontrolü ve Yetkilendirme
20 Yetkilendirme Çerçevesi
21 Erişim Haklarını Belirleme
22 Uygulama
23 Şifre/PIN Yönetimi
24 İletişim Protokolleri
25 Kayıt ve Denetim
26 Yapılandırma Sağlamlaştırma
27 Güvenlik Kontrolörü
28 USB Bağlantı Noktası, Yerleşik Arayüz ve Fiziksel Erişim
29 Ethernet Arayüzü
30 Ağ Mimarisi ve Güvenli Dağıtım
31 Referans Mimarisi
32 Uzaktan Erişim ve Askerden Arındırılmış Bölgeler (DMZ)
33 Proses Kontrol Ağlarına Erişim
34 Diğer Hususlar
35 Yapılandırma Yönetimi
36 Gerçek zamanlı iletişim
37 Ek Rehberlik
38 Bize Ulaşın
39 Belgeler / Kaynaklar
39.1 Referanslar

Bu Kılavuz Hakkında

Bu belge, XS/SC26-2 Güvenlik Denetleyicilerini içeren sistemlerin siber güvenliğini artırmaya yardımcı olacak bilgiler sağlar. XS/SC26-2 Güvenlik Denetleyicilerinin dağıtımından ve yapılandırılmasından sorumlu kontrol mühendisleri, entegratörler, BT uzmanları ve geliştiriciler tarafından kullanılmak üzere tasarlanmıştır.

giriiş

Bu bölümde güvenlik ve güvenli dağıtımın temelleri tanıtılmaktadır.

Güvenlik Nedir?

Güvenlik, bir sistemin gizliliğini, bütünlüğünü ve kullanılabilirliğini koruma sürecidir

  • Gizlilik: Bilgileri yalnızca görmek istediğiniz kişilerin görebilmesini sağlayın
  • Bütünlük: Verilerin olması gerektiği gibi olduğundan emin olun
  • Mevcutluk: Sistemin veya verilerin kullanıma hazır olduğundan emin olun

Banner, ürünleri bu kavramları göz önünde bulundurarak oluşturmanın ve dağıtmanın öneminin farkındadır ve teşvik eder:
Müşterilerin Banner Güvenliği ürün ve çözümlerini güvence altına alırken gerekli özeni göstermeleri gerekmektedir.

NOT: Banner Safety ürünündeki güvenlik açıkları keşfedilip düzeltildikçe, belirli bir ürün sürümündeki her güvenlik açığını ve güvenlik açığının giderildiği sürümü açıklayan güvenlik önerileri yayınlanır. Banner Safety ürün güvenliği tavsiyelerine şu adresten ulaşabilirsiniz: bannerengineering.com/support/tech-help/PSIRT.

Güvenlik Duvarım var. Bu yeterli değil mi?

Veri diyotları ve İzinsiz Giriş Önleme Sistemleri (IPS) de dahil olmak üzere güvenlik duvarları ve diğer ağ güvenliği ürünleri, herhangi bir güvenlik stratejisinin önemli bir bileşeni olabilir. Ancak yalnızca herhangi bir güvenlik mekanizmasına dayalı bir strateji, birden fazla bağımsız güvenlik katmanı içeren bir strateji kadar dayanıklı değildir.

Bu nedenle Banner Safety, güvenliğe "Derinlemesine Savunma" yaklaşımının benimsenmesini önerir.

Derinlemesine Savunma Nedir?

Derinlemesine savunma, başarılı bir saldırının maliyetini ve karmaşıklığını artırmak için birden fazla bağımsız güvenlik katmanı kullanma kavramıdır. Bir sisteme başarılı bir saldırı gerçekleştirmek için, saldırganın yalnızca sömürülebilir tek bir güvenlik açığı bulması değil, aynı zamanda bir varlığı koruyan her savunma katmanındaki güvenlik açıklarından yararlanması gerekir.

ÖrneğinampDosyada, bir sistem güvenlik duvarı tarafından korunan bir ağda olduğu için korunuyorsa, saldırganın yetkisiz erişim elde etmek için yalnızca güvenlik duvarını aşması gerekir. Ancak, kullanıcı adı/şifre kimlik doğrulama gereksinimi gibi ek bir savunma katmanı varsa, saldırganın hem güvenlik duvarını hem de kullanıcı adı/şifre kimlik doğrulamasını aşmanın bir yolunu bulması gerekir.

Genel Öneriler

Banner Safety ürünlerini ve çözümlerini kullanırken aşağıdaki güvenlik uygulamalarını kullanın.

  • Bu belgede yer alan güvenlik kontrolörleri, kurumsal ağ veya genel olarak internet dahil ancak bunlarla sınırlı olmamak üzere herhangi bir geniş alan ağı için tasarlanmamıştır veya bu ağlara doğrudan bağlanması amaçlanmamıştır. Ek yönlendiriciler ve güvenlik duvarları (bkz. "Referans Mimarisi” sayfa 18) Bu belgede açıklanan cihazlara yerel kontrol ağlarının dışından erişmek için sitenin özel ihtiyaçlarına göre özelleştirilmiş erişim kurallarıyla yapılandırılmış olan cihazlar kullanılmalıdır. Bir kontrol sistemi harici bağlantı gerektiriyorsa, örneğin kullanarak tüm erişimi kontrol etmeye, sınırlandırmaya ve izlemeye dikkat edin.ampdosya, sanal özel ağlar (VPN) veya Askerden Arındırılmış Bölge (DMZ) mimarileri.
  • Mevcut güvenlik özelliklerini etkinleştirerek/kullanarak ve gereksiz bağlantı noktalarını, hizmetleri, işlevleri ve ağı devre dışı bırakarak sistem yapılandırmalarını güçlendirin file hisseler.
  • En son Banner Safety ürün güvenlik güncellemelerini, Güvenlik Bilgi Yönetimini (SIM) ve diğer önerileri uygulayın.
  • Kontrol sistemi bilgisayarlarına en son işletim sistemi güvenlik yamalarının tümünü uygulayın.
  • Kontrol sistemi bilgisayarlarında antivirüs yazılımı kullanın ve ilgili antivirüs imzalarını güncel tutun.
  • Kontrol sistemi PC'lerinde beyaz listeye alma yazılımını kullanın ve bilgileri koruyun.
  • hitelist güncel.

Kontrol listesi

Bu bölüm şu şekilde sağlar:ampXS/SC26-2 Güvenlik Denetleyicilerini güvenli bir şekilde dağıtma sürecini yönlendirmeye yardımcı olacak kontrol listesi.

  1. Bir ağ diyagramı oluşturun veya bulun.
  2. Düğümler arasında gerekli iletişim yollarını tanımlayın ve kaydedin.
  3. Her düğümün rolü de dahil olmak üzere, her yol boyunca gerekli olan protokolleri tanımlayın ve kaydedin. (Görmek “İletişim Gereksinimleri” sayfa 7.)
  4. Uygun bölümlemeyi sağlamak, güvenlik duvarları veya diğer ağ güvenlik cihazlarını uygun şekilde eklemek için ağı gerektiği gibi revize edin. Ağ diyagramını güncelleyin. (Bkz. "Ağ Mimarisi ve Güvenli Dağıtım" sayfa 18.)
  5. Güvenlik duvarlarını ve diğer ağ güvenliği cihazlarını yapılandırın. (Bkz. “Ethernet Güvenlik Duvarı Yapılandırması” sayfa 9 ve “Ağ Mimarisi ve Güvenli Dağıtım” sayfa 18.)
  6. Her XS/SC26-2 Güvenlik Kontrolöründe uygun güvenlik özelliklerini etkinleştirin ve/veya yapılandırın. (bkz. “Güvenlik
    Yetenekler” sayfa 11.)
  7. Her XS/SC26-2 güvenlik kontrol cihazında desteklenen her şifreyi güçlü bir değere ayarlayın. (Bkz. “Şifre/PIN
    Yönetim” sayfa 13.)
  8. Gereksiz özellikleri, protokolleri ve bağlantı noktalarını devre dışı bırakarak her XS/SC26-2 güvenlik denetleyicisinin yapılandırmasını güçlendirin.
    (Bkz. "Yapılandırma Sağlamlaştırma" sayfa 15.)
  9. Sistemi test edin/kalifiye edin.
  10. Bir güncelleme/bakım planı oluşturun.

NOT: Güvenli dağıtım, sağlam bir güvenlik programının yalnızca bir parçasıdır. Bu kontrol listesini de içeren bu belge yalnızca güvenli dağıtım rehberliği sağlamakla sınırlıdır. Genel olarak güvenlik programları hakkında daha fazla bilgi için bkz.Ek Rehberlik” sayfa 21.

İletişim Gereksinimleri

Bir kontrol sisteminin farklı bölümleri arasındaki iletişim desteklenir ve desteklenmelidir. Bununla birlikte, bir kontrol sisteminin güvenliği, izin verilen protokollerin ve izin verilen yolların yalnızca ihtiyaç duyulanlarla sınırlandırılmasıyla artırılabilir.

Bu, belirli bir cihazda ihtiyaç duyulmayan tüm iletişim protokollerinin devre dışı bırakılmasıyla ve uygun şekilde yapılandırılmış ve dağıtılmış ağ güvenlik cihazlarının (örn.ampDosya, güvenlik duvarları ve yönlendiriciler) bir ağdan/bölümden diğerine geçmesi gerekmeyen her protokolü (devre dışı bırakılmış olsun veya olmasın) engellemek için kullanılır.

Banner Safety, ağ altyapısının izin verdiği protokollerin amaçlanan uygulama için gereken minimum ayarla sınırlandırılmasını önerir. Bunu başarılı bir şekilde yapmak, her sistem düzeyindeki etkileşim için hangi protokolün gerekli olduğunu bilmeyi gerektirir.

Bu bölüm, desteklenen seri ve Ethernet uygulama protokollerinin Banner Güvenlik Kontrolörleri tarafından nasıl kullanıldığını açıklar ve her bir katılımcının iletişimdeki rolünü belirtir. Düşük seviyeli Ethernet protokolleri burada tartışılmamaktadır ancak bunun yerine uygulama protokolü tarafından ihtiyaç duyulduğunda destekleneceği varsayılmaktadır.

Bu bilgilerin kullanımı, ağ mimarisinin spesifikasyonlarına rehberlik etmek ve herhangi bir kurulum için yalnızca gerekli iletişim yollarını desteklemek üzere söz konusu ağın içindeki güvenlik duvarlarının yapılandırılmasına yardımcı olmak amacıyla tasarlanmıştır.

Desteklenen Protokoller

Ethernet Protokolleri

Aşağıdaki tablo Banner XS/SC26-2 Güvenlik Kontrolörlerinin hangi Ethernet protokollerini desteklediğini göstermektedir. Kurulumda mevcut protokollerin yalnızca bir alt kümesi kullanılıyor olabileceğinden, desteklenen protokollerden bazılarının belirli bir sistemde gerekli olmayabileceğini unutmayın.
Tablo 1. Desteklenen Ethernet Protokolleri

Protokol XS/SC26-2
Bağlantı ARP x
İnternet IPv4 x
IGMP x
ICMP x
Taşımacılık Tpg x
UDP x
Başvuru Modbus TCP®(1) x
Ethernet/IP™(2) x
  1. Modbus®, Schneider Electric USA, Inc.'in tescilli ticari markasıdır.
  2. EtherNet/IP™ ODVA, Inc.'in ticari markasıdır.

7. sayfadan devam ediyor

Protokol XS/SC26-2
PROFINET®(1) x
TLS1.2 x

USB Protokolleri

Ethernet iletişimine ek olarak XS/SC26-2 Güvenlik Kontrolörleri doğrudan USB bağlantısı üzerinden iletişimi destekler.
Tablo 2. Desteklenen USB Protokolleri

Protokol XS/SC26-2
Başvuru Uygulamaya Özel Sürücüyle USB İletişim Cihazı Sınıfı (CDC) x

XS/SC26-2 Uygulama Protokolü

XS/SC26-2 Uygulama protokolü, XS/SCXNUMX-XNUMX tarafından desteklenen hizmetlere erişim sağlayan özel bir protokoldür.
SC26-2 Güvenlik Kontrolörleri. Bu, Banner Safety Controller Software'in XS/SC26-2 Safety Controller ile iletişim kurarken kullandığı tek protokoldür.

XS/SC26-2 Uygulama protokolü, aşağıdakiler de dahil olmak üzere birçok farklı işlemi destekler:

  • Onaylanmış bir konfigürasyonu yükleyin / indirin
  • Yeni bir yapılandırmayı onaylayın
  • Güvenlik denetleyicisini fabrika varsayılanlarına sıfırlayın
  • Ağ arayüzünü etkinleştirin ve yapılandırın
  • Canlı uygulamayı izleyin
  • Güvenlik denetleyicisi kullanıcı erişimini ve parolalarını yapılandırma
  • View ve denetleyicide meydana gelen hataların günlüğünü temizleyin (isteğe bağlı)
  • Güvenlik denetleyicisini fabrika varsayılanlarına sıfırlayın
  • View Yapılandırma günlüğü

XS/SC26-2 Uygulama Protokolü, standart bir USB 2.0 uyumlu kablo kullanılarak doğrudan USB 2.0 CDC bağlantısı veya Ethernet TLS 1.2 bağlantısı üzerinden aktarılır.

XS/SC26-2 Keşif Protokolü

XS/SC26-2 Discovery protokolü, Banner Güvenlik Kontrol Cihazı Yazılımının, bir Güvenlik Bölgesi içindeki Yerel Alan Ağı üzerindeki XS/ SC26-2 Güvenlik Kontrol Cihazlarını bulmasına olanak tanıyan özel bir protokoldür. XS/SC26-2 Keşif Protokolü UDP Yayınlarını temel alır. Keşif Protokolü UDP yayınlarını temel aldığından, Denetleyicinin bağlı olduğu Güvenlik Bölgesi veya LAN dışında kullanılamayacaktır. Keşif protokolü VLAN'larda da mevcut değildir.

Ethernet Sunucuları

Bu bölüm, iletişimin başka bir cihaz veya PC tarafından başlatıldığı mevcut Ethernet iletişim merkezli işlevselliği özetlemektedir.
Tablo 3. XS/SC26-2 Sunucu Özellikleri

İşlevsellik Gerekli Uygulama Protokolleri Example Müşteriler
Ethernet PROFINET PROFINET Diğer kontrolörler

8. sayfadan devam ediyor

İşlevsellik Gerekli Uygulama Protokolleri Example Müşteriler
Modbus TCP Sunucusu ModBus TCP Diğer kontrolörler
Ethernet/IP Ethernet/IP Diğer kontrolörler
Canlı Mod ve Uzaktan Yapılandırma Sunucusu XS/SC26-2 Uygulama Protokolü Banner Güvenlik Denetleyici Yazılımı (PCI)
Keşif Sunucusu XS/SC26-2 Keşif Protokolü Banner Güvenlik Denetleyici Yazılımı (PCI)

Ethernet Güvenlik Duvarı Yapılandırması

Yalnızca beklenen ve gerekli ağ trafiğine izin vermek için ağ tabanlı ve ana bilgisayar tabanlı güvenlik duvarlarını yapılandırın.

Bu bölüm, XS/SC26-2 Güvenlik Kontrol Cihazlarında desteklenen protokoller tarafından kullanılan EtherType'ları ve TCP/UDP bağlantı noktalarını tanımlar.

Herhangi bir kurulum için ağ güvenlik duvarlarının yalnızca gerekli iletişim yollarını destekleyecek şekilde yapılandırılmasına yardımcı olmak için bu bilgileri kullanın.

Alt Seviye Protokoller

Ethernet iletişimi tipik olarak her biri kendi protokol setine sahip dört katman kullanılarak tanımlanır. Bu hiyerarşinin en üstünde Uygulama katmanı bulunur. Uygulama katmanının altında Aktarım, İnternet ve Bağlantı katmanları bulunur.

Bu üç alt katmandan desteklenen protokollere ilişkin bilgiler aşağıdaki tablolarda özetlenmiştir.
Tablo 4. Bağlantı Katmanı Protokolleri

Protokol Eter Türü
Adres Çözümleme Protokolü (ARP) 0 × 0806
PROFINET 0 × 8892

Tablo 5. İnternet Katmanı Protokolleri

Protokol EterTipi IP Protokolü #
İnternet Protokolü Sürüm 4 (IPv4) 0 × 0800 (uygun değil)
İnternet Kontrolü Mesaj Protokolü (ICMP) 0 × 0800 1
İnternet Grup Yönetim Protokolü (IGMP) 0 × 0800 2

Tablo 6. Aktarım Katmanı Protokolleri

Protokol EterTipi IP Protokolü #
İletim Kontrol Protokolü (TCP) 0 × 0800 6
kullanıcı DatagRAM Protokolü (UDP) 0 × 0800 17

Bu alt düzey protokollerin her biri, XS/SC26-2 Güvenlik Kontrolörlerinde desteklenen bir veya daha fazla Uygulama protokolü için gereklidir.

Uygulama Katmanı Protokolleri

Aşağıdaki tabloda XS/SC26-2 Güvenlik Kontrolörleri tarafından desteklenen Uygulama katmanı protokolleri için TCP ve UDP bağlantı noktası numaraları listelenmektedir.
Tablo 7. Uygulama Katmanı Protokolleri

Protokol TCP Bağlantı Noktası UDP Bağlantı Noktası XS/SC26-2
ModBus TCP 502 x
PROFINET 3496449152 x
ETHERNET/IP 44818 222244818 x
XS/SC26-2 Uygulama Protokolü 63753 x
XS/SC26-2 Keşif Protokolü 63754 x

Güvenlik Yetenekleri

Bu bölümde XS/SC26-2 Güvenlik Kontrolörünün yetenekleri ve güvenlik özellikleri açıklanmaktadır. Kontrol sisteminizin güvenliğini sağlamak için kapsamlı savunma stratejisinin bir parçası olarak yetenekleri ve güvenlik özelliklerini kullanın.

Ürüne Göre Yetenekler

Bu bölüm bir özet sağlar view Desteklenen güvenlik yeteneklerinden
Tablo 8. Güvenlik Özellikleri

Güvenlik Yetenekleri XS/SC26-2
Önceden tanımlanmış Konular ve Erişim Hakları kümesi x
Erişim Kontrol Listesi x

Erişim Kontrolü ve Yetkilendirme

Bu bölümde Yetkilendirme yeteneklerini de içeren XS/SC26-2 Güvenlik Denetleyicileri tarafından desteklenen Erişim Kontrolü yetenekleri açıklanmaktadır.

Erişim Kontrolü süreci iki aşamaya ayrılabilir:

  1. Tanım – Her konu için erişim haklarının belirtilmesi (Yetkilendirme olarak anılır)
  2. Yaptırım – Erişim isteğini onaylama veya reddetme

Yetkilendirme Çerçevesi

Her bir konu için erişim haklarının tanımlanması, sistemin her bir konuyu tanımlamak için bazı araçlara sahip olması gerektiği anlamına gelir. Bunu başarmanın en bilinen yolu, sisteme erişecek her kişiye benzersiz bir Kullanıcı Kimliği atamaktır.

Ancak XS/SC26-2 Güvenlik Kontrolörleri böyle bir kolaylık sağlamaz; ek Kullanıcı Kimlikleri oluşturma desteği yoktur. Kimlik doğrulama için bir Kullanıcı Kimliğinin belirtilmesine bile gerek yoktur. Bu durumda yetkilendirme, kullanılan işlevselliğe ve kimlik doğrulama için sağlanan parolaya bağlıdır. Ancak XS/SC26-2 Güvenlik Kontrol Cihazlarında desteklenen kimlik doğrulama özellikleri, burada tanımlanan sabit bir dizi konuyu dolaylı olarak tanımlar.

XS/SC2 6-2 Güvenlik Kontrolörleri sunucu protokolü tarafından tanımlanan ve desteklenen konular aşağıdaki tabloda belirtilmiştir.
Tablo 9. XS/SC26-2 Güvenlik Kontrol Cihazlarında Mevcut Olan Konular

İşlevsellik Uygulama Protokolü Mevcut Konular
USB Konfigürasyon ve Canlı İzleme Talepleri USB Uygulaması Anonim
Kullanıcı 1
Kullanıcı 2
Kullanıcı 3

11. sayfadan devam ediyor

İşlevsellik Uygulama Protokolü Mevcut Konular
Ethernet Canlı İzleme Talepleri XS/SC26-2 Uygulama Protokolü Anonim
Kullanıcı 1
Kullanıcı 2
Kullanıcı 3
Yapılandırma İstekleri XS/SC26-2 Uygulama Protokolü Kullanıcı 1
Kullanıcı 2
Kullanıcı 3

Erişim Haklarını Belirleme

XS/SC26-2 Güvenlik Kontrolörleri her konu için önceden tanımlanmış erişim hakları sağlar. Bazı durumlarda bu erişim hakları kısmen kısıtlanabilir, bazı durumlarda ise hiçbir şekilde değiştirilemez veya yalnızca ilgili sunucu/protokol devre dışı bırakılarak iptal edilebilir.
Tablo 11. XS/SC26-2 Güvenlik Kontrol Cihazlarında Erişim Hakları

İşlevsellik Uygulama Protokolü Mevcut Konular
Ethernet PROFINET Sunucusu PROFINET Anonim
Modbus TCP Sunucusu ModBus TCP Anonim
ETHERNET/IP Sunucusu Ethernet/IP Anonim

Anahtar:
Bir = Erişim kontrolü
D = Okumak
B = Yazmak
D = Sil/temizle

Kullanıcı 1, herhangi bir kişinin Uygulama konfigürasyonunu ve/veya Ağ Konfigürasyonunu okumasını veya yazmasını yasaklama yeteneğine sahiptir. Yalnızca Kullanıcı 1 denetleyiciyi Fabrika Varsayılanlarına sıfırlayabilir

Uygulama

XS/SC26-2 Güvenlik Kontrol Cihazı, sağladığı veriler ve hizmetler için erişim haklarını uygular. XS/
SC26-2 Güvenlik Kontrol Cihazı, Uygulama ve Ağ Konfigürasyonunun yalnızca Uygulama Konfigürasyonunu yazma erişim haklarına sahip bir kullanıcı tarafından güncellenebilmesini sağlar.

Fiziksel Erişim: XS/SC26-2 Güvenlik Kontrol Cihazı, uygulama konfigürasyonunu, uygulama mantığını ve/veya uygulama verilerinin geçersiz kılmalarını/kuvvetlerini değiştirmek için kontrol cihazına fiziksel veya ağ erişimi gerektirir. Güvenlik denetleyicisinin güvenliğini sağlamak için denetleyiciyi kilitli bir dolap gibi güvenli bir fiziksel ortama yerleştirerek fiziksel erişimi kısıtlayın.

Şifre/PIN Yönetimi

XS/SC26-2 Güvenlik Kontrol Cihazının önceden tanımlanmış bir dizi konusu vardır. Her konunun şifreleri açıkça yönetilmelidir. Banner Güvenlik Denetleyici Yazılımı, her konu için benzersiz şifreler uygular.
XS/SC26-2 Güvenlik Kontrol Cihazı, USB erişimi için 4 sayısal karakterden oluşan bir PIN gerektirir.

Ethernet erişimi için XS/SC26-2 Güvenlik Kontrol Cihazı 8 ila 31 karakter uzunluğunda bir şifre gerektirir. Parola aşağıdakilerin bir karışımını içermelidir:

  • Büyük harfler
  • Küçük harfler
  • En az bir sayı
  • En az bir özel karakter

Ayrıca tek bir güvenlik kontrolöründeki tüm şifrelerin Kullanıcı 1, Kullanıcı 2 ve Kullanıcı 3 için benzersiz olması gerekir.

Bu kısıtlamaların tümü, Ethernet üzerinden kullanıldığında denetleyici ve Banner Safety Controller Yazılımı tarafından uygulanır.

Banner Safety, kimlik doğrulama için parolaların kullanıldığı her yerde karmaşık parolaların kullanılmasını şiddetle tavsiye eder.
Tablo 12. XS/SC26-2 Güvenlik Kontrol Cihazı Tarafından Desteklenen Kimlik Doğrulama

İşlevsellik Kimliği Doğrulanmış Konular Şifreler nasıl atanır?
Yapılandırma İstekleri Kullanıcı 1
Kullanıcı 2
Kullanıcı 3		 Kullanıcı 1
bu şifreleri kontrol eder.

Bu şifrelerin atanmasına ilişkin daha ayrıntılı bilgi için XS/SC26-2 Kullanım Kılavuzuna (p/n 174868) bakın.

İletişim Protokolleri

Bazı iletişim protokolleri, verilerin "uçuş halindeyken" yani bir ağ üzerinde aktif olarak hareket ederken korunmasına yardımcı olan özellikler sağlar.

Bu özelliklerden en yaygın olanları şunlardır:

  • Şifreleme – Aktarılan verilerin gizliliğini korur.
  • Mesaj Kimlik Doğrulama Kodları – Mesajı kriptografik olarak tespit ederek mesajın orijinalliğini ve bütünlüğünü sağlar.ampsahtecilik veya sahtecilik. Bu, verilerin beklenen kaynaktan gelmesini ve kötü amaçlı olup olmadığına bakılmaksızın iletildiği andan itibaren değiştirilmemesini sağlar.

Şu anda yalnızca XS/SC26-2 Uygulama Protokolü, Ethernet üzerinden kullanıldığında bu özelliklerin her ikisini de sağlamaktadır. XS/SC26-2 Güvenlik Kontrol Cihazları tarafından desteklenen diğer iletişim protokolleri, aşağıdaki tablolarda ayrıntılı olarak belirtildiği gibi bu özelliklerin hiçbirini sağlamaz. Bu nedenle, bir kurulumun hareket halindeki verileri korumaya yönelik güvenlik gereksinimlerini karşılamak için telafi edici kontroller gerekebilir.
Tablo 13. XS/SC26-2 Güvenlik Denetleyicilerinde Protokol Tarafından Sağlanan Güvenlik Özellikleri

Protokol Veri Şifreleme Mesaj Kimlik Doğrulama Kodları
USB XS/SC26-2 Uygulama Protokolü N N
Ethernet XS/SC26-2 Uygulama Protokolü Y Y
XS/SC26-2 Keşif Protokolü N N

Tablo 14. XS/SC26-2 Ethernet Tabanlı Endüstriyel Protokollerde Protokol Tarafından Sağlanan Güvenlik Özellikleri

Protokol Veri Şifreleme Mesaj Kimlik Doğrulama Kodları
Ethernet PROFINET N N
ModBus TCP N N
Ethernet Ağı/IP N N

Kayıt ve Denetim

XS/SC26-2 Güvenlik Kontrolörleri, kontrolörün içine yerleştirilmiş özel bir güvenlik günlüğü sağlamaz.

Ancak XS/SC26-2 Güvenlik Kontrol Cihazı, konfigürasyon güncelleme olaylarını küçük (10 giriş) bir konfigürasyon günlük tablosuna kaydeder. Her giriş, bilgisayarda saklandığı şekliyle konfigürasyon değişikliğinin tarih ve saatini kullanarak, konfigürasyonun onaylandığı saat ve tarihi içerir. Ayrıca konfigürasyon adı ve Döngüsel Artıklık Kontrolü (CRC) onayı da dahildir.

View Banner Safety Controller Yazılımını kullanarak bu yapılandırma günlüğünü kullanın. Günlük salt okunurdur ve denetleyiciden sıfırlanamaz veya dışa aktarılamaz. Denetleyiciyi fabrika varsayılanlarına sıfırlamak aynı zamanda günlük tablosunda bir giriş oluşturur.

XS/SC26-2 Güvenlik Kontrol Cihazının ayrıca bir arıza kaydı vardır. XS/SC26-2 Güvenlik Kontrolörü hata günlüğüne kaydedilen olayların çoğu, donanım arızaları ve beklenmeyen ürün yazılımı işlemleri gibi işlevsel sorunları temsil eder. Bunlar güvenliğe özel olmasa da, güvenlik denetimi sırasında faydalı bilgiler sağlayabilirler. Güvenlik kontrol ünitesinin gücü kesildikten sonra arıza kayıtları tutulmaz. View Banner Safety Controller Yazılımı aracılığıyla veya yerleşik ekran üzerinden arıza kaydı

Yapılandırma Sağlamlaştırma

Potansiyel saldırı yüzeyini azaltmaya yardımcı olmak amacıyla bu bölümde, belirli bir kurulumda bulunan XS/SC26-2 ürünlerinin yapılandırmasını güçlendirmek için kullanılabilecek bilgiler sağlanmaktadır.

Kimlik Doğrulama, Erişim Kontrolü ve Yetkilendirme gibi güvenlik özelliklerini etkinleştirmenin ve kullanmanın yanı sıra yapılandırma Sağlamlaştırmayı da göz önünde bulundurun.

Banner Safety, amaçlanan uygulama için gerekli olmayan tüm bağlantı noktalarının, hizmetlerin ve protokollerin devre dışı bırakılmasını önerir. Bunu her XS/SC26-2 ürününde yapın.

Güvenlik Kontrolörü

XS/SC26-2 Güvenlik Kontrolörünün yapılandırmasını sağlamlaştırırken bu bölümdeki bilgileri kullanın. Bunları destekleyen herhangi bir XS/SC26-2 Güvenlik Kontrol Cihazını yapılandırırken bu seçenekleri göz önünde bulundurun.

Bu ayarlar, XS/SC26-2Safety Controller'a indirilen donanım yapılandırmasında belirtilir.

USB Bağlantı Noktası, Yerleşik Arayüz ve Fiziksel Erişim

Potansiyel saldırı yüzeyini azaltmak için, güvenlik denetleyicisine fiziksel erişimi sınırlayarak USB Bağlantı Noktasına ve yerleşik arayüze fiziksel erişimi sınırlayın.

Bu, güvenlik kontrolörünü kilitli bir dolap gibi fiziksel olarak güvenli bir ortama yerleştirerek yapılabilir.

Ethernet Arayüzü

XS/SC26-2 Güvenlik Kontrolörünün Ethernet Arayüzünün yapılandırmasını sağlamlaştırırken bu bölümdeki bilgileri kullanın. Herhangi bir XS/SC26-2 Ethernet Arayüzünü yapılandırırken bu ayarları göz önünde bulundurun.

Dağıtımınızın İşlem Kontrol Ağı üzerinde olmayan cihazlara erişmesi gerekmiyorsa, Ağ Geçidi IP Adresinin tamamı sıfıra ayarlanarak yönlendirme devre dışı bırakılmalıdır:
Tablo 15. IP Yönlendirmeyi Devre Dışı Bırakma

Hizmet Parametre Adı Değer
IP Yönlendirme Ağ Geçidi IP Adresi 0.0.0.0

Bu ayarlar XS/SC26-2 Güvenlik Kontrolörüne indirilen donanım yapılandırmasında belirtilir.

Banner Safety Controller Yazılımı kullanılarak Ethernet arayüzü tamamen devre dışı bırakılabilir.

Bu parametreler hakkında daha fazla bilgi için XS/SC26-2Güvenlik Kontrol Cihazı Kullanım Kılavuzuna (p/n 174868) bakın.

Ağ Mimarisi ve Güvenli Dağıtım

Bu bölümde, daha büyük bir ağ bağlamında XS/SC26-2 Güvenlik Denetleyicisinin dağıtımına yönelik güvenlik önerileri verilmektedir.

Referans Mimarisi

Aşağıdaki şekil XS/SC26-2 Güvenlik Kontrolörlerinin referans dağıtımını göstermektedir.

Şekil 1. Referans Ağ Mimarisi
Referans Mimarisi

Üretim Bölgesi ağları (Üretim Operasyonları, Denetleyici Kontrol ve Proses Kontrol ağlarını içerir), kurumsal ağ (aynı zamanda iş ağı, kurumsal ağ veya intranet olarak da adlandırılır) ve internet gibi diğer güvenilmeyen ağlardan Demilitarized kullanılarak ayrılır. Bölge (DMZ) mimarisi. Proses Kontrol ağlarının, Üretim Bölgesindeki diğer ağların yanı sıra diğer Proses Kontrol ağlarından gelenler de dahil olmak üzere yüksek seviyeli ağlardan gelen trafiğe erişimi sınırlıdır.

Uzaktan Erişim ve Askerden Arındırılmış Bölgeler (DMZ)

DMZ mimarisi, güvenilmeyen ağlardan erişilebilen sunucuları yalıtmak için iki güvenlik duvarı kullanır. DMZ, iş ağı ile DMZ arasında ve kontrol ağı ile DMZ arasında yalnızca belirli (kısıtlı) iletişime izin verilecek şekilde dağıtılmalıdır. İdeal olarak iş ağı ve kontrol ağı birbiriyle doğrudan iletişim kurmamalıdır.

İş ağından veya internetten bir kontrol ağıyla doğrudan iletişim gerekiyorsa, tüm erişimi dikkatli bir şekilde kontrol edin, sınırlandırın ve izleyin. Eski içinampDosya, bir kullanıcının Sanal Özel Ağ (VPN) kullanarak kontrol ağına erişim sağlaması için iki faktörlü kimlik doğrulama gerektirir ve bu durumda bile izin verilen protokolleri/bağlantı noktalarını gereken minimum ayarla sınırlandırır. Ayrıca, her erişim girişimi (başarılı olsun ya da olmasın) ve engellenen tüm trafik, düzenli olarak denetlenen bir güvenlik günlüğüne kaydedilmelidir.

Proses Kontrol Ağlarına Erişim

Denetleyici Kontrol ağından Proses Kontrol ağlarına giden Ethernet trafiği, yalnızca gereken işlevselliği destekleyecek şekilde sınırlandırılmalıdır.

Ancak bu bölgeler arasında belirli bir protokolün (Modbus TCP gibi) kullanılması gerekmiyorsa, güvenlik duvarını bu protokolü engelleyecek şekilde yapılandırın. Güvenlik duvarını engellemenin yanı sıra, denetleyicinin bu protokolü kullanması için başka bir nedeni yoksa, denetleyicinin kendisini protokol desteğini devre dışı bırakacak şekilde yapılandırın.

NOT: Ağ Adresi Çevirisi (NAT) güvenlik duvarları genellikle güvenlik duvarının "güvenilen" tarafındaki tüm cihazları, güvenlik duvarının "güvenilmeyen" tarafındaki cihazlara maruz bırakmaz. Ayrıca NAT güvenlik duvarları, güvenlik duvarının "güvenilen" tarafındaki IP adresini/bağlantı noktasını, güvenlik duvarının "güvenilmeyen" tarafındaki farklı bir IP adresi/bağlantı noktasıyla eşleştirmeye dayanır. XS/SC26-2 Güvenlik Kontrol Cihazıyla iletişim genellikle Proses Kontrol ağ güvenlik duvarının "güvenilmeyen" tarafındaki bir bilgisayardan başlatılacağından, Proses Kontrol ağını NAT güvenlik duvarı kullanarak korumak ek iletişim zorluklarına neden olabilir. NAT'ı dağıtmadan önce, bunun gerekli iletişim yolları üzerindeki etkisini dikkatlice değerlendirin.

Diğer Hususlar

Yapılandırma Yönetimi

Tesisin güvenlik planına konfigürasyon değişiklikleri de dahil olmak üzere güvenlik düzeltmelerini uygulamaya yönelik bir strateji dahil edilmelidir. Bu güncellemelerin uygulanması genellikle etkilenen XS/SC26-2 Güvenlik Kontrolörünün geçici olarak hizmet dışı bırakılmasını gerektirir. Bazı kurulumlar, değişikliklerin üretim ortamında dağıtılmasından önce kapsamlı yeterlilik ve/veya devreye alma gerektirir. Bu gereklilik güvenlikten bağımsız olsa da, güvenlik düzeltmelerinin anında uygulanabilmesi ve kesinti süresinin en aza indirilmesi, bu yeterliliğe yardımcı olacak ek altyapı ihtiyacını doğurabilir.

Gerçek zamanlı iletişim

Ağ mimarisini tasarlarken, ağ koruma cihazlarının (güvenlik duvarları gibi), içinden geçmesi gereken iletişim trafiğinin gerçek zamanlı özellikleri üzerinde ne gibi bir etkisinin olacağını anlamak önemlidir.

Sonuç olarak, bu tür cihazlardan geçmek için gerçek zamanlı iletişim gerektiren ağ mimarileri, başarıyla kurulabilecek uygulamaları sınırlayabilir.

Ek Rehberlik

Protokole Özel Rehberlik
Protokol standartları kuruluşları, protokollerinin güvenli bir şekilde nasıl dağıtılacağına ve kullanılacağına ilişkin kılavuz yayınlayabilir. Mevcut olduğunda bu tür belgeler bu belgeye ek olarak dikkate alınmalıdır.

Devlet Kurumları ve Standart Kuruluşları
Devlet kurumları ve uluslararası standart kuruluşları, Kontrol Sistemlerinin nasıl güvenli bir şekilde dağıtılacağı ve kullanılacağı da dahil olmak üzere, sağlam bir güvenlik programının oluşturulması ve sürdürülmesi konusunda rehberlik sağlayabilir.

ÖrneğinampABD İç Güvenlik Bakanlığı, Güvenli Mimari Tasarımı ve Kontrol Sistemleriyle siber güvenliğe yönelik Önerilen Uygulamalar hakkında kılavuz yayınladı. Uygun olduğunda bu tür belgeler bu belgeye ek olarak dikkate alınmalıdır. Benzer şekilde, Uluslararası Otomasyon Derneği, endüstriyel otomasyon ve kontrol sistemleri için önerilen teknolojiler de dahil olmak üzere, bir siber güvenlik programının oluşturulması ve işletilmesi konusunda rehberlik sağlamak üzere ISA-99 spesifikasyonlarını yayınlamaktadır.

Bize Ulaşın

Banner Engineering Corp.'un genel merkezi şu adreste yer almaktadır: 9714 Tenth Avenue North | Minneapolis, MN 55441, ABD | Telefon: +1 888 373 6767

Dünya çapındaki konumlar ve yerel temsilciler için şu adresi ziyaret edin: www.bannerengineering.com. Şirket logosu

Belgeler / Kaynaklar

BANNER SC26-2 Güvenlik Kontrolörleri Güvenli Dağıtım [pdf] Kullanıcı Kılavuzu
SC26-2 Güvenlik Denetleyicileri Güvenli Dağıtım, SC26-2, Güvenlik Denetleyicileri Güvenli Dağıtım, Denetleyiciler Güvenli Dağıtım, Güvenli Dağıtım, Dağıtım

Referanslar

Yorum bırakın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar işaretlenmiştir *