48 /128
/120
AMNYTT #5
2015
direkte. Serviceteknikerne benytter en VPN-programvareklient som de etablerer en forbindelse
til SCADA-nettverket med. I den sammenheng
sørger VPN-funksjonen for at kun autoriserte
personer med tilhørende tilgangsdata kan opprette kommunikasjonen. Når VPN-forbindelsen
er etablert, fungerer den i tillegg som en direkte
forbindelse til det lokale nettverket. Kontrollerens
programmeringsprogram gjenkjenner securityenhetene, og kan helt enkelt koble dem til.
Bilde 3: FL MGuard RS2000, som kan
monteres på DIN-skinner, kjøres med en
24 V DC strømforsyning og er derfor bedre
egnet for industrielle formål enn VPN, som
er utviklet for kontorområder.
med integrerte brannmur-, routing- og VPNfunksjoner (Virtual Private Network) for industrielle nettverk. Utstyret forener IT-kravene med en
robust maskinvare i metallhus for røffe industrielle omgivelser (bilde 3).
”Utstyrsvarianten FL MGuard RS2000, som vi
benytter, kan monteres på monteringsskinnen og
driftes med en 24 V DC strømforsyning. Den er
derfor bedre egnet for industrielle anvendelser enn
komponentene som ble installert tidligere”, forteller Matt Maloney. Fordi enheten agerer som sikker
Gateway som beskytter systemet mot uautorisert
tilgang, kan SCADA-nettverket tilkobles Internett
Fullstendig maskering av samtlige
prosesser
”Opprinnelig hadde vi håpet å kunne initiere og
skille VPN-forbindelsen via et signal på inngangen til FL MGuard RS2000”, sier Matt Maloney.
Men denne funksjonen kan kun benyttes dersom security-enheten er konfigurert som klient,
og ikke som server, som vi hadde forestilt oss.
I den forbindelse har stealth-modusen til FL
MGuard vist seg å være nyttig.” Når enhetene
kjøres i stealth-modus, som standard innstilt på
fabrikken, trenger ikke klientene som er tilkoblet
det interne grensesnittet til respektive Security
Appliance – altså det lokale SCADA-nettverket –
å konfigureres på nytt. Brukeren installerer dermed FL MGuard helt enkelt mellom klientene
som skal beskyttes, og nettverket med Internettforbindelse. Hvis den da kjører i stealth-modus,
er enheten fullstendig transparent. Klientenes IPadresser endrer seg ikke. Med VPN-funksjonen
er all data solid kryptert, og samtlige prosesser,
som potensielt kunne blitt snappet opp av angripere utenfra via TCP- og UDP-grensesnittene,
er maskert. Selv ikke portskannere kan oppdage
prosessene. SCADA-nettverket kan dermed ikke
infiltreres av uønsket og ikke autentifisert/autorisert datatrafikk.
Når FL MGuard er i stealth-modus kan vannbehandlingsanleggets hovednettverk, som har en