Aktuální vydání

celé číslo

06

2022

Vodohospodářství, energetika a využití obnovitelných zdrojů energie

IIoT, vestavné a průmyslové počítače a edge computing

celé číslo

Průmyslový Ethernet VI: Informační bezpečnost

František Zezulka, Ondřej Hynčica
 
V šesté části seriálu o průmyslovém Ethernetu je věnována pozornost otázkám zabezpečení komunikace (secure communication). V českém odborném jazyce se pojem bezpečnost používá ve dvou významech. Jedním je bezpečnost osob a životního prostředí a bezpečný systém je takový, který tyto jevy nenarušuje, naopak vytváří vyšší stupeň této bezpečnosti. Současně lze však tentýž pojem použít v souvislosti s opatřeními realizovanými s cílem zabránit úmyslnému nebo i neúmyslnému ohrožení života a zdraví osob, úmyslně způsobeným škodám na majetku, úmyslnému narušování funkce či ničení technických zařízení, strojů, budov, technologických a dalších procesů. K neúmyslnému ohrožení může dojít i např. v důsledku chyby v programu počítače nebo v konfiguraci systému.
Zatímco předcházející část seriálu [7] byla věnována problematice bezpečné komunikace po Ethernetu ve smyslu normy IEC 61508, tj. hlediskům funkční bezpečnosti, tato část pojednává o možných způsobech a formách útoků na průmyslový komunikační kanál jako takový (na průmyslový Ethernet speciálně) a o tom, jak jim čelit, tj. o aspektech jeho informační bezpečnosti.
 

1. Úvod

V době stále častějšího výskytu kriminálních a teroristických aktivit je problematice zabezpečení informačních, komunikačních a automatizačních systémů věnována mimořádná pozornost. Automatizační systémy stály až do nedávné doby opodál této aktuální problematiky, neboť jejich řešení bylo z principu důsledně soukromé a nebralo v úvahu komunikační sítě otevřené do prostoru mimo hranice podniku. Mnohdy bylo dokonce koncipováno ještě úžeji – zůstávalo uzavřeno v rámci působnosti distribuovaného řídicího systému (DCS) a jakýkoliv vstup z předvýrobních etap či vyšších úrovní podniku z principu nebyl možný. Oproti tomu zabezpečení počítačových sítí v bankovním a dalších komerčních
sektorech se stalo již před dlouhou dobou velmi sledovanou oblastí a úkolem s velkou prioritou. Uvedený problém byl analyzován, byť nesystematicky, a bylo vytvořeno a zavedeno do praxe mnoho více či méně úspěšných řešení zajišťujících ochranu informačních sítí před útoky zvenčí. Vzhledem k citlivosti problému a snaze každé instituce vlastnit unikátní, uzavřený systém ochranných opatření nebyla tato oblast dosud standardizována žádnou národní ani mezinárodní standardizační organizací.
 
S rozhodným průnikem Ethernetu do oblasti průmyslové komunikace došlo ovšem při projektování, zavádění a provozování průmyslových řídicích, informačních a komunikačních systémů k razantní aktualizaci problematiky informační bezpečnosti. Podniková síť otevřená internetu umožňuje dosahovat větší dynamiky v přípravě, sledování i řízení výroby a také větší transparentnosti jednotlivých hierarchických úrovní celopodnikové komunikace od provozních přístrojů až po nejvyšší úroveň reprezentovanou systémy typu ERP, včetně napojení na internet. Otevřenost k internetu je užitečná i jinak již nyní a zejména pro budoucnost, neboť např. dovoluje využít nemalé investice vložené do informatiky (IT) ve veřejném a komerčním sektoru ve prospěch poměrně malého, a tím i drahého trhu s automatizačními prostředky.
 
Standardizací Ethernetu z hlediska informační bezpečnosti se v současné době v IEC (http://www.iec.ch) zabývají navzájem provázané pracovní skupiny WG 10 Security for industrial process measurement and control – Network and system security technického výboru TC 65 Industrial-process measurement, control and automation a WG 13 Cyber Security podvýboru SC 65C Industrial networks. Obecný trend je ten, že i průmyslové komunikační sítě bez dalšího vývoje vlastních mechanismů pro zvýšení informační bezpečnosti průmyslových sítí budou vycházet z existujících zabezpečovacích mechanismů otevřených počítačových sítí používaných v komerčním sektoru a budou používat jejich nejúspěšnější realizace.
 
V dalším textu příspěvku jsou stručně probrány odborné pojmy se vztahem k problematice a základní vztahy mezi nimi. Z důvodu omezeného rozsahu příspěvku a pro složitost problematiky informační bezpečnosti průmyslových komunikačních sítí nebylo možné vyložit vše do patřičné hloubky. Jako výchozí publikaci k dalšímu hlubšímu studiu dané problematiky lze doporučit příručku [2] (přičemž pojmy používané v zahraniční literatuře jako security, cybersecurity, network security, secure communication apod. jsou v tomto článku zastoupeny českými výrazy zabezpečení, popř. informační bezpečnost, a výrazy z nich odvozenými – pozn. red.).
 

2. Kritéria zabezpečené komunikace (security criteria)

Při posuzování úrovně informační bezpečnosti komunikačního kanálu se přihlíží k tomu, do jaké míry jsou splněna zejména tato kritéria:
  • neporušenost dat (data integrity): cílem je zajistit, aby přenášená data nebyla během přenosu změněna, byla úplná a došla do cílové stanice ve stejném pořadí, v jakém byla odeslána (např. data přenášená při použití FTP nemohou být během přenosu ovlivněna třetí entitou),
  • věrohodnost dat (data non-repudiability): v praxi toto kritérium znamená, že data v souborech typu log file musí být explicitní a odolná proti padělání; toto je důležité zejména v případě servisu na dálku (remote maintenance), kdy výrobci mají přístup ke svým výrobkům již zabudovaným v technologickém zařízení, např. pro potřeby změny jejich vnitřního programu (v takovém případě může být výrobce hnán k odpovědnosti při zásahu do řídicího systému, jehož důsledkem by byla škoda na straně uživatele) a kdy kritérium garantuje úplné dokumentování provedených zásahů,
  • utajení dat (data confidentality), které vyžaduje, aby zasílaná data nemohla při přenosu získat třetí entita: dosáhnout toho lze např. použitím vhodného způsobu šifrování až do stupně, který je únosný pro přenos; použití velmi odolných způsobů šifrování může být ovšem v rozporu s dalšími požadavky na přenos, např. s požadavkem na činnost systému v reálném čase, neboť neúměrně zvětšuje pracovní zatížení procesorů,
  • dostupnost dat (data availability) jako kritérium, které sleduje, zda komunikující entity mohou vysílat a zpracovávat data v libovolném okamžiku daného časového rámce; z hlediska informační bezpečnosti automatizačních systémů představuje dostupnost jen obtížně zvládnutelný požadavek (obecně v důsledku limitovaného výpočetního výkonu vestavných systémů může být při přetížení sítě přístup k datům omezen),
  • prokázání totožnost (autentication): při proceduře prokazování totožnosti je po identifikaci komunikující stanice kontrolováno, zda je stanice oprávněná k tomu, aby jí příslušná služba byla poskytnuta; v praxi se do této kategorie řadí např. kombinace uživatel/heslo (např. pro přenos při použití FTP) nebo digitální podpis (při použití elektronické pošty),
  • ochrana třetí strany (third party protection) jako kritérium charakterizující schopnost bránit šíření chyb z napadeného systému na další systémy s ním propojené.
Na základě uvedených kritérií zabezpečené komunikace je možné určit hlavní vlivy, proti jejichž účinkům musí být síť zabezpečena. V oboru automatizace je kladen důraz především na zabezpečení proti:
  • neautorizovanému přístupu k informacím (ztráta utajení dat),
  • neautorizované modifikaci informace (ztráta neporušenosti dat),
  • neautorizovanému narušení funkceschopnosti (ztráta dostupnosti dat).

3. Nedostatky v zabezpečení komunikace

 

3.1 Chyby protokolů skupiny IP

Fungování internetu, celosvětové rozšíření této sítě a dennodenní přenosy obrovských množství dat svědčí o tom, že protokoly skupiny IP jsou velmi výkonné, flexibilní a stabilní. Přesto však v tomto systému existují určitá slabá místa umožňující narušit informační bezpečnost komunikačního kanálu.
 
Jednou ze slabin je maskovací a směrovací mechanismus sítě Etherent, který lze v zásadě obejít dvěma způsoby.
 
Prvním možným způsobem je předstírat zdrojovou adresu určitého paketu IP (IP spoofing). Paket s falešnou adresou se objeví na síťové kartě směrovače připojené k internetu a je poslán k vnitřní síťové kartě v intranetu. Tak lze spustit síťový provoz v rámci intranetu, přičemž útočník se jeví ze strany intranetu jako vnitřní oprávněný uživatel. Provozovat tento mechanismus lze díky vlastnosti IP s názvem Source routing of the IP protocol (obr. 1), obsažené v protokolu proto, aby bylo možné určit úplnou cestu paketu k cíli udanému v záhlaví. Použitím falešného směrování lze poslat tento běžně nesměrovaný paket k cíli bez kontroly, zda adresa zdrojeje nebo není správná. Je třebapoznamenat, že někteří velcí poskytovatelé internetových služeb stále ještě neučinili žádné kroky proti používání IP spoofingu, což je problém volající po neodkladném řešení. Rozpoznat falešný paket přicházející z internetu je velmiobtížné.
 
Druhý způsob spočívá ve vytvoření tzv. síťového násobiče (amplifier network),což funguje tak, že se do sítě vyšle jako všeobecná zpráva paket formátu ICMP (Internet Control Message Protocol) s falešnou zdrojovou adresou, kterou špatně nakonfigurovaný směrovač (router) rozešle všem stanicím. Ty následně začnou na falešnouzdrojovou adresu zasílat své odpovědi. Cílový server se jejich zprávami zahltí a není schopen zajistit standardní provoz. Jde o efekt nazývaný odmítnutí služby (Denial of Service – DoS). Lze ukázat, že modem s přenosovou rychlostí 14,4 kBd je tímto způsobemschopen zahltit spoj s přenosovou rychlostí 1,544 Mb/s!
 
Odmítnutí služby lze dosáhnou i jinak, např. zahlcením webového nebo FTP serveru. K dosažení většího efektu útoku typu DoS je možné infikovat řídicí stanice připojené k internetu virem typu tzv. trojského koně, což umožní realizovat souběžný útok z několika severů (distribuovaný útok typu DoS – obr. 3). Toto je obzvláště nebezpečné pro vestavné systémy s jejich poměrně malou kapacitou paměti a výpočetním výkonem.
 

3.2 Chyby při implementaci

Scénář útoku na komunikační kanál není jen věcí samotného protokolu, resp. jeho odolnosti proti útoku. Mnoho chyb vzniká při programování. Velmi obvyklá chyba je přetečení vyrovnávací paměti (buffer) vznikající v důsledku toho, že rutiny pro kopírování řetězců dat nekontrolují délku řetězce a při kopírování může dojít k přepsání části programu. Další problémy mohou být přičteny na vrub nesprávného použití zásobníku (stack).
 

4. Strategie a taktika obrany

 

4.1 Metodika IAONA

Na základě rozboru možných způsobů útoku vedených s cílem narušit komunikaci vytvořila organizace IAONA metodiku [1], [2] specifikující krok po kroku operace umožňující dosáhnout zabezpečené komunikace prostřednictvím průmyslového Ethernetu. V této kapitole jsou uvedeny základní principy této metodiky. Další detaily nabízí [2].
 

4.2 Krok A: klasifikace požadavků na zabezpečení sítí

Aby bylo možné odpovědně stanovit potřebný stupeň zabezpečení přenosového kanálu, je především třeba určit, jak daný útok, resp. chyba v zabezpečení komunikace, prostřednictvím průmyslového Ethernetu může ovlivnit chování systému ve všech jeho důležitých rysech. Podle [2] je možné klasifikovat možná rizika a dopady a za vést odpovídající zabezpečení podle tab. 1. Předmětem zájmu a následné analýzy by měly být:
  • dopad na výrobu: určuje dopad chyby v komunikaci na technologická zařízení, stroje a linky a na jejich funkceschopnost,
  • ohrožení bezpečné funkce zařízení (safety): specifikuje, jak chyba vzniklá v systému v důsledku útoku na data může ovlivnit bezpečnost osob či ohrozit životní prostředí,
  • dopad na důvěrnost informací (přístup k osobním datům): specifikuje, jak chyba v zabezpečení ovlivní možnost přístupu k osobním datům,
  • dopad na pověst organizace (publicity): specifikuje, zda a jak chyba může poškodit dobré jméno společnosti,
  • finanční ztráta: popisuje, jak velkou finanční ztrátu může chyba zapříčinit,
  • znehodnocení patentových a dalších práv: specifikuje, jak chyba systému způsobená útokem může vést k porušení patentových práv anebo důvěrnosti dat v oblasti průmyslového a duševního vlastnictví.
Dále je třeba stanovit, do které ze čtyř kategorií (úrovní) informační bezpečnosti (security level) konkrétní síť spadá. Jsou to úrovně: žádný dopad, malý až střední dopad, velký dopad a velmi velký dopad. Když např. chyba v komunikačním kanálu má malý dopad na výrobu, nezpůsobí ohrožení osob či životního prostředí a povede ke středním až velkým finančním ztrátám, aniž by přitom nepříznivě ovlivňovala oblast patentových a dalších práv, je nezbytné kanál zabezpečit na úrovni střední až velké.
 

4.3 Krok B: komunikační vztahy ve výrobním podniku

Aby bylo možné síť řádně zabezpečit, je v dalším kroku třeba zmapovat komunikační vztahy uvnitř i vně podniku, tj. určit, kdo s kým komunikuje v rámci intranetů a s kým entity z intranetů komunikují s použitím internetu, a následně určit, která z těchto spojení musí být zabezpečena. Jako jednoduchý model lze použít situaci podle obr. 4, kdy dva provozy (provoz 1 a provoz 2) jednoho podniku komunikují mezi sebou přes internet.
 
Jako v každé organizaci se i v té modelové na obr. 4 komunikuje mezi výrobou a kancelářemi v rámci intranetů a mezi provozy navzájem a mezi jednotlivými provozy a okolím přes internet. Intranet je reprezentován místní sítí (LAN), poskytující nejobvyklejší služby, jak jsou známy z internetu – DNS, e-mail (SMTP, IMAP, POP3) anebo webové servery (HTTP, HTTPS) – založené na protokolech skupiny IP.
 
V rámci intranetů existují dvě logické podsítě, a to podsíť „výroba“ a podsíť „kanceláře“. Podsíť „kanceláře“ je relativně homogenní. Skládá se především z počítačů typu PC se standardním ethernetovým rozhraním a je určena k řízení podniku. Nejobvyklejšími uživatelskými programy v této síti jsou programy řešící úlohy na úrovni ERP. Tomu odpovídající protokoly aplikační vrstvy jsou TCP/IP, HTTP, FTP atd.
 
Podsíť „výroba“ navzájem propojuje odlišné komunikující entity, kterými jsou informační, řídicí, diagnostické a kontrolní přístroje a zařízení zajišťující spolehlivý chod vlastního technologického procesu (výroby). Data přenášená v rámci podsítě „výroba“ jsou generována na různých úrovních řízení výroby, bráno shora od systému operativního řízení výroby typu MES, přes úroveň operátorského řízení výroby a dále úrovně bezprostředního řízení technologických zařízení v reálném čase až po komunikaci mezi provozními přístroji (tzv. úroveň 0) a jim bezprostředně nadřazenou řídicí úrovní (úroveň 1), rovněž probíhající v reálném čase. Součástí této podsítě jsou i servisní programy systému údržby. V podsíti „výroba“ se používají tytéž komunikační protokoly jako v podsíti „ kanceláře“ a navíc také průmyslové protokoly jako EtherNet/IP, EtherCat, Profinet, SERCOS III, Modbus TCP, PowerLink a další průmyslové sítě ethernetového typu, které umožňují dosáhnout potřebných vlastností komunikace z hlediska reálného času.
 
V daném kontextu se na internet nahlíží jako na velkou síť složenou z jednotlivých dílčích sítí a definovanou organizací Internet Engineering Task Force (IETF) v RFC 2026 jako volně organizovaná mezinárodní kooperace autonomních, propojených sítí, která podporuje komunikaci mezi hostitelskými počítači prostřednictvím dobrovolného dodržování otevřených protokolů a procedur definovaných internetovým standardem.
 
V modelové síti na obr. 4 lze vysledovat tyto typy komunikační vazeb:
  • kanceláře – internet (1): osobní počítače (PC) v kancelářích komunikují přes internet a mají přístup ke zdrojům dat mimo podnik (prostřednictvím webového serveru a protokolu HTTP nebo FTP),
  • kanceláře – výroba (2): na úrovni „kanceláře“ jde o systém typu ERP a na úrovni „výroba“ o MES, které navzájem komunikují za účelem řízení výrobního procesu; komunikace probíhá téměř v reálném čase, bloky dat jsou krátké,
  • kanceláře – vzdálená výroba (3): propojení mezi systémem typu ERP a vzdáleným MES za účelem koordinování distribuované výroby; komunikace probíhá téměř v reálném čase, objem přenášených dat je malý,
  • výroba – výroba (4): komunikace za účelem koordinování výrobního procesu mezi různými výrobními zařízeními, kdy musí mezi sebou komunikovat dva systémy typu MES; komunikuje se v čase blízkém reálnému, objem přenášených dat je větší,
  • kanceláře – kanceláře (5): komunikace na úrovni ERP, tj. sdílení dat mezi vyššími vrstvami v obou výrobních závodech, přenos dokumentů apod.; jde o časově nekritické přenosy velkých objemů dat,
  • správa na dálku – výroba (6): komunikace za účelem údržby a oprav realizovaná z notebooku opraváře do prostředí výroby přes intranet, internet nebo přímým připojením ve výrobním provozu; komunikace není časově kritická, objemy dat jsou větší,
  • domov/provoz – kanceláře (7): spojení mezi detašovaným pracovištěm či provozem a kanceláří ke komunikaci mezi programátorem pracujícím doma a kanceláří nebo údržbářem v provozu a kanceláří; je nutné sdílet větší objemy dat v časově nekritické komunikaci,
  • uvnitř jednotlivého provozu (8a): standardní komunikace při výrobě v rámci intranetu v čase blízkém reálnému s většími objemy dat,
  • bezprostřední řízení výroby v rámci jednoho provozu/zařízení (8b): propojení řídicích stanic, provozních přístrojů a operátorské úrovně; systém tvrdého reálného času, objemy dat jsou malé,
  • uvnitř kanceláří (9): časově nekritické propojení počítačů v kancelářích za účelem sdílení dokumentů, koordinace řídicího procesu, výměny dat v rámci ERP apod.; časově nekritické přenosy velkých objemů dat.
Na základě výsledků podrobného rozboru vazeb je dále třeba rozhodnout o důležitosti té které vazby a všech dílčích spojení, jejichž prostřednictvím je realizována, v daném jednotlivém případě (podniku). Konkrétně se uvažuje v kategoriích vazeb nezbytných, volitelných, postradatelných apod.
 

4.4 Krok C: obranné strategie

 

4.4.1 Nabízené možnosti

Na základě výsledků analýz provedených v krocích A a B lze zvolit obrannou strategii, která umožní dosáhnout potřebné úrovně zabezpečení sítě. Lze navrhnout a vybudovat buď masivní jednovrstvé zabezpečení (metoda hard perimeter), nebo ochranu typu defence in depth, tj. v několika úrovních. Obě metody jsou dále stručně charakterizovány. Rozhodnutí, kterou z obranných strategií použít, velmi závisí na typu sítě. Podrobnosti jsou uvedeny ve [2].
 

4.4.2 Hard perimeter

Obranná strategie typu hard perimeter staví na neproniknutelné hradbě okolo systému. Celý intranet je připojen k internetu přes jeden, popř. skupinu zabezpečovacích prvků (např. firewall). Každý přenos dat mezi intranetem a internetem musí probíhat přes tento zabezpečovací prvek (skupinu prvků) a je posuzován podle zvolených zabezpečovacích kritérií. Jako příklad lze uvést intranet propojující několik pružných výrobních buněk, který musí zajistit vzájemnou koordinaci činnosti jednotlivých buněk i dalších kooperujících vzdálených výrobních zařízení, s nimiž je nutné komunikovat po internetu. Intranet je proto chráněn prostřednictvím firewallu. Přes svou jednoduchou architekturu (obr. 5) má obranná strategie typu hard perimeter určité nevýhody, a to zejména:
  • pokud se útočníkovi podaří prolomit jediný firewall, je intranet kompletně otevřen jeho útoku,
  • vedle chráněného rozhraní s internetem musí intranet tak jako tak mít určitá další rozhraní pro komunikaci s okolím, přes která popřípadě lze do intranetu proniknout.

4.4.3 Defence-in-depth

Alternativní strategie obrany typu defence-in-depth nahrazuje jednoduchou jednovrstvou obranu (firewall) strategií hloubkové obrany v několika vrstvách. V jejím rámci je vytvořeno několik obranných zón, z nichž každá používá jinou metodu obrany a jiné obranné prostředky, popř. i od různých výrobců. Systém je sice složitější, má však tyto přednosti:
  • použití několika různých zabezpečovacích technik znamená delší dobu potřebnou k prolomení ochranného systému a obecně vyšší úroveň zabezpečení (po obejití jednoho opatření zůstávají nedotčena ještě opatření další, a to odlišná),
  • při odstupňovaném zabezpečení lze kombinovat různá obranná opatření včetně např. detekce právě prováděného pokusu o průnik,
  • delší doba potřebná na prolomení znamená také více času na odhalení probíhajícího útoku.
Na obr. 6 je ukázán příklad realizace strategie několikavrstvé obrany pro již zmíněnou úlohu spočívající v zabezpečení intranetu spojujícího několik pružných výrobních buněk navzájem a s okolím. Je zřejmé, že v tomto případě musí útočník překonat několik zabezpečovacích opatření. Nejprve musí obejít první filtr paketů, který byl realizován výrobcem X. Poté musí překonat tzv. aplikační bránu (application gateway), logicky i fyzicky oddělující privátní síť (intranet) od veřejné (internet). Chce-li libovolná entita z intranetu komunikovat se zařízením vně intranetu, musí použít aplikační bránu. Aplikační brána analyzuje provoz na sběrnici, identifikuje jakékoliv podezřelé nebo zakázané operace (např. příchod ilegálního obsahu na webový server) a posílá data příjemci v intranetu. Směrem od intranetu je aplikační brána chráněna firewallem nebo paketovým filtrem od jiného výrobce než zmíněného X, např. Y, a nakonec jsou pružné výrobní buňky chráněny ještě jedním filtrem paketů.
 

4.5 Krok D: struktura zabezpečení

Po rozhodnutí o strategii zabezpečení sítě je třeba navrhnout vlastní architekturu systému zabezpečení a vybrat vhodné prostředky. V případě průmyslové automatizace je třeba pamatovat mj. na to, že časově kritické procesy je zapotřebí řídit v reálném čase. V těchto případech je z technických důvodů obtížné či zcela nemožné použít klasické postupy jako filtry paketů nebo šifrování přenosu, především pro jejich nadměrné požadavky na výpočetní výkon, popř. čas. Řešením zde může být rozdělení komunikační sítě do několika vzájemně oddělených okruhů (automation cell) zabezpečených jako celky. Část technologického zařízení vyžadující řízení v reálném čase se uzavře do jednoho okruhu, který je zabezpečen proti zásahům zvenčí. Komunikace uvnitř okruhu je považována za důvěryhodnou a není chráněna. Komunikace mimo okruh je vedena přes zabezpečený uzel a chráněna firewallem nebo filtrem paketů, které mohou být integrovány v přepínači (switch) a musí plnit tyto základní úkoly:
  • omezit příchozí komunikaci do chráněného okruhu, což je opatření nezbytné zejména pro zachování komunikace v reálném čase a zajištění dostupnosti komunikačních služeb, které chrání nejen před úmyslnými útoky typu DoS, ale i před neúmyslným přetížením v důsledku nevhodné obsluhy apod.,
  • zabránit průniku malwaru (malicious software: programy typu virů, trojských koní, červů apod.): oddělením okruhů se zabrání šíření nechtěného softwaru do dalších částí sítě.

4.6 Krok E: použité protokoly a zařízení

Aby bylo možné efektivně definovat pravidla pro filtrování zpráv v síti, je třeba posoudit jednotlivá komunikující zařízení a použité protokoly z hlediska jejich komunikačních vazeb. Pozornost je nutné věnovat jak použitým protokolům průmyslového Ethernetu, tak i rozhraním, která tyto protokoly využívají. Zjištění skutečného stavu v této oblasti a jeho zdokumentování je základním předpokladem úspěchu při definování obranných opatření, např. specifikování funkcí firewallu. Podrobný přehled protokolů a jejich vlastností v kontextu zabezpečovacích (obranných) opatření přesahuje rámec toto článku. Obsahuje ho např. IAONA Handbook – Network Security [2].
 

4.7 Krok F: realizace zabezpečení

Posledním krokem je realizace připravených strategií a opatření. Realizační etapa zahrnuje dva hlavní soubory činností, a to:
  • instalování a konfigurování zabezpečovacích prvků,
  • stanovení organizačních a administrativních pravidel.
 
Organizace IAONA vypracovala pro realizaci zabezpečení sítí na bázi průmyslového Ethernetu metodiku [2], jejíž jádro tvoří dokumentování procesu výstavby zabezpečení sítě při použití tzv. Security Data Sheets (SDS), což je systém tabulek umožňujících podrobně specifikovat vlastnosti lokální komunikační sítě. Projektant zabezpečené sítě vychází z těchto specifikací a navrhuje odpovídající konfiguraci zabezpečovacích prvků a opatření a následně stanovuje i organizační a administrativní pravidla pro jejich úspěšné zavedení a používání.
 
První soubor činností, tj. instalování a konfigurování zabezpečovacích prvků, vychází z definice komunikačních vazeb, použité obranné strategie a vlastností lokální sítě zachycených v systému SDS a končí definováním funkcí a nakonfigurováním firewallu. Tím však proces realizace zabezpečení sítě nemůže skončit. Neodmyslitelně musí následovat jeho druhá fáze, spočívající ve stanovení organizačních a administrativních pravidel, která doplňují samotné technické řešení zabezpečení a vytvářejí na jeho základě skutečný systém informační bezpečnosti sítě. Je např. nezbytně nutné připravit a uvést v život opatření zajišťující ochranu počítačů připojených k síti před zavirováním a minimalizující možnost výskytu příhod typu ztráty nebo odcizení přenosného počítače, pravidla upravující používání osobních přenosných počítačů externími pracovníky apod.
 

5. Závěr

Šestý díl seriálu o průmyslovém Ethernetu je věnován otázkám zabezpečení sítí průmyslového Ethernetu před útoky na data, která jsou v nich přenášena, popř. uchovávána, tj. problematice informační bezpečnosti (security, popř. network security). Tato problematika, klíčová pro přenos dat ve veřejných sítích, zejména v internetu, je-li využíván pro bankovní a další citlivé činnosti, se s průnikem Etherentu a internetu do oboru řídicí techniky objevuje ve stejné intenzitě i při návrhu a provozování komunikačních sítí určených pro účely automatizace v průmyslu, dopravě a dalších oblastech. Nedostatečně zabezpečená privátní síť (podnikový intranet a další privátní sítě včetně sítí určených ke komunikaci v reálném čase) může být napadena útokem z vnějšku nebo ohrožena neúmyslnou vnitřní chybou s možným fatálním dopadem nejen v podobě úniku nebo zcizení výrobních tajemství, ale i nebezpečné funkce komunikačního a řídicího systému a následného vzniku nebezpečné situace s rizikem ohrožení kvality životního prostředí, zdraví, či dokonce lidských životů.
 
Literatura:
[1] LÜDER, B. – LORENZ, K.: IAONA Handbook – Industrial Ethernet. IAONA e. V., 3rd edition, Magdeburg, 2005.
[2] TANGERMANN, M. – LÜDER, B.: IAONA Handbook – Network security. IAONA e. V., Magdeburg, 2005.
[3] ZEZULKA, F. – HYNČICA, O.: Průmyslový Ethernet I: Historický úvod. Automa, 2007, roč. 13, č. 1, s. 41–43.
[4] ZEZULKA, F. – HYNČICA, O.: Průmyslový Ethernet II: Referenční model ISO/OSI. Automa, 2007, roč. 13, č. 3, s. 86–90.
[5] ZEZULKA, F. – HYNČICA, O.: Průmyslový Ethernet III: Fyzické provedení sítě Ethernet. Automa, 2007, roč. 13, č. 6, s. 40–44.
[6] ZEZULKA, F. – HYNČICA, O.: Průmyslový Ethernet IV: Principy průmyslového Ethernetu. Automa, 2007, roč. 13, č. 10, s. 57–60.
[7] ZEZULKA, F. – HYNČICA, O.: Průmyslový Ethernet V: Bezpečná komunikace po Ethernetu. Automa, 2007, roč. 13, č. 12, s. 58–61.
 
prof. Ing. František Zezulka, CSc.
Ing. Ondřej Hynčica
UAMT FEKT VUT v Brně
 
Obr. 1. Source routing of the IP protocol: útočníkův paket vytvořený s adresou zdroje z intranetu (A) prochází přes síť (B) a dostává se do intranetu (C) [1]
Obr. 2. Síťový násobič (amplifier network): útočník odešle všeobecnou zprávu (broadcast-ping – A), všechny stanice cílové sítě zprávu přijmou (B) a odpoví na cílový server, který tím přetíží (C)[1]
Obr. 3. Distribuovaný útok typu DoS: útočník rozšíří trojského koně (A) a napadené stanice (B) pak napadnou intranet (C), aniž by byl znám skutečný útočník na intranet [1]
Obr. 4. Modelová situace komunikačních vztahů v podniku
Obr. 5. Strategie obranného valu (hard perimeter): intranet je připojen pouze jedinou zabezpečenou cestou
Obr. 6. Příklad realizace strategie několikavrstvé obrany (defence-in-depth)
  
Tab. 1. Klasifikace možných rizik a odpovídající nezbytné úrovně zabezpečení