Bezpieczny system SCADA od ICONICS

Wiktor Susfał Łączność i Zarządzanie, Wdrożenia i Publikacje Tagi: , , ,
Bezpieczny system SCADA - zdjęcie główne

Dowiedz się, jakie mechanizmy ochrony przed nieautoryzowanym dostępem posiada bezpieczny system SCADA od firmy ICONICS.

Jeśli nie otwierają Ci się pełne rozmiary obrazków, klikaj w nie PPM i wybieraj „Otwórz w nowej karcie”.

Oprogramowanie SCADA od ICONICS – GENESIS64 – posiada wiele typów zabezpieczeń przechowywanych informacji. Z tego powodu, ten artykuł jest jedynie dopełnieniem innych treści zamieszczanych na tym blogu, traktujących o podobnych zagadnieniach. W dalszej części wpisu zaprezentowano wybrane aspekty zabezpieczeń systemu GENESIS64.

Security Server – serwer zabezpieczeń

Opis narzędzia

Serwer zabezpieczeń ICONICS zapewnia ograniczony dostęp do funkcji systemu. Bazuje on na koncepcji logowania się użytkowników. Administrator systemu bezpieczeństwa konfiguruje go dodając użytkowników i przypisując im określone uprawnienia. Ponadto administratorzy mogą łączyć użytkowników z określonymi grupami, którym również przypisano pewne przywileje. W ten sposób użytkownik wchodzi w posiadanie praw przypisanych wszystkim grupom, do których należy, wraz z własnymi prawami prywatnymi.

Serwer bezpieczeństwa ICONICS obejmuje możliwość kontrolowania dostępu i uprawnień użytkowników indywidualnych lub całych grup do systemu. Kontroli może podlegać szereg aspektów, na przykład: siła hasła użytkowników, okres jego przymusowych zmian, czy przymusowe wylogowania z systemu powodowane brakiem aktywności użytkowników. Dodatkowo, dostęp użytkownika może być ograniczony w zależności od pory dnia lub rodzaju kontrolowanych zasobów.

Security Server omówiono już na tym blogu przy okazji rozważań nad spełnianiem wymogów FDA21CFR11 przez oprogramowanie od ICONICS.

Dodatkowo, informacje o jego obsłudze można czerpać z innego artykułu od ELMARK, zamieszczonego niżej.

Szyfrowanie danych

Serwer bezpieczeństwa od ICONICS wykorzystuje szyfrowanie algorytmami RSA i RC2. RSA służy do szyfrowania klucza sesji i obsługuje on szyfrowanie 512 lub 1024-bitowe, a RC2 wykorzystuje się do szyfrowania danych uwierzytelniających – 40 lub 128-bitowego. System opiera się natomiast na podstawowym oraz zaawansowanym narzędziu kryptograficznym firmy Microsoft. W zależności od liczby bitów szyfrujących stosuje się szyfrowanie podstawowe lub rozszerzone.

Współpraca z Active Directory

Serwer bezpieczeństwa może pobrać listę zweryfikowanych użytkowników z określonej domeny lub grupy, w obrębie tej domeny. Zatwierdzone konto użytkownika otrzymuje pozwolenie od serwera bezpieczeństwa ICONICS na dostęp do różnych funkcji w ramach oprogramowania SCADA. Jeśli konto użytkownika zostanie usunięte z domeny w Active Directory, zmiana ta zostanie automatycznie odzwierciedlona w serwerze bezpieczeństwa ICONICS, co zapobiegnie nieautoryzowanemu dostępowi.

Serwer bezpieczeństwa można również skonfigurować tak, aby automatycznie logował się lub wylogowywał, gdy użytkownik systemu Windows wykona identyczną akcję w systemie. Wtedy okno logowania sprawdzi zalogowanego użytkownika systemu Windows pod kątem istnienia odpowiadającego mu użytkownika oprogramowania ICONICS. Jeśli znajdzie się pasujący użytkownik, jest on automatycznie zalogowany do systemu bezpieczeństwa ICONICS.

Synchronizacja GENESIS64 i Active Directory

Przechowywanie haseł w bazie SQL

Gdy Security Server w GENESIS64 współpracuje z natywną bazy danych SQL (zamiast z Active Directory), hasła „haszuje się” – zmienia, przy użyciu funkcji PBKDF2. Skrót (ang. hash) ma długość 48 bajtów, a do jego wygenerowania używa się dodatkowo 12 bajtów losowych znaków – za każdym razem innych. Przy każdym uruchomieniu GENESIS64 następuje generacja skrótów z użyciem 10 tysięcy iteracji. Zapewnia to, że hasła przechowywane w bazie danych za każdym razem przyjmują inną formę, czytelną jedynie dla systemu GENESIS64, a przez to odporną na ataki hakerów.

Gdy GENESIS64 Security Server współpracuje z Active Directory, w bazie SQL nie ma żadnych haseł użytkowników. Jedynie hasło do połączenia serwera bezpieczeństwa z Active Directory się tam znajduje. Jednak jest ono zatajone.

Przechowywania tego hasła w bazie danych można również uniknąć poprzez pozostawienie pustych pól przygotowanych dla loginu i hasła do połączenia z AD. W tym przypadku serwer bezpieczeństwa wykorzysta uwierzytelnianie zintegrowane z systemem Windows w celu połączenia z AD. Aby uwierzytelnienie zintegrowane z systemem Windows zadziałało, serwer FrameWorX musi działać pod kontem domeny.

Bezpieczny system SCADA - synchronizacja z Active Directory
Okno konfiguracji połączenia Security Server z Active Directory

Bezpieczna komunikacja w obrębie systemu

Komunikacja przez sieć zawsze stanowi potencjalne zagrożenie dla bezpieczeństwa danych. Poniżej przedstawiamy niektóre z metod, które ICONICS stosuje w celu zapewnienia bezpiecznej transmisji informacji podczas komunikacji pomiędzy dwoma (lub więcej) maszynami.

Bezpieczny standard OPC UA

Bezpieczeństwo OPC UA opiera się na uwierzytelnianiu klientów i serwerów oraz użytkowników, integralności i poufności ich komunikacji oraz weryfikowalności dostępu do poszczególnych funkcjonalności. Powyższe cele osiąga się w procesie wykrywania i tworzenia połączeń w trakcie sesji oraz szyfrowania w warstwie transportu danych.

Nawiązywanie połączenia

Bezpieczny system SCADA od ICONICS wykorzystuje popularne metody uwierzytelniania aplikacji, takie jak certyfikaty X.509. Po ustanowieniu sesji, aplikacje klienckie i serwerowe negocjują bezpieczny kanał komunikacji oraz wymieniają certyfikaty oprogramowania, które identyfikują klienta lub serwer. Na podstawie tychże certyfikatów system określna również funkcje, które aplikacje udostępniają sobie w ramach połączenia.

Bezpieczny transport danych

Mechanizmy bezpieczeństwa warstwy transportu danych wykorzystuje się do szyfrowania i podpisywania wiadomości. Szyfrowanie i podpisy chronią przed wyciekiem informacji oraz zapewniają integralność wiadomości. Możliwości szyfrowania są zapewnione przez podstawowe technologie komunikacyjne wykorzystywane do wymiany wiadomości pomiędzy aplikacjami OPC UA.

Natywna warstwa transportowa ICONICS – FrameWorX

FrameWorX jest usługą platformy bezpiecznej komunikacji ICONICS, która zapewnia transport danych pomiędzy serwerami, klientami i aplikacjami sieciowymi. Pozwala na komunikację pomiędzy maszynami znajdującymi się w różnych podsieciach, domenach, a nawet w Internecie. FrameWorX wykorzystuje Windows Communication Foundation (WCF) do generowania bezpiecznych połączeń z użyciem m.in. uwierzytelniania certyfikatów.

FrameWorX jest w pełni kompatybilny z zaporami sieciowymi i strefami DMZ. Istnieje możliwość jego konfiguracji w taki sposób, aby był zgodny z polityką bezpieczeństwa administracji IT.

FrameWorX obsługuje bezpieczną komunikację dla następujących standardów :

  • OPC UA,
  • Dostęp do baz danych,
  • Obsługa usług internetowych.

Windows Communication Foundation (WCF)

Windows Communication Foundation (WFC) może korzystać z różnych protokołów transportowych, w tym:

  • NET.TCP,
  • HTTP,
  • HTTPS (Hypertext Transfer Protocol Secure),
  • WS-HTTP (WS-Secure Conversation).

FrameWorX Server udostępnia swoje API na kilku punktach końcowych. Każdy punkt końcowy jest związany protokołem transportowym. Punkty końcowe są definiowane w pliku konfiguracyjnym WCF w standardowy sposób. Domyślnie serwer FrameWorX umożliwia komunikację na wszystkich protokołach – zarówno zabezpieczonych, jak i niezabezpieczonych. Zaleca się wyłączenie niezabezpieczonych punktów końcowych w systemach, dla których bezpieczeństwo ma kluczowe znaczenie.

Dla systemów bezpiecznych zaleca się stosowanie protokołu WS-HTTP z certyfikatami, o ile są one dostępne. Dla klientów Silverlight i MobileHMI, którzy nie obsługują protokołu WS-HTTP, zaleca się stosowanie protokołu HTTPS.

Autoryzowani klienci

Istnieje możliwość ograniczenia, którzy klienci mogą łączyć się z FrameWorX Server. Dzieje się to poprzez wyraźne zdefiniowanie ich adresów IP i nazw komputerów w oknie dialogowym Platform Services Configuration. Tylko klienci, których adresy IP odpowiadają podanemu zakresowi (zakresom) i których nazwy komputerów odpowiadają podanej nazwie (nazwom) będą mogli się połączyć. Należy pamiętać, że zakres adresów używa standardów IPv4 i IPv6. Dozwolone nazwy komputerów mogą używać zapisu znaków wieloznacznych (ang. wildcards). Domyślnie wszystkie adresy IP i nazwy komputerów są dozwolone.

Podsumowanie

Bezpieczny system SCADA od ICONICS jest projektowany od podstaw w celu zapewnienia optymalnego bezpieczeństwa. Wykorzystuje on standardy branżowe oraz najlepsze rozwiązania związane z bezpieczeństwem. W miarę ewolucji potrzeb branży automatyki w zakresie bezpieczeństwa, ICONICS nadal doskonali swoje produkty, aby sprostać przyszłym wymaganiom klientów.

Dzięki wykorzystywaniu popularnych metod zabezpieczania transmisji danych, jak na przykład certyfikaty X.509, produkty od ICONICS łatwo integrują się z już działającymi systemami. Pozwala to zaoszczędzić czas i koszty związane zarówno ze szkoleniem pracowników, jak i wdrażaniem nowych aplikacji.

Elmark Automatyka udostępnia wersję demo oprogramowania GENESIS64, w celu osobistego przetestowania funkcjonalności pakietu. Skontaktuj się z nami na ICONICS@elmark.com.pl w celu otrzymania wersji testowej lub oferty handlowej. Sprawdź samodzielnie jakie funkcje oferuje bezpieczny system SCADA od ICONICS.