symanitron secure
TRANSCRIPT
no problem — just solution!
Symanitron SecureАлексей Петухов
Руководитель направления безопасных промышленных систем передачи данных
Форум. SYMANITRON:
Российские промышленные
системы передачи данных.
© NGS Distribution – http://ngsec.ru 2
Супер решение
Мега тренд в
Системах передачи данных
Информационной безопасности
Symanitron Secure
© NGS Distribution – http://ngsec.ru 3
ПОЧЕМУ?
© NGS Distribution – http://ngsec.ru 4
Комплексный подход
Богатый функционал
Уникальные возможности
Symanitron Secure
© NGS Distribution – http://ngsec.ru 5
Не много подробней…
Современное предприятие
© NGS Distribution – http://ngsec.ru 6
Распределённая IT-инфраструктуры
Интеграция офисной и технологических сетей
Сложная IT инфраструктура
Удалённый доступ
Проблематика
© NGS Distribution – http://ngsec.ru 7
Угрозы сбоев производства, связанные с
информационными технологиями:
Специализированная атака
Ошибка пользователя
Вредоносное ПО
Риски сбоев производства, связанные со
сложностью ИТ инфраструктуры
Особенности
© NGS Distribution – http://ngsec.ru 8
Специальные требования к
техническим характеристикам устройств
функциональным возможностям решений
условиям обслуживания и эксплуатации
надёжности
© NGS Distribution – http://ngsec.ru 9
Каким же должно быть
идеальное устройство для
защиты промышленной сети?
© NGS Distribution – http://ngsec.ru 10
Должен быть набор функций:
VPN (IPSec, SSH …)
Firewall
IPS (deep inspection SCADA протоколов)
Radius / TACACS и т.п.
Фильтры L2/L3
VPN
© NGS Distribution – http://ngsec.ru 11
Должно соответствовать требованиям к
сетям:МЭК 61850 IEEE 1613
МЭК 60870 EN 50121
IEC 101/104 DNP3
Modbus TG
Должно поддерживать
специализированные протоколы:
© NGS Distribution – http://ngsec.ru 12
… и лучше
если это будет
на базе промышленного коммутатора
© NGS Distribution – http://ngsec.ru 13
Должно соответствовать требованиям:
Отказоустойчивость (минимальная сходимость)
ITU-T G.8032 (Ethernet кольца)
RSTP и MSTP (Ethernet деревья)
Промышленное исполнение
Отсутствие вентиляторов
Крепление на Din-рейку
-40 .. + 75
DC : 24 - 270 V
AC : 90 - 250 V
Разнообразие интерфейсов ввода/вывода
(медные, оптические, SFP, последовательные)
© NGS Distribution – http://ngsec.ru 14
Symanitron Secure
всё в одном устройстве
Ethernet
Последовательныеинтерфейсы
Дискретные В/В
Оптические порты
Сотовая связь
xDSL
Маршрутизация / Коммутация
Deep inspection
Firewall
VPN
© NGS Distribution – http://ngsec.ru 15
SEWM-DF-S300
SEWM-DF-S500
SEWM-DF-S200
Symanitron Secure
© NGS Distribution – http://ngsec.ru 16
SEWM-DF-S200
1 x Ethernet
2xRS 2321xRS232+1xRS485
2xSIM-карты
GPRS/G3
Дополнительный SFP-порт
Питание
• 24 vDC
• 48 vDC
© NGS Distribution – http://ngsec.ru 17
SEWM-DF-S300
8/16 x порты Fast Ethernet4xRS 232
2 x SIM-карты
GPRS/G3
2xSFP
Питание
• 24 или 48vDC
• 110-220vAC
• 110-220vDC
© NGS Distribution – http://ngsec.ru 18
• Модульный коммутатор с креплением на DIN-рейку
• 7 x слотов Ввода/Вывода
• Порты Ethernet или RS-232/RS-485
• До 28 гигабитных портов
• До 24 последовательных портов
• Резервированное питание
• 24/48VDC
• 110VAC/220VAC
SEWM-DF-S500
© NGS Distribution – http://ngsec.ru 19
Промышленное исполнение
Крепление на DIN-рейку
- 40 до +75 °C
МЭК 61850-3,
МЭК 60870
IEEE 1613
EN50121-4
Symanitron Secure
© NGS Distribution – http://ngsec.ru 20
Богатый функционал защиты информации
Firewall
Deep Inspection (Modbus, IEC101/104, DNP3)
Защита от DoS-атак
Включение/отключение портов
Аутентификация пользователей
Журнал активности пользователей
VPN
Symanitron Secure
© NGS Distribution – http://ngsec.ru 21
Полный сетевой функционал:
Коммутация
Маршрутизация
Шлюз протоколов
Symanitron Secure
Время восстановления в кольце менее 50 мс
QoS
PTP
… и многое другое
© NGS Distribution – http://ngsec.ru 22
Широкий выбор интерфейсов:
Витая пара
Оптика (SFP)
GSM модуль
LTE модуль
RS-232 / RS-485
USB-порт (для экстренного восстановления конфигурации)
Клеммная колодка для вывода сигнализации
Дискретные входы
Дискретные выходы для оповещения
Symanitron Secure
РоЕ
© NGS Distribution – http://ngsec.ru 23
Sycon
© NGS Distribution – http://ngsec.ru 24
Sycon
Работа в режиме клиент-сервер
Графическое представление топологии сети
Автоопределение компонентов сети
Система для настройки Ethernet-колец
Планирование правил безопасности
Диагностические инструменты
Ведение журнала событий и ошибок
© NGS Distribution – http://ngsec.ru 25
Удобство работы и управления
Symanitron Secure
© NGS Distribution – http://ngsec.ru 26
Чуть подробней о
информационной безопасности…
© NGS Distribution – http://ngsec.ru 27
Контроль трафика
IP• Повышенные требования к пакетам, предназначенным для служебных объектов
(IP-адрес отправки/назначения)
Порт• Номер TCP/UDP-порта
(например: IEC 104 :2404 ; Modbus : TCP 502 ;SNMP :UDP161)
Адрес• Проверка адресов устройств
(Исходящий адрес; Адрес назначения; ASDU; объекты IO)
Пакет
• Углубленные проверки полезной нагрузки пакета с соответствии с правилами.
• Правила брандмауэра настраиваются между каждой парой абонентов
Жур.• Визуальное отображение нарушений и их протоколирование
© NGS Distribution – http://ngsec.ru 28
Безопасный удаленный доступ
RTU
Меню пользовательского приложения
Technician
• 104 RTU | Порт x | IP x• 61850 IED | Порт y | IP y• 101 Server | Последовательный порт 5 | 2
• Заранее утвержденные пользователи• Заранее утвержденное время для связи• Аутентификация
Интернет
Использование reverse-SSH туннелей с шифрованием из безопасных мест
Доступ к правам с сервера RADIUS.
Журнал операций для аудита и экспертизы
Устройства в качестве прокси сервера для скрытия локальной сети
© NGS Distribution – http://ngsec.ru 29
VPN для защищенного соединения
VPN (Уровень 3) между продуктами Symanitron Secure и
продуктами других производителей (Plao Alto, Fortigate,
Cisco и др.)
© NGS Distribution – http://ngsec.ru 30
Минимум рисков от избыточности
оборудования в сети
Максимум надёжности и
безопасности сети
Symanitron Secure
© NGS Distribution – http://ngsec.ru 31
Построение безопасных сетей
Станции АСУ ТП
Удаленные датчики
Интернет
Станция управления
Контроллеры удаленных датчиков
Индивидуальный сетевой экран
VPN Agent
Шлюз последовательного порта
Кольцо Ethernet с резервированием
Экран системы управления
Система мониторинга
Контроллеры
Преимущество Symanitron Secure:
Отдельная защита каждого сервиса
Эмуляция последовательных каналов
Общая система управления сетью
Контроллеры удаленных датчиков
© NGS Distribution – http://ngsec.ru 32
Пару примеров
© NGS Distribution – http://ngsec.ru 33
Безопасность на подстанции
Подстанция
IEDШлюз
VoIP
ETH RTU Мониторинг
электроэнергии
RTU
RS-232
SEWM-DF-S300
SEWM-DF-S300
Интернет
УдаленныйпользовательЦентр автоматизации
MPLS/Ethernet
Центр измерений
Сегментирование
сети средствами
VLAN/Масок
Брандмауэр на
каждом
порту/устройстве
Защищенный
удаленный доступ
Шлюз Serial-в-
Ethernet
Пользовательна подстанции
SEWM-DF-S300
© NGS Distribution – http://ngsec.ru 34
Подключение второй подстанции
Центр измеренийЦентр автоматизации
PLC
RTUМониторинг
электроэнергии
SEWM-DF-S300
Концентраторизмерений
RS - 232
ETH
ETH
Сотоваясеть
Вторая подстанция
Зашифрованные туннели через
сотовую сеть
Firewall для протоколов SCADA
(IEC104, IEC61850, Modbus)
Шлюз для последовательных
устройств IED
© NGS Distribution – http://ngsec.ru 35
Умный город
Беспроводная сеть
Резервная сотовая сеть
Control Center
© NGS Distribution – http://ngsec.ru 36
Сетевая инфраструктура города
© NGS Distribution – http://ngsec.ru 37
Одно устройство
–
множество решений
Symanitron Secure
© NGS Distribution – http://ngsec.ru 38© NGS Distribution – http://ngsec.ru