构建一个安全的以太网环境
发布日期:2011-09-27 作者:Frank Prendergast 浏览次数:48582
【摘 要】:在商业和工业上,用以太网作为唯一的通讯网络这一趋势已经引起了人们对其安全性的关注。有限的数据流和昂贵的费用是建筑和自动化工厂专有网络的巨大缺点,它们与其它系统分开,提供了一种拒绝未授权访问的保护方法。
在商业和工业上,用以太网作为唯一的通讯网络这一趋势已经引起了人们对其安全性的关注。有限的数据流和昂贵的费用是建筑和自动化工厂专有网络的巨大缺点,它们与其它系统分开,提供了一种拒绝未授权访问的保护方法。所以,如何在安全的环境下运用以太网连接的优点呢?
一个综合全面的计划就是使其拒绝来自内部或外部的未授权访问。提供安全性的方法有基于其本身结构的技术,例如物理连接路径和虚拟局域网(VLAN),还有基于硬件或是软件的防火墙和安全管理服务器。
逻辑和物理安全
一个绝对安全的网络,毫无疑问,只有是和其它系统毫无连接的网络。然而,这正中以太网的要害,因为以太网的最大优点就是为了分享信息,它可以很容易的和其它以太网或是互联网连接。
一个最容易被忽略的方法是物理安全交换机和配线柜。一些简单事情,例如,在小配电柜内的套封装置,对非授权人员的受限访问都可以防止阻碍或是意外的损坏设备连接。除了在物理上阻止未授权访问,用TFTP(单纯文件传输协议)对交换机配置进行安全备份也是很有必要的,很多交换机的一个特征就是,每次都会发生变化。当一个设备停车后并要求复原时,这就不仅是一种安全措施,还是一种修复方法。
另外一种简易的保护如交换机等设备安全的方法就是密码保护。创造性的,许多交换机可以通过DB9串口连接器进行访问。这种管理接口被用来为远程登录的管理设置IP地址。
交换机的默认口令将会在制造商的整个生产线上通用,也会在产品说明书或是网上公开。许多用户,包括一些IT企业,很难更改默认口令和许可证。如果一个未授权的用户进入到一个没有安全保护的交换机,他/她就有可能更改设置或者是使端口无效。所以,即使没有连接到其它以太网,局域网,或是互联网,对所有的安全系统来说,物理安全和密码保护都是非常必要的。
TRANSPARENT READY® 安全
施奈德的TRANSPARENT READY 网络设备,例如CONNEXIUM® 交换机和FACTORYCAST®可编程控制器模块已经在图形界面,虚拟主机和Java/ActiveX
控制等方面进行了功能扩展。一旦被安装到网络上每台设备的默认口令可以被修改,还会根据需要生成额外的用户ID,对授权用户提供有限服务。
PLC编程工具,例如施奈德的CONCEPT®软件和SCADA编程如MONITOR PRO™还可以根据用户逻辑对访问权限进行分级,这些都是可以配置的。施奈德控制器的一些CPU,还配有密码,来控制其启动和停止,保护其内存。这些密码应该相互无关,并交与不同的授权人员保管。
特别是在比较大的场合,文件码改变,设备和结构的改变,确认电缆是对经常不被关注的设备或是程序进行维护安全性的重要因素。
路由器和交换机的安全性
由于在建筑或是自动化工厂中以太网越来越混杂,原来只在商业层设备中出现的问题也逐步在工作组层逐渐显示出来。可以通过配置访问控制性质来允许特定的工作站来访问设备或到达一个目标。这些特点包括运用虚拟局域网,端口安全,应用密码和在被支持的交换机或是路由器上使用过滤访问控制名单等。
这些特定的功能可能在其它厂家的产品或是模型上并不存在,所以在计划或是购买一些特定产品时,确认每个厂家的实际能力很重要。这些特定功能有时也会要求在配置和管理上有一定的技巧。
物理安全
物理安全对于一个操作环境来说是至关重要的。交换机或是路由器必须以一个安全固定方式安装,最好装在一个架子上或是封闭的区域。网络装置通常装有复位装置,以防止密码被忘记。正因为此,所有的端口,包括控制端口或是辅助端口都应该被锁住或是放置在一个密闭的空间内,以防止一些非授权的访问。
基于端口安全
端口安全是为了防止非授权用户插上一些设备,如工作站或是打印机。这些设备可能会因为引入过多的通讯量或是一些其它错误而干扰网络操作。强制禁止未使用的端口可以防止插入非法设备的端口无法联入网络进行通讯。
另外,为了拒绝非法设备的访问,基于端口的介质访问地址管理(MAC)可能会应用于交换机。一旦检测到没有配置过MAC地址,将会拒绝服务。这也可以被用于防止插入端口的设备或工作站的数目多于分配值。如果一个设备被另外一个不同MAC地址的设备替换,网络管理员应该适当的重新分配地址。
准入列表也可以被用于交换机或是路由器上,用来允许或是拒绝用户获得访问特定网络设备或是网络资源的权限。这就是通常所讲的网络包或是服务过滤,已经应用在某些特定的接口上。然而,准入列表与处理器资源相连,而且必须在每个服务器的每个接口上进行本地管理。所以,准入列表并不总是资源安全的最佳选择,因为不当操作可能会导致整个网络不可操作。
访问控制列表
访问控制列表应用的一个例子就是允许一个程序员对一个设备进行编程,但却限制他用网络浏览器访问该设备。一个访问控制列表就被用来完成这个功能。这个列表可以允许操作员通过工作站访问设备,但将会组织目标端口80,即网络浏览器在连接到任何http主机时所用到的端口。
虚拟局域网(VLAN)
虚拟局域网是IEEE802.1Q兼容交换机上的一组以太网口,或是一组交换机。一个VLAN可以在一个自动化工厂中把一些信息包从网络中隔离出来,例如IT网络。这种方法通常用来隔离一些无关信息,例如无线信息流,它可能会对控制信息产生干扰,但是此法亦可用来作为一种安全工具。
交换机可以划分为VLAN,每个独立的VLAN又可以分别补充设备。交换机的基础作为一个基于端口的VLAN把管理作为一个安全策略,因为一个端口可以同时属于多个VLAN或是多个交换机。
多层次的VLAN对于管理员可以说是一个挑战。因为多个VLAN跨越多个交换机,STP(生成树协议),不得不同时失效。例如,如果两个交换机都存在VLAN,每个VLAN需要连接到另外一个交换机的VLAN上,则每个交换机需要两条链接。为了防止环路,STP不允许设备之间多链路。
VLAN还可以用来划分无线通讯的区域。因为VLAN在逻辑上划分本地网络,而物理地域并不会限制它们。应用VLAN分解无线通讯域来开拓网络带宽,在一个交换机内把一个设备从另一个中分离出来。
VLAN的分解通过对一个设备端口的分配给不同的VLAN成员来完成的。例如,端口1、2分配给VLAN1,端口3、4分配给VLAN2。端口1、2将看不到端口3、4的信息,反之亦然。这种分离是在OSI的第二层中完成的。如果VLAN3生成后使用端口1、2、3、4、5,则连接到端口5上的设备可以看到端口1、2、3、4上的信息。
这种类型的案例主要用在如果网络管理员想要把办公室电脑与PLC或ACADA的信息流分离开来。因为这些设备通常不会彼此通讯,用VLAN把它们分割开来,可以使两个网络在同一个交换机下进行很好的协作。
为了为自动操作或是其它控制设备保持带宽,也可以应用一些其它配置。这些配置包括是否允许或是阻止多点传送或是限速传送。另外一些技术,例如,质量与服务(QoS),IEEE802.2p,可以对软件包的优先等级分成7类,并在其报头部分用3位加以设置。这就使当瓶颈发生时,通讯类型和端口配置拥有较高的优先等级,对自动划分信息很有用。虽然不是一个明确的安全方法,但它的确保证了自动控制网络的完整性。
防火墙技术
防火墙是在网络上防止潜在外来入侵提供安全的设备。与准入列表相比,防火墙对安全网络外部的进入控制更加精确。一个防火墙可以是一个网络工具,或者是独立服务器上的一个软件,亦可是配有多个网络适配器或是接口的路由器。防火墙通过其本身的协议栈进行这种控制,防火墙会根据其栈内的不同层次对出错信息进行检测。
网络工具防火墙是一个打包的,可以直接执行的单目的计算机,它可以提供操作系统和防火墙应用程序。 这个设备可以提供防火墙服务,又可以作为一个安全工作站内置于防火墙。这作为一个独立的解决方法,对企业可能会有用。其它一些防火墙制造商提供软件,安装到已有的PC或UNIX工作站,用大量的网络适配器为其工作。在这两例中,一些供应商为了改进其性能提供一些额外的软件或是硬件模块作为远程验证或是解密/加密加速器。这些配置对于那些需要可升级性,更多的接口或是其它性能的企业来说可能会有用。
在商业和工业上,用以太网作为唯一的通讯网络这一趋势已经引起了人们对其安全性的关注。有限的数据流和昂贵的费用是建筑和自动化工厂专有网络的巨大缺点,它们与其它系统分开,提供了一种拒绝未授权访问的保护方法。所以,如何在安全的环境下运用以太网连接的优点呢?
一个综合全面的计划就是使其拒绝来自内部或外部的未授权访问。提供安全性的方法有基于其本身结构的技术,例如物理连接路径和虚拟局域网(VLAN),还有基于硬件或是软件的防火墙和安全管理服务器。
逻辑和物理安全
一个绝对安全的网络,毫无疑问,只有是和其它系统毫无连接的网络。然而,这正中以太网的要害,因为以太网的最大优点就是为了分享信息,它可以很容易的和其它以太网或是互联网连接。
一个最容易被忽略的方法是物理安全交换机和配线柜。一些简单事情,例如,在小配电柜内的套封装置,对非授权人员的受限访问都可以防止阻碍或是意外的损坏设备连接。除了在物理上阻止未授权访问,用TFTP(单纯文件传输协议)对交换机配置进行安全备份也是很有必要的,很多交换机的一个特征就是,每次都会发生变化。当一个设备停车后并要求复原时,这就不仅是一种安全措施,还是一种修复方法。
另外一种简易的保护如交换机等设备安全的方法就是密码保护。创造性的,许多交换机可以通过DB9串口连接器进行访问。这种管理接口被用来为远程登录的管理设置IP地址。
交换机的默认口令将会在制造商的整个生产线上通用,也会在产品说明书或是网上公开。许多用户,包括一些IT企业,很难更改默认口令和许可证。如果一个未授权的用户进入到一个没有安全保护的交换机,他/她就有可能更改设置或者是使端口无效。所以,即使没有连接到其它以太网,局域网,或是互联网,对所有的安全系统来说,物理安全和密码保护都是非常必要的。
TRANSPARENT READY® 安全
施奈德的TRANSPARENT READY 网络设备,例如CONNEXIUM® 交换机和FACTORYCAST®可编程控制器模块已经在图形界面,虚拟主机和Java/ActiveX
控制等方面进行了功能扩展。一旦被安装到网络上每台设备的默认口令可以被修改,还会根据需要生成额外的用户ID,对授权用户提供有限服务。
PLC编程工具,例如施奈德的CONCEPT®软件和SCADA编程如MONITOR PRO™还可以根据用户逻辑对访问权限进行分级,这些都是可以配置的。施奈德控制器的一些CPU,还配有密码,来控制其启动和停止,保护其内存。这些密码应该相互无关,并交与不同的授权人员保管。
特别是在比较大的场合,文件码改变,设备和结构的改变,确认电缆是对经常不被关注的设备或是程序进行维护安全性的重要因素。
路由器和交换机的安全性
由于在建筑或是自动化工厂中以太网越来越混杂,原来只在商业层设备中出现的问题也逐步在工作组层逐渐显示出来。可以通过配置访问控制性质来允许特定的工作站来访问设备或到达一个目标。这些特点包括运用虚拟局域网,端口安全,应用密码和在被支持的交换机或是路由器上使用过滤访问控制名单等。
这些特定的功能可能在其它厂家的产品或是模型上并不存在,所以在计划或是购买一些特定产品时,确认每个厂家的实际能力很重要。这些特定功能有时也会要求在配置和管理上有一定的技巧。
物理安全
物理安全对于一个操作环境来说是至关重要的。交换机或是路由器必须以一个安全固定方式安装,最好装在一个架子上或是封闭的区域。网络装置通常装有复位装置,以防止密码被忘记。正因为此,所有的端口,包括控制端口或是辅助端口都应该被锁住或是放置在一个密闭的空间内,以防止一些非授权的访问。
基于端口安全
端口安全是为了防止非授权用户插上一些设备,如工作站或是打印机。这些设备可能会因为引入过多的通讯量或是一些其它错误而干扰网络操作。强制禁止未使用的端口可以防止插入非法设备的端口无法联入网络进行通讯。
另外,为了拒绝非法设备的访问,基于端口的介质访问地址管理(MAC)可能会应用于交换机。一旦检测到没有配置过MAC地址,将会拒绝服务。这也可以被用于防止插入端口的设备或工作站的数目多于分配值。如果一个设备被另外一个不同MAC地址的设备替换,网络管理员应该适当的重新分配地址。
准入列表也可以被用于交换机或是路由器上,用来允许或是拒绝用户获得访问特定网络设备或是网络资源的权限。这就是通常所讲的网络包或是服务过滤,已经应用在某些特定的接口上。然而,准入列表与处理器资源相连,而且必须在每个服务器的每个接口上进行本地管理。所以,准入列表并不总是资源安全的最佳选择,因为不当操作可能会导致整个网络不可操作。
访问控制列表
访问控制列表应用的一个例子就是允许一个程序员对一个设备进行编程,但却限制他用网络浏览器访问该设备。一个访问控制列表就被用来完成这个功能。这个列表可以允许操作员通过工作站访问设备,但将会组织目标端口80,即网络浏览器在连接到任何http主机时所用到的端口。
虚拟局域网(VLAN)
虚拟局域网是IEEE802.1Q兼容交换机上的一组以太网口,或是一组交换机。一个VLAN可以在一个自动化工厂中把一些信息包从网络中隔离出来,例如IT网络。这种方法通常用来隔离一些无关信息,例如无线信息流,它可能会对控制信息产生干扰,但是此法亦可用来作为一种安全工具。
交换机可以划分为VLAN,每个独立的VLAN又可以分别补充设备。交换机的基础作为一个基于端口的VLAN把管理作为一个安全策略,因为一个端口可以同时属于多个VLAN或是多个交换机。
多层次的VLAN对于管理员可以说是一个挑战。因为多个VLAN跨越多个交换机,STP(生成树协议),不得不同时失效。例如,如果两个交换机都存在VLAN,每个VLAN需要连接到另外一个交换机的VLAN上,则每个交换机需要两条链接。为了防止环路,STP不允许设备之间多链路。
VLAN还可以用来划分无线通讯的区域。因为VLAN在逻辑上划分本地网络,而物理地域并不会限制它们。应用VLAN分解无线通讯域来开拓网络带宽,在一个交换机内把一个设备从另一个中分离出来。
VLAN的分解通过对一个设备端口的分配给不同的VLAN成员来完成的。例如,端口1、2分配给VLAN1,端口3、4分配给VLAN2。端口1、2将看不到端口3、4的信息,反之亦然。这种分离是在OSI的第二层中完成的。如果VLAN3生成后使用端口1、2、3、4、5,则连接到端口5上的设备可以看到端口1、2、3、4上的信息。
这种类型的案例主要用在如果网络管理员想要把办公室电脑与PLC或ACADA的信息流分离开来。因为这些设备通常不会彼此通讯,用VLAN把它们分割开来,可以使两个网络在同一个交换机下进行很好的协作。
为了为自动操作或是其它控制设备保持带宽,也可以应用一些其它配置。这些配置包括是否允许或是阻止多点传送或是限速传送。另外一些技术,例如,质量与服务(QoS),IEEE802.2p,可以对软件包的优先等级分成7类,并在其报头部分用3位加以设置。这就使当瓶颈发生时,通讯类型和端口配置拥有较高的优先等级,对自动划分信息很有用。虽然不是一个明确的安全方法,但它的确保证了自动控制网络的完整性。
防火墙技术
防火墙是在网络上防止潜在外来入侵提供安全的设备。与准入列表相比,防火墙对安全网络外部的进入控制更加精确。一个防火墙可以是一个网络工具,或者是独立服务器上的一个软件,亦可是配有多个网络适配器或是接口的路由器。防火墙通过其本身的协议栈进行这种控制,防火墙会根据其栈内的不同层次对出错信息进行检测。
网络工具防火墙是一个打包的,可以直接执行的单目的计算机,它可以提供操作系统和防火墙应用程序。 这个设备可以提供防火墙服务,又可以作为一个安全工作站内置于防火墙。这作为一个独立的解决方法,对企业可能会有用。其它一些防火墙制造商提供软件,安装到已有的PC或UNIX工作站,用大量的网络适配器为其工作。在这两例中,一些供应商为了改进其性能提供一些额外的软件或是硬件模块作为远程验证或是解密/加密加速器。这些配置对于那些需要可升级性,更多的接口或是其它性能的企业来说可能会有用。
- 下一篇:现场总线互用性测试——幕后之人
- 上一篇:工业安全守护者——安全激光扫描仪
共0条 [查看全部] 网友评论