施耐德电气自动化业务构建安全以太网环境

构建安全的以太网环境

Frank Prendergast著
网络认证服务经理
施耐德电气自动化业务
北安多弗，马萨诸塞州

使用以太网作为商业和工业唯一通信网络的趋势引起了人们对安全的关注。虽然用于建筑或工厂自动化的专有网络在限制信息流和较高成本方面存在主要缺点，但它们与其他系统的分离提供了一种防止未经授权访问的措施。那么，如何在安全环境中利用以太网连接的优势呢?

一个全面的安全计划必须防止来自内部和外部的未经授权的访问。安全方法的范围可以从基于基础设施本身的技术(如物理连接路径和虚拟局域网(vlan))到基于硬件和软件的设备(如防火墙和安全管理服务器)。

逻辑与物理安全

当然，最安全的网络是不与其他系统连接的网络。但这就破坏了以太网的主要优势——与其他以太网络或互联网的轻松连接，从而实现信息共享。

最常被忽视的安全措施之一是物理保护开关和配线柜。一些简单的措施，如将设备封闭在可上锁的机柜或壁橱中，并限制授权人员进入，可以防止设备链路被篡改或意外断开耦合。除了在物理上防止未经授权的访问之外，在每次进行更改时使用TFTP (Trivial File Transfer Protocol)保护交换机配置的备份副本也是有意义的，TFTP是许多交换机中都有的特性。这不仅是一种安全措施，而且在设备发生故障并需要更换时也是一种恢复方法。

另一种轻松保护基础设施设备(如交换机)的方法是密码保护。开箱即用，可以使用串行DB9控制台连接访问大多数交换机。该管理接口用于为基于TCP/IP的远程telnet管理分配IP地址。

交换机的默认密码可能在制造商的整个产品线中标准化，并在产品文档和网络上发布。许多用户(包括IT组织)无法更改默认密码和权限。如果未经授权的用户到达不安全的交换机，他或她将完全控制交换机，能够更改配置或禁用端口。因此，即使没有以太网连接到公司LAN或Internet，物理安全和密码保护也必须是任何安全程序的一部分。

透明的准备

施耐德电气(Schneider Electric)的支持web的TRANSPARENT READY设备(如CONNEXIUMy)仅向授权用户提供服务。

PLC编程工具，如施耐德电气的CONCEPTy。这些钥匙应取出并分发给授权人员。

特别是在大型环境中，记录代码更改、设备和基础设施更改以及布线标识是维护设备和程序安全性的关键，因为这些设备和程序可能不经常得到服务。

路由与交换安全

随着用于建筑或工厂自动化的以太网网络的复杂性的增长，曾经只在企业级设备中发现的功能正在进入工作组级别的日常使用。可以在某些交换机和路由器中配置访问控制功能，以仅允许特定工作站访问设备或通过目标。这些功能包括“虚拟局域网”的实现、端口安全、密码实现和支持交换机和路由器上的访问控制列表过滤。

某些制造商的产品或型号可能不提供这些特殊功能，因此在指定或购买特定产品之前检查每个供应商的功能非常重要。这些特性可能还需要专门的技能来配置和管理。

物理安全
物理安全对于安全的操作环境至关重要。交换机和路由器必须以安全和坚固的方式放置，最好安装在安全区域的机架或外壳中。如果忘记密码，网络设备通常会被设置为恢复出厂设置。因此，包括控制台和辅助端口在内的所有端口都应由锁固定或位于可锁的外壳中，以防止未经授权的访问。

出口安全
交换机的端口安全可以防止未经授权的用户插入设备，如工作站或打印机。像这样的设备可能会通过引入过多的流量和可能的错误来破坏网络运行。在管理上禁用未使用的端口可以防止未经授权的设备插入流量进入网络。

此外，可以在交换机上使用基于端口的硬件地址(MAC地址)管理，以拒绝对未经授权的设备的访问。如果检测到未配置的MAC地址，将不提供服务。这也可以用作防止将超过分配数量的工作站或设备连接到端口的预防措施。如果设备被替换为具有不同MAC地址的设备，则必须由网络管理员适当地重新分配端口。

访问列表还可以在受支持的交换机和路由器上使用，以允许或拒绝用户访问特定的网络设备或网络设备上的特定资源。这通常被称为数据包和服务过滤，并放置在某些接口上。但是，使用访问列表占用处理器资源，并且必须在每个路由设备中的每个接口上进行本地管理。因此，访问列表并不总是保护资源的最优方法。在使用这些过滤设备时，由专业人员进行适当的设置是至关重要的，因为不适当的设置可能导致网络无法运行。

访问控制列表
访问控制列表实现的一个例子是允许程序员对设备进行编程，但限制程序员从web浏览器访问该设备。访问控制列表用于完成此任务。该列表将允许程序员通过他的工作站访问设备，但将阻止目的端口为端口80，该端口是web浏览器用于连接任何http主机的端口。

虚拟局域网

虚拟局域网是一个符合IEEE 802.1Q标准的交换机或一组交换机上的一组以太网端口。VLAN可以用于帮助隔离工厂自动化网络(例如IT网络)上的数据包和广播流量。这样的措施通常用于隔离可能干扰控制通信的无关流量(如广播)，但也可以作为安全工具实现。

交换机可以被划分为多个vlan，这可能导致位于不同vlan的设备不可达。基于交换机端口的vlan作为一种安全策略的缺点是管理问题，因为一个端口可能属于跨多个交换机扩展的多个vlan。

多层vlan的管理可能具有挑战性。为了使多个vlan跨越多台交换机，可能还需要关闭生成树协议STP。例如，如果两台交换机上各存在两个VLAN，则每个VLAN都需要与另一台交换机上对应的VLAN建立连接，因此需要在两台交换机之间建立两条链路。STP不允许设备间存在多条链路，以防止环路。

vlan还可以用于划分网络中的广播域。由于vlan是逻辑上分段的局域网，因此物理区域不会对其进行限制。利用vlan通过分解广播域和在同一交换机内将一个设备网络与另一个设备网络分段来回收网络带宽。

VLAN分段是通过将设备的端口分配到不同的VLAN成员来实现的。例如，端口1和端口2可以分配给VLAN1。端口3和端口4可以分配给VLAN2。端口1和2不会看到来自端口3和4的广播或流量，反之亦然。这种分离在OSI第2层完成。如果使用端口1、2、3、4和5创建了第三个VLAN，那么端口5上的设备将看到来自端口1、2、3和4的所有广播流量。

这种类型实现的一个例子是，如果网络管理员希望将来自办公计算机的流量与PLC或SCADA设备分离。由于这些设备通常不会相互通信，因此用VLAN将它们分开将允许两个网络在同一台交换机上共存。

可以实现其他配置，以便为自动化或其他控制设备节省带宽。这些设置包括是否通过或阻止多播和速率限制广播。其他技术，如服务质量(QoS)， IEEE 802.3，可以通过在包头中设置3位来确定7个级别的包的优先级。这允许流量类型或端口分配在发生瓶颈时具有更高的优先级，并且可以非常有用地确定自动化流量的优先级。虽然不是一种特别的安全措施，但它确实保持了自动化网络的完整性。

防火墙技术

防火墙是在网络上实现的一种设备，用于防止潜在的入侵者。与访问列表相比，防火墙对安全网络外部可以访问和不能访问的内容具有更细粒度的控制。防火墙可以是一个网络设备，也可以是独立服务器或路由器上的一个软件，这些服务器或路由器配备了多个网络适配器或接口。防火墙通过使用自己的协议栈来提供这种粒度控制，并且根据防火墙的不同，它检查堆栈的每个级别是否有错误信息。

网络设备防火墙是一种捆绑的、随时可以运行的单一用途计算机，它提供操作系统和防火墙应用程序。该设备被调优为防火墙服务，并从防火墙“内部”的安全工作站进行管理。作为一个独立的解决方案，这些可能对企业有所帮助。

其他防火墙制造商提供的软件可以安装到现有的PC或UNIX工作站上，并带有专用于此任务的多个网络适配器。在这两种情况下，一些提供商都提供了用于远程身份验证和加密/解密加速器的附加软件和硬件模块，以提高性能。这些配置可能对需要可伸缩性、更多接口或其他特性的企业有所帮助。

防火墙的工作原理是检查在两个适配器之间传递的每个数据包，并在允许数据包通过之前比较几个不同级别的访问规则。一旦数据包通过了所有要求的验证，防火墙就会应用网络地址转换(NAT)。NAT通过将实际源地址替换为防火墙外部地址来隐藏内部网络的IP地址。这样做的目的是将发送者的原始内部地址隐藏在防火墙内。

防火墙允许对MAC地址、IP地址、端口号甚至某些命令和服务进行过滤。每个防火墙根据供应商、特性和成本提供不同级别的安全性。在任何基础设施中选择和实现防火墙都需要进行研究、规划和功能/成本比较。

每个供应商都提供了一组不同的特性，比如身份验证支持、日志记录、额外内存和性能类。例如，执行的安全检查越多，事务发生的速度就越慢。某些防火墙管理套件还允许下载规则并将其应用于其他网络设备，例如内部或外部的路由器。

身份验证技术

设备的密码管理也是一个问题。服务器平台可用于集中管理密码。这些服务包括RADIUS(远程认证拨入用户服务)和TACACS/TACACS+(终端接入控制器/门禁控制器系统)。这些服务允许对登录和密码进行安全的集中维护。可以在这样的服务器上集中管理对设备、网络或资源(如服务器)的访问。当用户请求访问设备时，将根据服务器上的数据库检查用户的凭据以获得权限。

身份验证是网络用户建立身份的过程。验证用户身份需要至少三个身份验证因素中的一个:密码、智能卡或带有硬件或软件和生物识别技术的令牌。每种方法都有不同的优点和缺点。

密码可能会被遗忘或共享，从而危及最初的安全目标。此外，还可以通过监视键盘击键或网络流量、诱骗个人泄露密码或使用字典攻击实用程序等暴力破解方法来窃取密码。

智能卡或令牌与主机上的硬件或软件一起工作，因此每个生成的响应对于每个登录都是唯一的。虽然提供了强大的安全措施，但智能卡和令牌可能会丢失、被盗或被遗忘，并且必须发行和跟踪，因此它们的实施和管理成本高于密码。

最强大的单一方法是生物识别授权，如指纹、视网膜或虹膜扫描、声音或面部识别。虽然它实现了更高级别的安全性，但用户也因此面临更多的不便。

安全远程访问

随着越来越多的员工发现自己在办公室外执行任务，对远程访问的需求不断增加。远程访问服务器(RAS)和虚拟专用网(VPN)是提供远程访问服务的两种技术。远程访问对于销售、支持、分支机构和非现场合作伙伴的组织至关重要。

使用RAS，远程访问客户端使用电信基础设施在远程访问服务器上创建带有端口的临时物理电路。VPN是指VPN客户端通过Internet与远端VPN服务器建立虚拟的点对点连接。

尽管RAS已被证明很受欢迎，但许多企业正在寻找低成本的VPN来执行相同的功能并降低电信成本。VPN可以被定义为使用公共网络基础设施(如Internet)为远程员工、业务合作伙伴和客户提供对应用程序和公司网络资源的私有、安全访问的一种手段。通过在Internet上部署VPN，可以从世界上几乎任何地方建立虚拟专用连接，提供对中央网络的安全访问，而不必直接拨入公司网络。

vpn降低了电信成本，因为远程用户只需要连接到本地互联网接入点，而无需拨打长途电话。VPN采用安全的隧道连接方式，只有通过认证的用户才能访问企业内网。使用隧道，每个消息包被封装或“包装”在一个IP包中，以便通过加密的“隧道”在公共网络上传输。封装在安全服务器或防火墙中呈现。在身份验证之后，数据包将被解码并解包，以便转发到目标主机。

目前广泛使用的VPN协议有L2TP、IPSec和SOCKS5。这些协议是用于创建VPN链路的构建块。有些协议在功能上有重叠，提供类似但互补的功能。

虚拟专用网络解决方案可能是许多不同技术的组合，例如加密、用户和数据身份验证以及访问控制技术，这些技术共同提供一个VPN解决方案，以保护数据隐私并确保适当的访问控制。构成VPN安全组件的技术包括身份验证、数据加密、用户访问控制和事件记录。

VPN和RAS之间最重要的区别是客户端/服务器软件和通信访问。就电信、设备和人员成本而言，VPN是一种成本低得多的方法，中层IT人员可以轻松处理管理。这也是一种更安全的方法，因为用户和数据身份验证以及加密功能是软件固有的。

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。