AMNYTT Nr. 6 – 2014 | Page 44

44 /125 AMNYTT #6 2014 Løsningen genererer automatisk brannmur uavhengig av konfigureringen for OPC pakker. Hvis ingen OPC-pakker overføres via disse adressene innenfor en konfigurerbar timeout kan portene stenges igjen. Det kan også benyttes detaljerte brannmurregler for å angi hvilke klienter som kan kommunisere med hvilke servere via OPC. Kombinasjonen av de ulike mekanismene og sporbarheten det medfører gir et maksimalt sikkerhetsnivå! mGuard OPC Inspector ­brannmuregenskaper 1.  Administrerer alle OPC-koblinger og porter som blir brukt 2.  OPC Inspector genererer dynamiske brannmurregler tilsvarende portene og trafikkretning generert av OPC-kommunikasjon 3.  Identifiserer og blokkerer trafikk som ikke er OPC-relatert og forhåndsgodkjent 4.  Denne funksjonen kommer i form av en egen lisens som kan installeres på mGuard-plattformen Dybdeforsvar Angripere bruker ulike virkemidler for å få tilgang til produksjonsanlegg. Stuxnet har for eksempel vist angrep fra innsiden muliggjort ved hjelp av infiserte USB-minnepinner. Dette kan motvirkes gjennom implementering av ”dyptgående” sikkerhetskonsept, basert på ISA99. Et slikt konsept er avhengig av segmentering av nettverkssystemer, sammen med desentralisert beskyttelse av de individuelle segmentene. Ved en komplett implementering vil man kunne oppnå lukket og autentisert kommunikasjon mellom kritiske enheter også internt i nettverket. Med mGuard OPC Inspector kan et slikt dybdeforsvar nå implementeres i nettverk med OPC Classic-trafikk. Segmentering gjennom NAT For en individuell segmentering av nettverk med OPC-trafikk i avgrensede subnett får man ved bruk av mGuard OPC Inspector muligheten til å