Mainpress: the best of Belgian Technology

Instrumentation de processus
Motion Control
Métal
Automatisation industriel
Pompes & Vannes
Maintenance

Formations d'ingénieurs
Formations d'entretien
Formations de sécurité

Rechercher marque(s)
Knowledge Base

Engineeringnet Magazine
Energie & Engineering
Maintenance Magazine
Pumps & Process Magazine

Qui est qui
Tarifs des annonces
Calendriers rédactionnels
Données techniques

Automatiseringsnetwerk
Industriële communicatie met Security-module

ing. Xavier De Buysscher, Control & Automation Magazine

version française

Ten gevolge van de actuele trends in de automatiseringstechniek waaronder wireless LAN’s, ethernet tot op actuatorniveau, remote acces via internet en verbinding met het Officenetwerk of intranet, moet het potentieel gevaar van indringers toch zeer goed onder beschouwing genomen worden. Daar security-concepten uit de Officewereld nooit rekening hielden met de vereisten van de automatiseringswereld, wordt de roep vanuit deze hoek naar een gepast beveiligingsconcept alsmaar luider. Siemens stelde op de Hannover Messe voor het eerst een dergelijk concept voor met de bijhorende producten.

Moderne automatiseringstechniek bouwt in toenemende mate verder op communicatie en netwerking. Vandaag de dag worden de industriële toepassingsgebieden door standaard veldbussystemen beheerst, die speciaal zijn ontwikkeld voor industriële toepassingen. De ontwikkeling gaat echter nog verder naar een hogere graad van integratie van alle componenten en met een doorgedreven vernetting naar het Officenetwerk, respectievelijk het intranet van de firma. Remote acces voor services, toenemend gebruik van IT-mechanismen zoals webserver en e-mail bij automatiseringsmodules, evenals het gebruik van Wireless LAN’s zijn verdere trends die met rasse schreden hun intrede maken in de wereld van de industriële communicatie. Dalende prijzen, hogere betrouwbaarheid en naar industriële normen “geharde” componenten maken in toenemende mate van het ethernet in een industriële omgeving een universele veldbus. De industriële communicatie maakt op die manier deel uit van de IT-wereld en is daarmee plotseling tot dezelfde gevaren blootgesteld die bekend zijn van de Officewereld, zoals hackers en allerhande kwaadwillige software. Het risico is zo reëel dat gegevens gekopieerd of verstoord worden, of dat het netwerk overspoeld wordt met ballast, waardoor goede functionaliteit verhinderd wordt. Door het gebruik van de nieuwe open standaard heeft men dus het voordeel dat gegevens en machinebedieningen bereikbaar zijn van op verschillende plaatsen binnen het netwerk, maar dit heeft ook nadelen. De verleiding is zeer groot om problemen van op afstand op te lossen, waarbij men enkel de desbetreffende module kan identificeren via het IP-adres zonder dat men echt een zicht heeft op de module. Een tipfout is bij deze zeer snel gemaakt, maar kan toch onaangename gevolgen hebben voor zover er geen overeengekomen veiligheidsmaatregelen voorhanden zijn. De mogelijke gevolgen van zwakten in de afscherming van het systeem kunnen een veel grotere impact hebben in industriële omgevingen in vergelijking met de Officewereld. Zelfs het uitvallen van het netwerk kan massale gevolgen hebben. Daarom zijn perfect passende veiligheidsvoorzieningen vereist.

Office-security-concepten ontoereikend
De bestaande security-concepten uit de Officewereld zijn te beperkt en voldoen niet aan de speciale vereisten van de automatiseringswereld. Zij worden niet aanvaard daar zij constant onderhoud en speciale expertise vereisen, en de integratie binnen een bestaand netwerk niet efficiënt te realiseren is, omdat netwerktopologieën aangepast en netwerkdeelnemers opnieuw geconfigureerd moeten worden. Ten derde ontbreekt de ondersteuning voor speciale protocollen uit de automatiseringswereld in het bijzonder Layer-2-protocollen. Hierdoor is een beveiligingsconcept nodig, dat enerzijds de industriële communicatie kan beschermen, maar dat anderzijds ook de speciale vereisten beantwoordt. Siemens heeft hier de koe bij de horens gevat en een security-concept ontwikkeld dat gebaseerd is op zogenaamde security-modules om de speciale vereisten in te vullen.

Security-module
De security-module bevat zowel hardware als software. De netwerkcomponent bezit twee RJ45-poorten en kan daarmee enkelvoudige toestellen of een compleet netwerksegment afschermen. Deze worden met een van de poorten verbonden en vormen dan het zogehete interne, afgeschermde net. De ander poort is dan de verbinding met het zogenaamde onveilige net. Deze poort vormt de beveiligde interface. Daarmee is het mogelijk alle voorhanden netdelen af te schermen zonder dat bestaande netdeelnemers omgeprogrammeerd of omgeconfigureerd moeten worden, of de bestaande netwerktopologie moet aangepast worden. De security-module kan zeer eenvoudig in het bestaande netwerk geplaatst worden, omdat in tegenstelling tot een router geen verschillend IP-net vereist is. Deze segmentering van het netwerk met security-modules brengt wezenlijke voordelen met zich mee. Namelijk netwerkdeelnemers zonder eigen security-functionaliteit kunnen afgeschermd worden. Daarnaast nemen security-mechanismes altijd een deel van de performantie weg, omdat telegrammen aan de hand van filtertabellen getest en uiteengebeend moeten worden. Dit is echter niet wenselijk bij real-time-applicaties. Door de segmentering is het nog altijd mogelijk dat real-time-toepassingen in het interne net van een security-module onbeïnvloed hun werk kunnen blijven doen, omdat de veiligheid de werking van het interne netwerk niet beïnvloedt. Zelfs wanneer het externe netwerk uiteenvalt of plat gaat, dan blijft het gegevensverkeer in het interne netwerk ongestoord verder werken. Door de veiligheidsintegratie mag men geen weerbots ondervinden op andere gebieden en mag de afscherming van het netwerk niet de performantie belemmeren. Het moto van Siemens is: alles wat voorheen ging, moet ook nadien weer functioneren. Daarom werkt de security-module onafhankelijk van het toepassingsprotocol. Alle IP-gebaseerde protocollen, maar ook het in de automatiseringswereld gebruikte Layer-2-protocol, kunnen daarmee afgeschermd worden.

Implementatie
De Officebeveiligingssystemen zijn expertsystemen, hetgeen niet echt wenselijk is in de automatiseringswereld, omdat deze doorgedreven knowhow niet de klok rond aanwezig is. Daarom werd er bij de ontwikkeling van de programmeertool voor de security-module veel aandacht geschonken aan het gebruikersgemak en de eenvoud, zodat voor de inbedrijfname en onderhoud geen speciale kennis van security-mechanismen nodig is. Bij de configuratie worden aan de in een netwerk aanwezige security-module groepen toegewezen. Enkel security-modules in een zelfde groep respectievelijk de door hen beschermde modules kunnen met elkaar communiceren. Security-modules kunnen natuurlijk ook meerdere groepen toegewezen worden. De respectievelijke configuratiesettings kunnen over een afgeschermd kanaal in de security-module geladen worden. Naast deze minimale configuratie staan er natuurlijk ook nog uitgebreidere instelmogelijkheden ter beschikking die desgewenst gebruikt kunnen worden, zoals bijvoorbeeld de firewall-functie. Daarmee is het mogelijk de toegangsrechten en mogelijkheden verder te differentiëren en bepaalde diensten te sperren of vrij te geven. Het is hierbij perfect mogelijk de gebruiker toe te laten met HTTP op de webserver toe te grijpen, maar niet FTP-gegevens te transfereren of te wissen. Op die manier is het ook mogelijk het gegevensverkeer tussen het interne en het externe net te controleren.

C-Plug
Met de configuratieplug (C-Plug) wordt voor de security-module een wisselmodule als optie aangeboden, waarmee in geval van fout of defect een snelle en eenvoudige module-uitwisseling mogelijk is zonder dat men een programmeerapparaat nodig heeft of men de configuratie volledig terug moet doorvoeren. Daardoor kunnen stilstandtijden van netsegmenten en daaraan aangesloten netwerkdeelnemers tot een minimum gereduceerd worden. De configuratiegegevens worden automatisch op de C-Plug opgeslagen. In geval van vervanging wordt de C-Plug uit de uitgevallen component genomen en in de vervangmodule ingeplugd. De vervangmodule beschikt daarmee automatisch over dezelfde moduleconfiguratie als het uitgevallen apparaat.

Industrieel geschikt
In de industriële omgevingen heersen andere invloeden dan in de bureauwereld. Daarom zijn de security-modules voorzien van volgende kenmerken:
§ Temperatuurbereik van –20°C tot +70°C. Ter vergelijking moet men stellen dat bij de meest gangbare routers of switches meestal over is wanneer de +40°C bereikt wordt.
§ Klasse IP30, zodat bescherming tegen stof en vuil een feit is.
§ Montage op din-rail, simatic-rail of wandmontage is mogelijk, waarbij de behuizing in verschillende posities ingebouwd kan worden.
§ Redundante spanningsverzorging.
§ Meldcontacten voor directe signalering in geval van uitval.

Software
Om het geheel compleet te maken, wordt er een security-software in meerdere varianten aangeboden. Een daarvan is de software Client Modul, die zowel desktops als mobiele PC’s de mogelijkheid geeft toegang te krijgen tot modules die met de security-modules afgeschermd zijn, als het ware de sleutel op het slot. Een andere variant schermt industriële PC’s of servers af en bezit dezelfde security-functionaliteit als de security-module. Automatiseringssturingen die een overgang tussen verschillende netwerken vormen, kunnen op die manier beide netwerken veiligheidstechnisch van elkaar scheiden. De afschermingsfunctie van de security-module beroept zich in wezen op twee mechanismen, namelijk de opbouw van “Virtuele private netwerken (VPN)” en een firewall.

IP-VPN’s
VPN-technologie heeft zich opgewerkt tot een van de belangrijkste technologieën op gebied van netwerken. Daarbij reikt het toepassingsgebied van de standaardkoppeling, over remote-acces tot veilige notebook-communicatie en Wireless LAN’s. VPN is een netwerktechniek die op grond van zijn hoge flexibiliteit en door het gebruik van een betrouwbare veiligheidstechniek alsmaar meer uitbreiding kent. VPN’s werken op basis van gecodeerde communicatiebanen, die het “afluisteren” of aanpassen van de gegevensoverdracht verhinderen en daarmee er voor zorgen dat enkel eenduidig geïdentificeerde en geautoriseerde netwerkdeelnemers met elkaar gegevens kunnen uitwisselen. De security-modules vormen in deze samenhang de grensovergangen waardoor de gegevens op een veilige manier worden doorgelaten en waarbij tweezijdige identificatie vereist is om de data over te dragen.

Portfolio
Voor een betere skalering zijn er twee varianten van de security-module beschikbaar. De standaardvariant Scalance S612 kan tot 32 deelnemers in een intern net afschermen en tegelijkertijd 64 VPN-kanalen met andere Security-modules opbouwen. Daarnaast is er de meer geavanceerde variant de Scalance S613 die tot 64 interne netwerkknopen kan behappen en op zijn beurt tegelijkertijd 128 VPN-kanalen met andere modules kan opbouwen. Bijkomstig ondersteunen beide modules een teach-modus, waarbij elke nieuwe deelnemer in het interne net automatisch herkend wordt en niet meer geconfigureerd moet worden. Daarbovenop herkennen zij automatisch andere security-modules in het netwerk, zodat bij een uitbreiding van de installatie niet noodzakelijkerwijs de bestaande componenten terug geconfigureerd moeten worden.

Firewall
Firewalls worden in de regel gebruikt om ongewenste communicatie te blokkeren, waarbij IP-pakketten volgens door de gebruiker vastgelegde regels gefilterd worden. Zowel inkomende als uitgaande communicatie kan daarbij geblokkeerd worden. De filtercriteria kunnen IP-adressen, poortnummers of bepaalde protocollen zijn die men naar keuze kan blokkeren of vrijgeven. VPN- en firewall-functies kunnen bij de security-module ook gecombineerd gebruikt worden. Dit biedt naast een verhoogde veiligheid ook de mogelijkheid, verschillende toegangsbeperkingen te realiseren. Bijvoorbeeld een gebruiker identificeert zich door middel van VPN en krijgt toegang tot een netwerk, maar door middel van de firewall kunnen parallel daarmee bepaalde diensten of toestellen versperd worden.
Zoals dus blijkt winnen veiligheidsrelevante aspecten bij het gebruik van ethernet als veldbus duidelijk aan belang. Siemens wil met zijn nieuwe product de angst hieromtrent wegnemen, zodat men met een gerust gevoel kan verder bouwen aan een open communicatiestructuur. <<

Réseau d’automatisation
Communication industrielle à l’aide du module Security

Ing. Xavier De Buysscher, Control & Automation Magazine

Suite aux tendances actuelles dans la technique d’automatisation, parmi lesquelles les LAN sans fil, l’Ethernet jusqu’à l’actionneur, l’accès à distance via Internet et la connexion au réseau bureautique ou à l’intranet, le danger potentiel d’intrusion doit être pris très au sérieux. Puisque les concepts de sécurité du monde bureautique n’ont jamais tenu compte des exigences du monde de l’automatisation, ce secteur réclame de plus en plus un concept de sécurité adéquat. Lors de la foire de Hanovre, Siemens présenta pour la première fois un tel concept, avec les produits allant de pair.

La technique d’automatisation moderne s’appuie de plus en plus sur la communication et la mise en réseau. Aujourd’hui, les champs d’application industriels sont dominés par des systèmes de bus standard, spécialement conçus pour les applications industrielles. Le développement s’axe toutefois sur une intégration plus poussée encore de tous les composants, avec une mise en réseau exacerbée avec le réseau bureautique, sous oublier l’intranet de la société. L’accès à distance pour les services, l’utilisation croissante de mécanismes IT - comme le serveur Web et l’e-mail - avec les modules d’automatisation, de même que l’utilisation de LAN sans fil sont d’autres tendances qui font aujourd’hui leur entrée fracassante dans le monde de la communication industrielle. Avec la baisse des prix, la fiabilité accrue et l’apparition de composants ‘blindés’ répondant aux normes industrielles, l’Ethernet devient de plus en plus un bus universel dans l’environnement industriel. La communication industrielle fait de la sorte partie du monde IT et se retrouve dès lors exposée aux mêmes dangers que ceux auxquels doit faire face le monde bureautique, notamment au piratage et aux logiciels malveillants. Le risque de voir les données copiées ou perturbées ou encore le réseau inondé de trafic sans intérêt, empêchant ainsi son bon fonctionnement, est vraiment réel. L’utilisation du nouveau standard ouvert rend les données et commandes machines accessibles à partir de différents endroits du réseau. Cependant, cela présente aussi des inconvénients. La tentation de résoudre les problèmes à distance est très grande. Seul le module en question peut alors être identifié via l’adresse IP sans que l’on puisse vraiment avoir une vue sur le module. Une erreur de frappe est très vite arrivée et peut avoir des conséquences désastreuses si aucune mesure de sécurité n’a été prévue. Les conséquences éventuelles des faiblesses de protection du système peuvent avoir un impact nettement plus important dans des environnements industriels par rapport au monde bureautique. Même une panne de réseau peut entraîner des conséquences massives. Voilà pourquoi il faut impérativement implémenter des dispositifs de sécurité adéquats.

Les concepts de sécurité bureautiques sont insuffisants
Les concepts de sécurité du monde bureautique sont trop restreints et ne rencontrent pas les exigences spécifiques du monde de l’automatisation. Ils n’y sont pas acceptés parce qu’ils réclament un entretien permanent et une expertise spécifique. En outre, leur intégration au sein d’un réseau existant ne peut se faire de manière efficace car les topologies de réseau doivent être adaptées et les participants au réseau à nouveaux configurés. Enfin, il y a le manque de support des protocoles spéciaux du monde de l’automatisation, en particulier des protocoles de couche 2. Il faut donc un concept de protection pouvant, d’une part, protéger la communication industrielle et, d’autre part, répondre aux exigences spécifiques. Siemens a pris le taureau par les cornes et développé un concept de sécurité qui s’appuie sur des modules de sécurité afin de rencontrer les exigences spécifiques.

Module de sécurité
Le module de sécurité est composé de matériel et de logiciel. Le composant réseau possède deux ports RJ45 grâce auxquels il peut protéger soit de simples appareils soit un segment de réseau complet. Ceux-ci sont reliés à un des ports et constituent ainsi le réseau interne protégé. L’autre port réalise alors la connexion avec le réseau dangereux et constitue l’interface de protection. Il permet de protéger toutes les parties de réseau disponibles sans qu’il ne faille reprogrammer ou reconfigurer des participants au réseau ou sans qu’il ne faille adapter la topologie du réseau. Le module de sécurité se place facilement dans un réseau existant car, contrairement à un routeur, il ne réclame pas de réseau IP différent. Cette segmentation du réseau avec des modules de sécurité apporte des avantages conséquents puisque les participants au réseau, ne disposant pas d’une fonctionnalité de sécurité propre, peuvent être protégés. En revanche, les mécanismes de sécurité réduisent toujours quelque peu la performance du réseau étant donné que les télégrammes doivent être testés à l’aide de tables de filtrage et disséqués. Une telle procédure n’est toutefois pas souhaitable pour les applications en temps réel. Grâce à la segmentation, les applications en temps réel peuvent continuer à s’acquitter de leur tâche dans le réseau interne d’un module de sécurité car la sécurité n’influence pas le fonctionnement du réseau interne. Même si le réseau externe sature ou se plante, le trafic de données continue à fonctionner imperturbablement sur le réseau interne. L’intégration de la sécurité ne peut avoir de répercussions négatives dans d’autres domaines et la protection du réseau ne peut entraver la performance. Siemens part du principe que tout ce qui fonctionnait auparavant doit toujours fonctionner par la suite. Voilà pourquoi le module de sécurité est indépendant du protocole d’application. Il peut protéger tous les protocoles basés sur IP, de même que les protocoles en couche 2 utilisés dans le monde de l’automatisation.

Implémentation
Les systèmes de protection bureautiques sont des systèmes destinés à des experts, ce qui n’est pas souhaitable dans le monde de l’automatisation puisque ce savoir n’est pas présent sur site, 24 heures sur 24. Siemens a dès lors attaché une grande importance à la convivialité et à la simplicité de l’outil de programmation du module de sécurité, afin que celui-ci ne réclame pas de connaissances spécifiques en mécanismes de sécurité pour sa mise en service. Lors de la configuration, des groupes sont attribués au module de sécurité présent dans le réseau. Seuls les modules de sécurité d’un même groupe, composé des participants protégés par leurs soins, peuvent communiquer ensemble. Les modules de sécurité peuvent naturellement se voir attribués plusieurs groupes. Les réglages de configuration respectifs peuvent être chargés via un canal protégé dans le module de sécurité. Outre cette configuration minimale, il existe des possibilités de réglage plus vastes comme par ex. la fonction de coupe-feu. Cela permet de différentier davantage encore les droits d’accès et possibilités et de bloquer ou libérer certains services. L’utilisateur peut être autorisé à intervenir en http sur le serveur Web sans pouvoir transférer ou effacer des données FTP. Le trafic de données entre le réseau interne et externe peut être contrôlé de la même manière.

C-Plug
La fiche de configuration (C-Plug) propose en option un module d’échange pour le module de sécurité. Elle permet un échange rapide et simple du module, en cas d’erreur ou de panne, sans devoir recourir à un appareil de programmation ou reconfigurer le tout. Les temps d’arrêt des segments de réseau et des participants raccordés au réseau sont ainsi réduits à leur strict minimum. Les données de configuration sont automatiquement stockées dans la C-Plug. En cas de remplacement, la C-Plug est retirée du composant en panne et enfichée dans le module de remplacement. Le module de remplacement dispose ainsi automatiquement de la même configuration que l’appareil défectueux.

De conception industrielle
Les environnements industriels sont soumis à d’autres influences que le monde bureautique. Voilà pourquoi les modules de sécurité sont dotés des caractéristiques suivantes :
§ Plage de température de – 20°C à + 70°C. A titre de comparaison, la plupart des routeurs ou commutateurs traditionnels sont incapables de poursuivre leur travail lorsque la température atteint les + 40°C.
§ Classe IP30, qui offre une protection de facto contre la poussière et la saleté
§ Montage sur rail DIN, rail Simatic ou montage mural, le module pouvant être positionné dans différentes positions.
§ Alimentation redondante
§ Contacts de signalisation pour un signalement direct en cas de panne.

Logiciel
Pour rendre le tout complet, un logiciel de sécurité est proposé dans plusieurs variantes. Parmi celles-ci figure le logiciel Client Modul, qui permet tant aux PC de bureau qu’aux PC mobiles d’accéder à des modules protégés par les modules de sécurité, ce qui revient pour ainsi dire à mettre la clé sur la serrure. Une autre variante protège les PC industriels ou serveurs et possède la même fonctionnalité de sécurité que le module de sécurité. Les commandes d’automatisation qui assurent une transition entre différents serveurs peuvent de la sorte séparer les deux réseaux en toute sécurité. La fonction de protection du module de sécurité en appelle à deux mécanismes, à savoir la structure de ‘réseaux privés virtuels’ (VPN) et le coupe-feu.

VPN IP
La technologie VPN est devenue une des principales technologies en matière de réseaux. La plage d’application s’étend de la connexion standard jusqu’à la communication sécurisée par portable et aux LAN sans fil, en passant par l’accès à distance. Le VPN est une technique de réseau qui s’étend de plus en plus grâce à sa grande flexibilité et à l’utilisation d’une technique de sécurité fiable. Les VPN travaillent sur la base de trajets de communication codés, qui empêchent ‘l’écoute’ ou l’adaptation du transfert de données et veillent ainsi à ce que seuls des participants au réseau bien identifiés et autorisés puissent échanger des données entre eux. Les modules de sécurité constituent dans ce contexte les passages de frontières. Ils permettent un passage sécurisé des données et exigent une identification bilatérale pour transférer les données.

Porte-feuille
Pour une meilleure évolutivité, Siemens a développé deux variantes de son module de sécurité. La variante standard S612 peut protéger jusqu’à 32 participants dans un réseau interne et élaborer simultanément 64 canaux VPN avec d’autres modules de sécurité. Ensuite, il y a la variante plus avancée, Scalance S613, qui assume jusqu’à 64 nœuds de réseau internes et peut élaborer simultanément 128 canaux VPN avec d’autres modules. Accessoirement, les deux modules soutiennent un mode d’apprentissage, selon lequel chaque nouveau participant au réseau interne est automatiquement reconnu et ne doit pas être configuré. Ils reconnaissent de surcroît automatiquement d’autres modules de sécurité présents sur le réseau. De ce fait, en cas d’extension de l’installation, les composants existants ne doivent pas nécessairement être reconfigurés.

Coupe-feu
Les coupe-feu sont généralement utilisés pour bloquer une communication indésirable. Les paquets IP sont filtrés selon des règles établies par l’utilisateur. Tant la communication entrante que la communication sortante peut être bloquée. Les critères de filtre peuvent être des adresses IP, des numéros de port ou certains protocoles que l’on peut bloquer ou libérer au choix. Les fonctions VPN et coupe-feu peuvent également être utilisées en combinaison avec le module de sécurité. Ceci permet de bénéficier d’une sécurité accrue et d’intégrer des restrictions d’accès. Un utilisateur qui s’identifie par exemple au moyen du VPN et accède au réseau peut ainsi se voir bloquer l’accès à des services ou appareils par le biais du coupe-feu.
Il est clair que les aspects sécuritaires gagnent en importance avec l’utilisation d’Ethernet comme bus de terrain. Siemens souhaite apaiser cette crainte avec son nouveau produit afin que le client puisse continuer à développer en toute sérénité une structure de communication ouverte. <<

Disclaimer
Contact