Automatisation industrielle et Système de contrôle

Alors que la demande d'IoT industrielle continue de croître, les réseaux industriels fermés sont confrontés à l’accessibilité sur Internet. Bien qu'il améliore l'efficacité opérationnelle, la cyber-sécurité est toujours plus menacée, préoccupant de plus en plus les gouvernements et les entreprises sur les dommages potentiels. 

La norme IEC 62443 comprend des directives de sécurité à jour et une liste des meilleures pratiques pour différentes parties d'un réseau. Il inclut également des informations pour ceux qui exercent différentes responsabilités sur le réseau afin de se protéger contre les fuites de sécurité connues et les attaques inconnues. L'objectif ultime de la norme est d'aider à améliorer la sécurité des réseaux et à améliorer l'automatisation industrielle et la sécurité des paramètres de contrôle.

À l'heure actuelle, de nombreux intégrateurs systèmes, tels que Siemens et ABB, exigent que les fournisseurs de composants se conforment à la sous-section IEC 62443-4-2 qui se rapporte spécifiquement à la sécurité des dispositifs terminaux. Cette sous-section définit quatre niveaux de menace pour la sécurité :

.Le niveau 1 est de protéger contre l'accès accidentel et non authentifié.
.Le niveau 2 est l'exigence de base de l'industrie de l'automatisation. Elle concerne les cyber-menaces posées par les pirates, ce qui constitue l'attaque la plus fréquente des intégrateurs systèmes.
.• Levels 3 et 4 sont contre l'accès intentionnel par les pirates qui utilisent des compétences et des outils spécifiques.

 



Du point de vue des experts en cybersécurité, les principales menaces qui peuvent affecter les réseaux internes incluent l'accès non autorisé, la transmission de données non sécurisée, les données clés non cryptées, les journaux d'événements incomplets et les erreurs opérationnelles.

WoMaster fournit un mécanisme de protection intégré SW & HW (ASIC), qui applique la dernière technologie sécurisée ASIC (Application-Specific Integrated Circuit) (classification des paquets L2-L7), l'authentification multiniveau, la transmission de données sécurisée, les données clés cryptées, les journaux d'événements complets / pièges, la prévention des erreurs opérationnelles et même des journaux, et les erreurs opérationnelles excédant les exigences IEC62443-4-2 niveau 2, afin de construire des systèmes plus sécurisés pour les applications industrielles.


Sécurité avancée basée sur le port
IEEE802.1 x MAB (contournement d'authentification MAC)


Le MAB permet le contrôle d'accès basé sur le port en passant le processus d'authentification d'adresse MAC au serveur TACACS + / Radius. Avant le MAB, l'identité du point de terminaison (ex: PLC) est inconnue et tout le trafic est bloqué. Le commutateur examine un seul paquet pour apprendre et authentifier l'adresse MAC source. Une fois le MAB réussi, l'identité du point de terminaison est connue et tout le trafic de ce point de terminaison est autorisé. Le commutateur effectue le filtrage d'adresse MAC source pour garantir que seul le point de terminaison authentifié par le MAB est autorisé à envoyer du trafic.

En plus du MAB, l'authentification peut également être effectuée par la table d'adresses MAC préconfigurée statique ou auto-apprise dans le commutateur.
.L'adresse .MAC Auto Learning permet au commutateur d'être programmé pour apprendre (et autoriser) un nombre préconfiguré des premières adresses MAC source rencontrées sur un port sécurisé. Cela permet la capture des adresses sécurisées appropriées lors de la première configuration de l'autorisation basée sur l'adresse MAC sur un port. Ces adresses MAC sont automatiquement insérées dans la table d'adresses MAC statiques et y restent jusqu'à ce qu'elles soient explicitement supprimées par l'utilisateur.
.La sécurité du port est encore améliorée par le réglage de Sticky MAC. Si l'adresse MAC collante est activée, les MAC / Périphériques autorisés sur le port «restent» sur le port et le commutateur ne leur permettra pas de passer à un port différent.
.Port Shutdown Time permet aux utilisateurs de spécifier la période d'arrêt automatique du port, en cas d'événement de violation de sécurité.




DHCP Snooping

La surveillance DHCP agit comme un pare-feu entre des hôtes non approuvés et des serveurs DHCP approuvés. Il effectue les activités suivantes :
.Valide les messages DHCP reçus de sources non fiables et filtre les messages non valides.
.Évalue et limite le trafic DHCP provenant de sources fiables et non fiables.
.Crée et maintient la base de données de liaison de surveillance DHCP, qui contient des informations sur les hôtes non approuvés avec des adresses IP louées
.• Utilise la base de données de liaison de surveillance DHCP pour valider les demandes ultérieures provenant d'hôtes non approuvés. La surveillance DHCP est activée par VLAN. Par défaut, la fonctionnalité est inactive sur tous les VLAN. Vous pouvez activer la fonctionnalité sur un seul VLAN ou une plage de VLAN.




Inspection ARP dynamique (DAI)

DAI valide les paquets ARP dans un réseau. DAI intercepte, enregistre et rejette les paquets ARP avec des liaisons d'adresses IP-MAC non valides. Cette fonctionnalité protège le réseau de certaines attaques de type man-in-the-middle.

DAI s'assure que seules les requêtes ARP valides et les réponses sont relayées. Le commutateur effectue ces activités :
.Intercepte toutes les demandes et réponses ARP sur les ports non approuvés
.Vérifie que chacun de ces paquets interceptés a une liaison d'adresse IP-MAC valide avant de mettre à jour le cache ARP local ou avant de transmettre le paquet à la destination appropriée
.Jette les paquets ARP invalides.


DAI détermine la validité d'un paquet ARP basé sur des liaisons d'adresse IP-MAC valides stockées dans une base de données approuvée, la base de données de liaison de surveillance DHCP. Cette base de données est créée par le snooping DHCP si la surveillance DHCP est activée sur les VLAN et sur le commutateur. Si le paquet ARP est reçu sur une interface de confiance, le commutateur transmet le paquet sans aucune vérification. Sur les interfaces non approuvées, le commutateur transfère le paquet uniquement s'il est valide.



IP Source Guard (IPSG)

La protection de source IP fournit un filtrage d'adresse IP source sur un port de couche 2 pour empêcher un hôte malveillant d'emprunter l'identité d'un hôte légitime en assumant l'adresse IP de l'hôte légitime. La fonctionnalité utilise la surveillance dynamique DHCP et la liaison de source IP statique pour faire correspondre les adresses IP aux hôtes sur des ports d'accès de couche 2 non approuvés.

Initialement, tout le trafic IP sur le port protégé est bloqué sauf pour les paquets DHCP. Après qu'un client a reçu une adresse IP du serveur DHCP ou après que la liaison de source IP statique a été configurée par l'administrateur, tout le trafic avec cette adresse source IP est autorisé à partir de ce client.

Le trafic provenant d'autres hôtes est refusé. Ce filtrage limite la capacité d'un hôte à attaquer le réseau en réclamant l'adresse IP d'un hôte voisin.



Liste de contrôle d'accès IPv4 / v6 (ACL)

Le filtrage de paquets limite le trafic réseau et restreint l'utilisation du réseau par certains utilisateurs ou appareils. Les listes de contrôle d'accès filtrent le trafic lorsqu'il passe à travers un commutateur et autorisent ou refusent les paquets qui traversent des interfaces spécifiées. Une ACL est une collection séquentielle de conditions d'autorisation et de refus qui s'appliquent aux paquets. Lorsqu'un paquet est reçu sur une interface, le commutateur compare les champs du paquet avec les listes de contrôle d'accès appliquées pour vérifier que le paquet a les autorisations requises à transmettre, en fonction des critères spécifiés dans les listes d'accès.

WoMaster prend en charge les ACL L2-L7, analysant jusqu'à 128 octets / paquet et classifiant les paquets L2-L7 et filtrant le trafic IPv4 / IPv6, y compris TCP, protocole UDP (User Datagram Protocol), IGMP (Internet Group Management Protocol) et Internet Control Message Protocol (ICMP).





Mots de passe utilisateur à plusieurs niveaux
Différents serveurs d'authentification centralisée sont pris en charge tels que RADIUS et TACACS +. L'utilisation d'un serveur d'authentification central simplifie l'administration du compte, en particulier lorsque vous avez plusieurs commutateurs dans le réseau.

La chaîne d'authentification est également prise en charge. Une chaîne d'authentification est une liste ordonnée de méthodes d'authentification pour gérer des scénarios d'authentification plus avancés. Par exemple, vous pouvez créer une chaîne d'authentification qui contacte d'abord un serveur RADIUS, puis recherche dans une base de données locale si le serveur RADIUS ne répond pas.


Logiciel de gestion de réseau

​​NetMaster est le logiciel de gestion de réseau pour les appareils WoMaster. Il peut découvrir automatiquement les périphériques réseau et faire un diagramme de topologie pour les liens. La configuration par lots et la mise à niveau aident les intégrateurs système à installer le système plus facilement. NetMaster peut également mettre une alarme et un rappel pour la cybersécurité.