Průmyslový Ethernet Martin Löw 25. 5. 2011
Program Zabezpečení sítě: EDR-G903 Redundance Firewall NAT Centralizovaná správa sítě MXview Ethernetová redundance Moxa Přehled a srovnání technologií Shrnutí
Ochrana sítěs před přístupem p z nezabezpečen ené zóny Novinka!!! Průmyslový bezpečnostn nostní router Moxa EDR-G903 Řešení vše v jednom Firewall / NAT / VPN 3 Gigabitové Combo porty Neomezuje přenososvou rychlost mezi zabezpečenou a zabezpečenou zónou Podpora redundantní linky do WAN Přednastavené profily pro většinu průmyslových protokolů Automatický test zabezpečení
Ochrana sítěs před přístupem p z nezabezpečen ené zóny Rizika PC s OS Windows jsou běžnou součástí průmyslových sítí ohrožení viry nebo škodlivým softwarem nebezpečí přístupu do kritického segmentu sítě z venku většina současných kybernetických útoků přichází z vnitřní sítě
EDR-G903 jako routerr WAN1 Internet WAN2 LAN Intranet Rozhraní WAN1 WAN2 LAN Směrování Statické RIP
Nastavení směrov rování - konfigurace WAN1
Nastavení směrov rování - konfigurace WAN2
Nastavení směrov rování - konfigurace LAN
Nastavení směrov rování Statické 192.168.2.100 192.168.1.100 192.168.3.200 192.168.2.200
Nastavení směrov rování RIP LAN WAN1 192.168.2.100 192.168.1.100 192.168.3.200 192.168.2.200
Redundance Záloha WAN WAN1 Internet WAN2 LAN Intranet WAN1 Aktivní WAN2 Záložní WAN2 Aktivní pokud WAN 1 má stav link down Není odezva na ping od specifikovaného zařízení
Nastavení redundance WAN2 Backup mode
Nastavení redundance podmínky přechodu na záloz ložní WAN
Firewall Internet Intranet Kontrola paketů Předání autorizovaných Zahození neautorizovaných Nastavení podmínek
Kontrola paketů Internet Intranet Ethernet IP Packet TCP Packet
Konfigurace firewallu Nastavení podmínek
Firewall Policy Maximálně 256 podmínek Postupná kontrola dokud nedojde ke splnění Pozitivní list podmínek Negativní list podmínek
Příklad Příkaz Ping Intranet A Request Reply Internet B ICMP Request splňuje podmínku 1 ICMP Reply nesplňuje žádnou podmínku Jak to, že příkaz Ping funguje?
Typy firewallf irewallů Stateful a Stateless Stateful Stateless Stateful Firewall sleduje síťová spojení Packety patřící ke známým spojením jsou předávány
DMZ Demilitarizovan ovaná zóna DMZ: HTTP, FTP, Internet Intranet Odděluje Veřejné služby od zabezpečené sítě HTTP, FTP,
Konfigurace DMZ
NAT Network Address Translation Internet Veřejná IP Privátní IP Intranet Mapování IP adres Privátní Veřejné Způsoby mapování 1-1 N-1 Port Forward
Konfigurace NAT 1-11 Internet 192.168.3.183 192.168.127.254 192.168.127.1
Konfigurace NAT N-1N Internet 192.168.3.36 192.168.127.254 192.168.127.3 192.168.127.7
Konfigurace Port Forward Internet 192.168.3.36 Port 21 192.168.127.254 192.168.127.1 Port 21
Program Zabezpečení sítě: EDR-G903 Redundance Firewall NAT Centralizovaná správa sítě MXview Ethernetová redundance Moxa Přehled a srovnání technologií Shrnutí
Moxa MXview Software pro centralizovanou správu sítě Automatická analýza sítě Seznam zařízení, schéma topologie Hlášení událostí v reálném čase Vypnutí zařízení, odpojení linky, stav Turbo Ringu Centralizovaná konfigurace Export/import konfigurace, upgrade firmwaru Protokoly událostí a zatížení sítě Záznam událostí, historie alarmů
Struktura softwaru MXview Lokální systém Vzdálený přístup Monitorování sítě a správa zařízení Detekce událostí
MXview Menu Seznam zařízení Mapa topologie Vlastnosti zařízení Náhled topologie Seznam událostí
Funkce MXview Webové uživatelské rozhraní Přehled sítě Signalizace událostí Monitorování provozu v síti Správa zařízení Vícejazyčná verze Aktuálně angličtina a čínština
Webov ové uživatelské rozhraní Lokální nebo vzdálený přístup přes webový prohlížeč Maximálně 3 vzdálení klienti IP adresa lokálního PC: 192.168.10.1 Lokální IP adresa pro MXview: http://127.0.0.1 (local host) IP adresa lokálního PC : 192.168.20.1 Vzdálená IP adresa pro MXview: http://192.168.10.1
Správa sítě Analýza sítě Vyhledávání zařízení v síti Cross LANs Manuální konfigurace Doplnění zařízení, kreslení linek Znázornění topologie Podpora LLDP Automatické generování schématu sítě Možnost úpravy rozmístění ikon ve schématu Export schématu topologie
Náhled topologie sítěs Automatická detekce Automatické vykreslení
Náhled topologie sítěs Vytváření zástupců pro části sítě Ring 2
Hláš ášení událost lostí Tři úrovně událostí Kritické Varovné Informační Události Nedosažitelné zařízení SNMP/ICMP Power on/off Link down Datový tok na portu přes/pod % rozhodovací úrovně Počet chyb na portu % rozhodovací úrovně Počet kolizí na portu % rozhodovací úrovně Akce SMS zpráva, e-mail, spuštění aplikace, přehrání zvuku
Hláš ášení událost lostí Odpojení zařízení nebo linky Seznam událostí
Monitorování přenosu dat Statistiky komunikace z čítačů jednotlivých přepínačů Samostatně pro každý směr Statistiky přenosů Zatížení portů Počet chyb Počet kolizí Nastavení rozhodovacích úrovní Alarmová hlášení
Monitorování přenosu dat Jednotlivé směry Řazení podle dnů Denní záznam komunikace
Správa zařízen zení Zařízení spravována v MXview Zařízení Moxa a jiná zařízení Monitorování zařízení Parametry SNMP polling ICMP ping Konfigurace zařízení Pouze zařízení Moxa Import/Export konfiguračních souborů Upgrade firmware Update dokumentace (formát pdf)
Správa zařízen zení Scanování sítě ICMP Ověřování stavu SNMP Polling Získání parametrů
Verze MXview Bezplatná verze Neomezené použití do 20 uzlů Licensované verze 50 uzlů 100 uzlů 250 uzlů 500 uzlů 1000 uzlů
Program Zabezpečení sítě: EDR-G903 Redundance Firewall NAT Centralizovaná správa sítě MXview Ethernetová redundance Moxa Přehled a srovnání technologií Shrnutí
Požadavky na síťovou s redundanci v průmyslu Nepřetržitá dostupnost síťových zařízení (obnova komunikace v řádech ms i v rozsáhlých sítích) Odolnost sítě proti přerušení síťových cest / poruchám síťových prvků Automatická obnova komunikace bez zásahu údržby Automatické oznamování poruchových stavů Flexibilní topologie head head head tail tail tail RSTP head MRP tail
TurboRing master jeden přepínač je master a blokuje jeden svůj port blokovaný port je záloha obnovitelná do 20ms
Porovnání TurboRing s jinými redundantními protokoly garantovaná rychlost obnovy méně než 20ms při maximálním počtu 250 přepínačů v kruhu 6x rychlejší 17x rychlejší 15x rychlejší protokol STP RSTP jiné kruhové redund ance Turbo Ring v2 rychlost obnovy >30s >5s ~300ms <20ms
Testování TurboRing rychlost obnovy méně než 20ms při maximálním počtu 250 přepínačů v kruhu
Dual Ring dual Ring umožňuje propojení dvou kruhů bez potřeby dalších portů a spojů
TurboChain head tail Turbo Chain umožňuje propojit několik kruhů bez potřeby dalších portů nebo spojů tail tail přepínač tvoří zálohu s obnovou spojení do 20ms head head head tail tail
Flexibilita redundance TurboChain head head tail head tail head RSTP MRP head tail tail Připojení k tail jednomu přepínači RSTP jinému redundantnímu protokolu (Siemens - Hirschmann ring) TurboRing & TurboChain jakákoli síť se známými protokoly
Ring Coupling ring coupling umožňuje propojení několika kruhů ring coupling poskytuje redundanci linek ochrana proti poruše celého přepínače
Program Zabezpečení sítě: EDR-G903 Redundance Firewall NAT Centralizovaná správa sítě MXview Ethernetová redundance Moxa Přehled a srovnání technologií Shrnutí
Shrnutí Průmyslový zabezpečovací router EDR-G903 bezpečně odděluje kritickou průmyslovou síť od podnikové sítě a veřejného internetu Software Mxview pro centralizovanou správu sítě umožňuje přehlednou kontrolu nad síti z jednoho pracoviště včetně vzdáleného přístupu Průmyslové redundantní technologie zajišťují nepřetržitou dostupnost síťových zařízení
Těšíme se na spolupráci ELVAC a.s. Hasičská 53, 700 30 Ostrava-Hrabůvka Tel.: +420 597 407 100 Fax: +420 597 407 102 E-mail: info@elvac.eu www.elvac.eu