Wdrażanie bezpiecznych sieci IIoT przy użyciu przełączników zarządzanych Ethernet

Zasilanie przez Ethernet (PoE oraz PoE+)

Technologia zasilania przez Ethernet (PoE oraz PoE+) stanowi znakomite uzupełnienie sieci wrażliwych na czas (TSN) w filarze automatyki Przemysłu 4.0. Jedną z sił napędowych Przemysłu 4.0 jest przemysłowy Internet rzeczy (IIoT), na który składa się wiele czujników, aktuatorów i kontrolerów. Technologia zasilania przez Ethernet (PoE) została opracowana w celu sprostania wyzwaniom związanym z zasilaniem urządzeń przemysłowego Internetu rzeczy (IIoT) w całej fabryce lub innym obiekcie.

Technologia zasilania przez Ethernet (PoE) obsługuje jednoczesną szybką transmisję danych (w tym sieci wrażliwe na czas (TSN)) i zasilania za pośrednictwem jednego kabla sieciowego. Na przykład: technologię zasilania przez Ethernet (PoE) można wykorzystać do dystrybucji zasilania 48V= kablem CAT 5/5e na odległości do 100m. Oprócz uproszczenia instalacji sieciowych, technologia zasilania przez Ethernet (PoE) upraszcza wdrażanie zasilaczy awaryjnych i redundantnych oraz może poprawić niezawodność procesów i urządzeń przemysłowych.

Technologia zasilania przez Ethernet (PoE) wykorzystuje dwa typy urządzeń: urządzenia zasilające (PSE), które dostarczają energię do sieci oraz urządzenia zasilane (PD), które tę energię pobierają i zużywają. Istnieją dwa typy technologii zasilania przez Ethernet (PoE). Podstawowe zasilanie przez Ethernet (PoE) może dostarczyć do urządzenia zasilanego maksymalnie 15,4W. Zaawansowane zasilanie przez Ethernet (PoE+) to najnowsze osiągnięcie, które pozwala dostarczyć do urządzenia zasilanego (PD) maksymalnie 30W.

Zabezpieczenia sieci

Organizacje ISA i IEC opracowały szereg norm dla systemów automatyki przemysłowej i sterowania (IACS). Seria ISA/IEC 62443 zawiera cztery sekcje. Sekcja 4 dotyczy dostawców urządzeń. Urządzenia z certyfikatem IEC 62443-4-2 przeszły niezależną ewaluację i zapewniają bezpieczeństwo na etapie projektowania oraz stosowania najlepszych praktyk w zakresie cyberbezpieczeństwa. Dwa ważne narzędzia bezpieczeństwa IACS to listy kontroli dostępu (ACL) i ochrona przed atakami typu „odmowa usługi” (DoS). W obu przypadkach inżynierowie sieciowi mają do wyboru wiele podejść.

Listy kontroli dostępu (ACL) służą do przepuszczania lub blokowania ruchu przychodzącego do interfejsów sieciowych lub je opuszczającego. Zaletą korzystania z list kontroli dostępu (ACL) jest to, że działają one z prędkością sieci i nie wpływają na przepustowość danych, co jest ważnym czynnikiem we wdrożeniach sieci wrażliwych na czas (TSN). System operacyjny HiOS firmy Hirschmann dzieli listy kontroli dostępu (ACL) na trzy kategorie:

Podstawowe listy kontroli dostępu (ACL) dla ruchu TCP/IP mają minimalną liczbę opcji konfiguracyjnych do ustawiania reguł uprawnień, np. „urządzenie A może komunikować się tylko z tą grupą urządzeń” lub „urządzenie A może wysyłać tylko określone typy informacji do urządzenia B”, lub „urządzenie A nie może komunikować się z urządzeniem B.” Korzystanie z podstawowych list kontroli dostępu (ACL) może uprościć i przyspieszyć prace wdrożeniowe.

Dostępne są również zaawansowane listy kontroli dostępu (ACL) dla ruchu TCP/IP, które zapewniają bardziej szczegółową kontrolę. Ruch można przepuszczać lub blokować na podstawie jego priorytetu, flag ustawionych w nagłówkach i innych kryteriów. Niektóre reguły mogą być stosowane tylko o określonych porach dnia. Ruch może być klonowany do innego portu w celu monitorowania lub analizy. Określone rodzaje ruchu mogą być wymuszone na określonym porcie bez względu na jego pierwotne miejsce docelowe.

Niektóre urządzenia IACS nie wykorzystują protokołu TCP/IP, a system HiOS pozwala również na ustawianie list kontroli dostępu (ACL) na poziomie ramki Ethernet w oparciu o adresowanie kontroli dostępu do mediów (MAC). Wspomniane listy kontroli dostępu (ACL) na poziomie kontroli dostępu do mediów (MAC) mogą umożliwiać filtrowanie na podstawie szeregu kryteriów, takich jak typ ruchu, pora dnia, źródłowy lub docelowy adres MAC itp. (ilustracja 4).

Ilustracja 4: listy kontroli dostępu (ACL) na poziomie kontroli dostępu do mediów (MAC) mogą być używane na urządzeniach, które nie korzystają z protokołu TCP/IP. (Źródło ilustracji: Belden)

Podczas gdy listy kontroli dostępu (ACL) wymagają skonfigurowania, funkcje zapobiegania atakom typu „odmowa usługi” (DoS) są często wbudowane w urządzenia i wdrażane automatycznie. Udaremniają one ataki za pośrednictwem protokołu TCP/IP, starszego TCP/UDP oraz internetowego protokołu komunikatów kontrolnych (ICMP). W przypadku protokołów TCP/IP i TCP/UDP, ataki typu „odmowa usługi” (DoS) przybierają różne formy związane ze stosem protokołu, tj. wysyłanie do urządzenia pakietów, które nie są zgodne ze standardem. Pakiet danych może również zostać wysłany do atakowanego urządzenia przy użyciu adresu IP urządzenia, co może spowodować niekończącą się pętlę odpowiedzi. Przełączniki Ethernet mogą chronić się same i mogą chronić starsze urządzenia w sieci poprzez automatyczne filtrowanie złośliwych pakietów danych.

Inny powszechny atak typu „odmowa usługi” (DoS) jest wykonywany za pośrednictwem polecenia ping ICMP. Polecenia ping mają na celu identyfikację dostępności urządzeń i czasów odpowiedzi w sieci, ale mogą być również wykorzystywane do ataków DoS. Na przykład osoba atakująca może wysłać pakiet ping z ładunkiem wystarczająco dużym, aby spowodować przepełnienie bufora w urządzeniu odbiorczym, powodując awarię stosu protokołu. Współczesne przełączniki zarządzane Ethernet mogą automatycznie chronić się przed atakami typu „odmowa usługi” (DoS) bazującymi na poleceniach ICMP.

Przełączniki zarządzane

Przełączniki zarządzane Ethernet BOBCAT firmy Hirschmann obsługują sieć wrażliwą na czas (TSN) i oferują zwiększoną szerokość pasma dzięki regulacji prędkości pracy miniaturowych gniazd wtykowych (SFP) w przedziale od 1 do 2,5Gb/s bez konieczności zmiany przełącznika. Charakteryzują się one wysoką gęstością portów - maksymalnie 24 porty w jednym urządzeniu z dostępnymi opcjami w postaci miniaturowych gniazd wtykowych (SFP) lub miedzianych portów nadawczych (ilustracja 5). Pozostałe funkcje:

• Certyfikat CSA/IEC 62443-4-2 ISASecure, wraz z listami kontroli dostępu (ACL) i automatycznym zapobieganiem atakom typu „odmowa usługi” (DoS)
• Obsługa do 240W na 8 portach zasilania przez Ethernet (PoE/PoE+) bez rozkładu obciążeń
• Standardowy zakres temperatur roboczych otoczenia od 0°C do +60°C, a w modelach o rozszerzonym zakresie temperatur - od -40°C do +70°C
• Modele posiadające aprobatę wg normy ISA12.12.01 do użytku w strefach niebezpiecznych

Ilustracja 5: przełączniki zarządzane Ethernet BOBCAT są dostępne w wielu konfiguracjach. (Źródło ilustracji: Hirschmann)

Przykłady przełączników BOBCAT firmy Hirschmann:

• BRS20-4TX z czterema portami TX/RJ45 10/100 BASE przystosowany do pracy w temperaturach otoczenia od 0°C do +60°C
• BRS20-4TX/2FX z czterema portami TX/RJ45 10/100 BASE i dwoma portami światłowodowymi 100Mbit/s, przystosowany do pracy w temperaturach otoczenia od 0°C do +60°C
• BRS20-4TX/2SFP-EEC-HL z czterema portami TX/RJ45 10/100 BASE i dwoma portami światłowodowymi 100Mbit/s, przystosowany do pracy w temperaturach otoczenia od -40°C do +70°C oraz z aprobatą wg normy ISA12.12.01 do użytku w strefach niebezpiecznych
• BRS20-4TX/2SFP-HL z czterema portami TX/RJ45 10/100 BASE i dwoma portami światłowodowymi 100Mbit/s, przystosowany do pracy w temperaturach otoczenia od 0°C do +60°C oraz z aprobatą wg normy ISA12.12.01 do użytku w strefach niebezpiecznych
• BRS30-12TX z ośmioma portami TX/RJ45 10/100 BASE i czterema portami światłowodowymi 100Mbit/s, przystosowany do pracy w temperaturach otoczenia od 0°C do +60°C
• BRS30-16TX/4SFP z szesnastoma portami TX/RJ45 10/100 BASE i czterema portami światłowodowymi 100Mbit/s, przystosowany do pracy w temperaturach otoczenia od 0°C do +60°C

Podsumowanie

Dostępne są przełączniki zarządzane Ethernet, obsługujące sieci wrażliwe na czas (TSN) oraz technologie zasilania przez Ethernet (PoE i PoE+), zapewniające wysoki poziom cyberbezpieczeństwa oraz szerokopasmową łączność niezbędną dla przemysłowego Internetu rzeczy (IIoT) i struktury sieci filarowej Przemysłu 4.0. Omawiane przełączniki są łatwe w konfiguracji, charakteryzują się wysoką gęstością portów, mają rozszerzone zakresy temperatur roboczych i są dostępne w wersjach z aprobatą wg normy ISA12.12.01 do użytku w strefach niebezpiecznych.

Źródło: Wdrażanie bezpiecznych sieci wrażliwych na czas dla przemysłowego Internetu rzeczy (IIoT) przy użyciu przełączników zarządzanych Ethernet

Kontakt w Polsce: poland.support@digikey.pl

Autor: Rolf Horn

Rolf Horn, Applications Engineer at DigiKey, has been in the European Technical Support group since 2014 with primary responsibility for answering any Development and Engineering related questions from final customers in EMEA, as well as writing and proof-reading German articles and blogs on DK’s TechForum and maker.io platforms. Prior to DigiKey, he worked at several manufacturers in the semiconductor area with focus on embedded FPGA, Microcontroller and Processor systems for Industrial and Automotive Applications. Rolf holds a degree in electrical and electronics engineering from the university of applied sciences in Munich, Bavaria and started his professional career at a local Electronics Products Distributor as System-Solutions Architect to share his steadily growing knowledge and expertise as Trusted Advisor.

Hobbies: spending time with family + friends, travelling in our VW-California transporter and motorbiking on a 1988 BMW GS 100.