Prostředky pro bezpečnost
V této sekci představíme ve stručném přehledu technické prostředky pro zajištění bezpečnosti v síťovém prostředí KKI. Týká se to prvních tří vrstev referenčního ISO OSI modelu.
Fyzická vrstva – 1. vrstva ISO OSI modelu
Na fyzické vrstvě je problematika bezpečnosti řešena ve třech stupních.
Stupeň 0 – identifikační
Tento stupeň nezajišťuje žádnou fyzickou ochranu, usnadňuje pouze správu systému a naviguje správce sítě na správný způsob zapojení pomocí barevného rozlišení prvků. Lze využít širokou škálu barev u metalických Jacků, FO adapterů, Patch Cordů, popisových štítků na panely, Jumpery, Patch Cordy i barevných značkovacích kroužků na Patch Cordy. Tím snižuje riziko špatného přepojení, ale fyzicky není schopen chybě zabránit.
Stupeň 1 – blokovací
Do tohoto stupně jsou zařazeny prostředky, které chrání nebo blokují prvky kabeláže a konektivity:
– prvky na blokování metalických portů RJ45, USB a FO SC, LC portů
– prvky na ochranu proti vytažení (uzamčení) metalických PatchCordů a Jumperů
– datové zásuvky s omezenou přístupností portů
– systémy řízení přístupu do rozvaděčů a speciální boxy pro AP WIFI
– kabelové žlaby se zabezpečeným víkem
Prvky na zablokování portů RJ45, USB, SC a LC
Prvky na uzamčení Patch Cordů RJ45 a LC duplex Jumperů
Stupeň 2 – klíčování
Do tohoto stupně jsou zařazeny prostředky, které znemožňují připojení skupin metalických PatchCordů a LC duplex Jumperů do nepovolených portů. Jde o technické řešení s využitím shodného klíčování Jacků s Plugy a FO LC duplex adapterů s LC konektory.
Princip:
– neklíčovaný Plug nelze zasunout do žádného klíčovaného Jacku
– klíčovaný Plug nelze zasunout do žádného neklíčovaného Jacku
– klíčovaný Plug nelze zasunout do Jacku s jiným typem klíče
– stejný princip platí i pro FO adaptery a FO konektory
Metalické UTP i STP Patch Cordy se standardně vyrábí s jednou stranou klíčovanou a druhou neklíčovanou (klíčovanou stranu nezapojíte do PC ani Switche). Na zakázku lze zřejmě vyrobit i obě strany klíčované, ale byl by to výjimečný požadavek. Klíčování je řešeno pomocí drážek a výstupků v těle Jacku a Plugu.
Princip klíčování FO adapterů a konektoru je stejný jako u metalických řešení. Opět jde o systém drážek a výstupků. Jumpery se mají klíčování buď pouze jedné straně, nebo na obou stranách.
Klíčované Jacky RJ45
Klíčované LC duplex adaptery
Linková vrstva – 2. vrstva ISO OSI modelu
Na této vrstvě OSI modelu pracují v transparentním módu aplikační FireWally. Mezi jejich funkce patří filtrace rámců dle stanovených pravidel, detekce a analýza četnosti Stateful Packet Inspection (SPI) a Deep Packet Inspection (DPI), které využívají např. SCADA systémy. Dle definovaných pravidel FireWallu spolu s předdefinovanými protokoly a speciálními pravidly povolí nebo zablokuje síťový provoz. Různé moduly Enforcer Deep Packet Inspection (DPI) Enforcer jsou přístupné právě prostřednictvím Firewallu. Mezi předdefinované protokoly obvykle patří MODBUS, EherNet/IP, DNP3, IEC104, GOOSE a OPC.
Síťová vrstva – 3. vrstva ISO OSI modelu
Tato vrstva je doménou zařízení zvaných Security Router / Firewall. Tato zařízení jsou natolik známá, že nemá smysl se zabývat popisem jejich funkcí. K nim můžeme přiřadit ještě LTE Routery.
V poslední době se začal objevovat nový prvek pracující na L3 – DataDiode. Toto zařízení tvořené v principu dvojitým Security Routerem brání průniku potenciálně infikované příchozí návštěvnosti metodou jednosměrného přenosu, přičemž možnost monitoringu bývá většinou u těchto zařízení zachována.
Data Dioda se nejčastěji používá v aplikacích, kde musí být přenášena data z kritických systémů prostřednictvím veřejné sítě – internetu.
Další prostředky pro bezpečnost
budou převážně na vyšších vrstvách ISO OSI modelu. Bude převážně na úrovni aplikace. Jako příklad uveďme operační diagnostiku, která sama o sobě může sloužit i jako jeden z bezpečnostních nástrojů. S její pomocí můžeme snadno blokovat nebo otevírat porty prvků a to dle vybraných algoritmů – závislost na čase, uživateli atd.
