保护工业无线网络
信息时代在制造业的到来不仅对您在制造操作中可以访问哪些数据,而且对您如何访问这些数据具有重要意义。
无线技术提供了自由,可以象征性地切断电线,想象以变革的方式运营。
它可能包括使用移动设备从工厂的任何地方监控操作,或者将维护技术人员与远程专家连接起来。它可能包括无线、互联网协议(IP)支持的摄像头,从难以到达的区域监控操作。它还可能涉及连接到不断增长的物联网(IoT)中的无线连接设备,以收集制造过程中的质量、安全和其他数据。
除了这些优势之外,由于硬件和布线的减少以及维护需求的减少,无线技术还可以以较低的安装成本的形式提供节省。
无线技术在制造业和工业环境中并不新鲜。它已经在点对点数据传输、监控和数据采集(SCADA)等应用中使用了多年。然而,随着无线越来越多地用于关键应用和实时控制,对该技术的需求也在发生变化。
随着越来越多的制造商建立互联企业,并将其工业和企业系统融合到基于以太网的网络架构中,他们需要具有低延迟和低抖动的可靠无线通信,以实现不间断的控制和数据访问。更重要的是,他们需要确认他们的无线通信是安全的。
考虑到无线通信面临的独特风险,例如数据的拦截和监控、无线帧欺骗和拒绝服务攻击,安全性至关重要。这包括使用符合IEEE 802.11的设备认证和数据加密方法,该方法正在成为为工业自动化和控制系统(IACS)应用部署可靠和安全无线网络的标准。
在实施工业无线网络时,请牢记指南中的以下一些设计和安全考虑因素:在融合全厂以太网架构中部署802.11无线局域网技术,由思科和罗克韦尔自动化共同开发。
自主vs统一
首先,考虑IACS设置中使用的两种不同的无线局域网(WLAN)体系结构类型是很重要的,因为每种体系结构的安全考虑都是不同的。
自治架构类型使用独立的无线接入点来实现所有WLAN功能。每个自治接入点都是单独配置和管理的。
自治架构通常仅用于小规模部署或独立无线应用程序。它具有较低的初始硬件成本,简化的设计和部署,并提供更细粒度的服务质量控制,以帮助确定网络上IACS应用程序流量的优先级。
统一架构(UA)用于需要广泛客户端和应用程序的大规模全厂部署。它提供基础服务,包括入侵防御和无线访客访问,并为实现工厂范围的移动性提供基础。
统一的架构解决方案将功能划分为轻量级接入点(LWAP)和无线局域网控制器(WLC)。它具有接入点的“零接触”部署和替换,更新配置和固件所需的工作量更少,并提供集中控制和可见性。
安全注意事项
具有AES (Advanced Encryption standard)级别加密的WPA2 (Wi-Fi Protected Access 2)安全标准是唯一推荐用于工业WLAN应用的安全机制。WPA2为工业环境中的wlan提供了目前最先进的安全性,而AES加密是在硬件级别实现的,因此不会影响应用程序的性能。
在自治架构中,WPA2可以支持预共享密钥身份验证和802.1X/可扩展身份验证协议(EAP)身份验证。安全策略、基础设施支持和部署便利性等因素可以帮助确定这两种身份验证方法中哪一种最适合自治WLAN。还可以选择在单个自治体系结构中使用多种身份验证方法,例如支持不同的客户端类型。
预共享密钥身份验证使用一个公共密码,该密码在体系结构中的所有设备之间共享。请记住,此方法不能仅将访问限制到特定的客户端—任何具有密码的人都可以对WLAN进行身份验证。
因此,预共享密钥验证最适合客户端受到严格控制的小规模wlan。这可能包括使用工作组桥接(WGB)的包含固定数量无线机器的应用程序。
802.1X/EAP认证使用可扩展认证协议(Extensible authentication Protocol, EAP)框架提供对WLAN的访问。该认证方法基于802.1X IEEE基于端口的访问控制标准,通过基于个人用户凭据的访问控制提供了强大的安全性,可以在预共享密钥认证不能满足您的安全需求时使用。
此方法的配置建议包括使用EAP-FAST协议对自治WLAN的wgb进行身份验证。专用接入点应配置为远程访问拨入用户服务(RADIUS)服务器,以存储WGB凭据,但它不应接受任何无线客户机。
MAC地址身份验证是第三种身份验证方法,但单独使用时并不安全,因为MAC地址可以被检测和欺骗。与其将此作为唯一的安全方法,还可以将其用于补充预共享密钥或802.1X/EAP身份验证,作为防止关键控制应用程序中意外连接的额外保护。
统一的WLAN体系结构需要证书和其他EAP协议进行身份验证,这是802.1X/EAP身份验证所不能提供的。此外,预共享密钥身份验证在统一体系结构中是不够的,因为它不能提供统一体系结构所需的快速漫游安全性。
统一架构应该使用eap -传输层安全(TLS)身份验证来实现全厂范围的WLAN安全。该方法要求RADIUS服务器位于3级工业区,控制器上必须支持本地EAP证书。
此外,非漫游应用程序可能不需要EAPS-TLS身份验证,但将其用于快速漫游和非漫游应用程序将有助于简化部署,并减少不同设备使用哪种安全方法的混淆。
其他的考虑
为WLAN架构选择的硬件应该支持实现安全可靠的无线通信的目标。这包括使用符合广泛采用的IEEE 802.11 a/b/g/n标准的无线接入点(WAP)和WGB硬件,并提供2.4 ghz和5 ghz频谱可用性,以满足您的操作需求范围。
较新的硬件既可以作为自治体系结构中的接入点,也可以作为自治和统一体系结构中的WGB,仅使用一个设备就可以实现安全可靠的无线网络部署。作为接入点,这些设备可以充当路由器,将无线客户端安全地带入有线网络。作为WGB,它们可以安全地将多达19个有线IP地址客户端连接到无线网络。
在统一的体系结构中,还要验证WLC是否提供了无线接入点(CAPWAP)的完全控制和供应——接入点到控制器加密。它还应该为检测恶意访问点和拒绝服务攻击提供支持。
最后,网络分段可以在控制网络和企业网络之间建立分离。这允许在每个网络中使用不同的安全实践,并且可以帮助确认生产区域的工作人员只能访问与生产相关的数据,而来自企业相关应用程序的数据仍然是隔离的。
遵循这些与标准一致的安全最佳实践将有助于利用无线技术和物联网的力量,同时保护运营和知识产权免受基于无线的威胁。
- Divya Venkataraman是罗克韦尔自动化公司的产品经理。埃里克·r·艾斯勒主编,石油与天然气工程,eeissler@cfemedia.com.
关键概念
- MAC地址身份验证是第三种身份验证方法,但单独使用时并不安全,因为MAC地址可以被检测和欺骗。
- 较新的硬件既可以作为自治体系结构中的接入点,也可以作为自治和统一体系结构中的WGB。
考虑一下这个
在统一的体系结构中,还要验证WLC是否提供了无线接入点(CAPWAP)的完全控制和供应——接入点到控制器加密。它还应该为检测恶意访问点和拒绝服务攻击提供支持。
在线额外
点击这里观看串口到以太网的培训视频。
-请参阅下面链接的相关故事。
您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献,并获得您和您的公司应得的认可。点击在这里开始这个过程。
