KAIKKI TEOLLISUUDEN TIETOLIIKENTEEN TARPEET YHDESSÄ KYTKIMESSÄ. RAD SecFlow: Moderni tietoturvallinen kytkinperhe, joka on suunniteltu teollisuuden ja sähköverkkojen tiedonsiirron erityistarpeisiin. Moderni kytkinperhe. SecFlow-kytkimet ovat teollisuusstandardien mukaisesti rakennettuja ja sertifioituja (esim. IEC61850-3 kytkimiä. Ne ovat modulaarisia ja monipuolisesti kalustettavissa olevia laitteita, jotka voidaan ohjelmallisesti konfiguroida Layer 2 kytkimeksi tai Layer 3 reitittimeksi. Liitännät sarjaliikenteelle. Sarjaliikenneporteilla varustettu SecFlow voi konvertoida tai enkapsuloida sarjaliikennettä (esim IEC101). Käytännössä tämä mahdollistaa sarjaliikenteen tunnelit, gatewaymoodin ja IEC101:n tapauksessa protokollan muuttamisen IEC104-liikenteeksi. Tämä on kätevä ominaisuus, kun vanhoja RTU:ja liitetään pakettiverkkoon, tai esim. SCADAjärjestelmän sarjaliikenneräkit halutaan poistaa. Vahva tietoturvaratkaisu. SecFlown suurin innovaatio on jokaiseen kytkimeen saatavissa oleva erillinen palomuuritoiminto, joka on suunniteltu erityisesti kaukokäytön ja hajautettujen teollisuusympäristöjen turvaamiseksi. Koska palomuurisääntöjä seurataan jokaisessa kytkimessä, myös verkon ristikkäisliikenne on suojattua. Myös muut turvaominaisuudet ovat huipputasoa. isim hallintatyökalu. SecFlow isim on visuaalinen verkonhallintatyökalu, jolla laitteiden provisiointi, rengasverkkojen konfigurointi ja verkon tilan monitorointi onnistuu kätevästi. isimin avulla voi mm. konfiguoida hälytysten edelleenlähettämisen niin, että tietoliikenneverkon hälytykset näkyvät SCADA-järjestelmän hälytyksinä.
SecFlow 1 SecFlow 1 on SecFlow-tuoteperheen kompaktein tuote, joka kuitenkin sisältää tehokkaan IEC101/104-sovelluspalomuurin. Sen käyttökohteita ovat yksittäisten RTU:den liittäminen verkkoon kuituyhteyden tai mobiiliverkon yli. Konstruktio IEC 61850-3 sertifioinnin mukaisesti immuuni sähkömagneettiselle säteilylle Laaja lämpötila-alue: -40 C +75 C, IP30, ei tuulettimia, 5-95% ilmankosteus, DIN kiskoasennus Monipuoliset liitännät 9-36VDC tai 36-60VDC virransyöttö 2xSIM, UMTS/GPRS (mahdollistaa mobiiliverkon vaihtamisen puhelinverkon häiriötilanteissa) 2xRS-232 tai 1xRS-232 & 1xRS-485 1x10/100TX ethernet Optio: 1x100/1000Mbps SFP Sovelluspalomuuri, GRE VPN, SSH-autentikointi SecFlow 2 SecFlow 2 on sähköasemien ja teollisuuskohteiden monipuolinen integrointialusta. SecFlow 1:n tavoin tuote täyttää kaikki keskeiset korkealaatuisille teollisuuskytkimille asetettavat fyysiset vaatimukset. Liitäntävaihtoehdot Virransyöttö: 9-36VDC, 36-60VDC, 85-135VDC, 170-270VDC, 90-250VAC. Yksi virtalähde jossa kaksi syöttöliitintä. 3G-reititin, jossa 2 SIM-korttipaikkaa ja automaattinen yhteyden vaihto verkkojen välillä SHDSL-modeemi 4 x RS-232 4, 8 tai 16 Fast ethernet (10/100Mbps) kupariporttia 2 Gigabit ethernet SFP porttia 4 PoE/PoE+ porttia (max 30W per portti), Alternative A ja B 2 digitaalista I/O-liitäntää & tunnelointi yhdelle tai useammalle kytkimelle WLAN AP (Hyödyllinen esim. huoltoetäyhteyden muodostusta varten, jolloin tietoliikenneasentajan ei tarvitse mennä laitetilaan) Verkko / Layer 2 ITU-T G.8032 rengastopologia (standardi, <50ms toipumisaika); MSTP, RSTP VLAN, LAG, port queueing, jumbo-kehykset IEEE1588v2 transparent clock Verkko / Layer 3 (erillinen ohjelmistolisenssi) Layer 3 kytkeminen Staattiset reitit OSPF, RIPv2, VRRP reititys NDC Networks Oy Niittymäentie 9, 02200 Espoo
SecFlow 4 SecFlow 4 on runkoverkkokäyttöön tarkoitettu modulaarinen kytkin, jonka tehtävänä on muodostaa verkon selkäranka, sekä toimia mm. sähköasemaympäristössä tiedonsiirron ytimenä. Muide SecFlow-kytkimien tavoin SecFlow 4 tuote täyttää kaikki keskeiset korkealaatuisille teollisuuskytkimille asetettavat fyysiset vaatimukset. SecFlow 2:n ominaisuuksien lisäksi SecFlow 4:n ominaisuuksia ovat mm. VPN-tunneleiden terminointi kaikkia tyypillisimpiä VPN-tunneleita käyttäen. Liitäntävaihtoehdot Virransyöttö: 9-36VDC, 36-60VDC Mahdollisuus kalustaa kahdella virtalähteellä joissa kaksi syöttöliitintä. 7 modulipaikkaa 4 x Gigabit ethernet (10/100/1000Mbps) SFP kuituportti 4 x Gigabit ethernet (10/100/1000Mbps) kupariportti 4 x Gigabit PoE (10/100/1000Mbps) kupariportti, max 30W, Alternative A & B 4 x Fast ethernet (10/100Mbps) kupariportti 4 x Fast PoE (10/100Mbps) kupariportti, max 30W, Alternative A & B 2xRS-232 + 2xRS-485 4xRS-232 Palomuurimoduli
Kaukokäytön tietoturvariskit Riski: vuokrayhteydet, mobiiliverkko Jos viestiverkko muodostaa yhteyksiä julkisen internetin yli (esim. operaattoreiden mobiili- ja DSL-yhteydet), man-inthe-middle hyökkäyksissä väliin pääsevä laite voi lukea ja modifioida sen läpi kulkevaa viestiliikennettä. Riski: Toimistotekniikan tietoturvamalli: Palomuuri erottaa prosessiverkon internetistä. Maantieteellisesti laajalle levittäytyneen verkon turvallisuus on usein vain kulunvalvonnan varassa. Etäiset, miehittämättömät kohteet ovat helppoja murtokohteita, ja tarjoavat helpon tavan päästä suoraan tietoverkkoon käsiksi. Tällöin murtautuja pääsee liittymään verkkoon esim. sarjaliikenneväylän tai ethernetin yli. Riski: Käyttäjien aiheuttamat virheet Huolimattomasti kirjoitettu komentosarja joka on vahingossa ohjattu väärälle ala-asemalle. Kytkimen hallintayhteyden salasanan leviäminen hallitsemattomasti huoltohenkilökunnan kautta Riski: Tahallinen tietoturvahyökkäys Jos huoltohenkilökunnan tietokoneella liitytään verkkoon, tietokoneella mahdollisesti olevat haittaohjelmat voivat saastuttaa verkon komponentteja (vrt. Stuxnet). Hyökkäyksen kohteena voi olla SCADA (esim. Denial of Service -hyökkäys) ja verkon muiden kohteiden (sähköasemat, muuntamot, erotinasemat) monitorointi tai hallinta. SecFlow ratkaisumalli Ratkaisu: Vahva suojaus. Kaikki SecFlow-kytkimet tukevat monipuolisesti VPNtunneleita - esimerkkinä IPSec-suojattu GRE tunnelointi/ VPN, jossa 3DES tai AES kryptaus. GRE-tunnelointi säilyttää mm. VLAN-informaation mobiililinkkien yli (ei tuettu tavallisessa IPSec tunnelissa). Myös muut, tavanomaisemmat VPN-tunnelit tuettuja. Ratkaisu: Hajautettu palomuuri, kryptatut yhteydet, laiteautentikonti, port blocking. Hajautettu palomuuri. SecFlow:n palomuurikytkin asennetaan jokaiseen suojeltavaan kohteeseen ei vain solmukohtiin. Näin verkkosegmenttien sisäinen liikenne voidaan myös turvata. Koska laite sisältää kytkintoiminnallisuden, erillistä palomuurilaitetta ei tarvita. Laiteautentikointi. IEEE802.1x-protokollaan perustuva autentikointimalli, jossa tietoliikennelaitteet autentikoituvat RADIUS-palvelimella. Port blocking. Jos kytkimestä irroitetaan esim RJ45 liitin, portti suljetaan liikenteeltä, ja se pitää avata valvomosta. Ratkaisu: Käyttäjähallinta Käyttäjäoikeuksia voidaan rajoittaa esim. vain paikalliseen kohteeseen, tai esim. niin, että ABB:n huoltohenkilökunta ei voi konfiguroida Siemensin RTU:ta. Käänteinen SSH autentikointi. Jos muuntamolta halutaan huoltoyhteys runkoverkkoon, yhteydenmuodostus aloitetaan runkoverkon puolelta. Näin muuntamon laitetiloihin murtautuminen ei anna pääsyä runkoverkkoon. Lisäksi huoltoyhteydelle voidaan antaa aika- ja toiminnallisuusrajoituksia. Ratkaisu 1: Perinteinen palomuurimalli. Porttipohjainen autentikointiin, IP-osoitteisiin, VLANeihin ja MAC-osoitteisiin perustuva turvamalli. (IP/MAC filtteröinti, RADIUS-autentikointi) Ratkaisu 2: Sovelluspalomuuri. Sovelluspalomuuri IEC101, IEC104, Modbus ja DNP3 protokollille. SecFlow-kytkimet sisältävät rinnakkaisprosessorin, joka lukee jokaisen paketin sisällön: Protokollavalidointi. Tarkistaa paketin rakenteen ja varmistaa, että kaikki kentät täyttävät standardin vaatimukset, ja että edestakainen viestintä täyttää tavallisen yhteyskäytännön periaatteet (esim. Master muodostaa yhteyden; yhteydenmuodostuksen järjestys; annettu vastaus liittyy kysymykseen) Sovelluslogiikka. Jokaista lähettävää ja vastaanottavaa laiteparia varten tarkistetaan, onko laitteiden välinen viestintä sallittua, ja sisältävätkö viestit ei-sallittuja sisältöjä. Mahdollistaa esim. muuntamolta SCADApavelimelle tai toiselle muuntamolle suunnatun kirjoituskomennon estämisen ja raportoinnin valvojalle. Heuristinen tunnistaminen. Laiteparien liikennöinnistä etsitään poikkeavuuksia mm. toistuvat erikoiskomennot (reset, clear history), tavallisen tietoliikennemäärän ylittävä purske, jne.
SecFlow hallintaohjelmisto: isim SecFlow isim on täydellinen verkonhallintaohjelmisto SecFlow kytkinverkon hallintaan. Se toteuttaa tyypilliset verkonhallintaohjelmistojen ominaisuudet sekä useita uniikkeja palomuuri-tyyppisiä ominaisuuksia helppokäyttöisessä käyttöliittymässä. Topologian ja yhteyksien esittäminen graafisesti Verkon hallinta Topologian automaattinen tunnistaminen ja esittäminen graafisesti G.8032-renkaiden konfigurointi; MSTP ja RSTP Liikenteen tilastointi & suorituskykyhistorian visualisointi Service Level Agreement (SLA) verifiointi valituille yhteyksille käyttäen OAM paketteja SNMP northbound/southbound rajapinnat Turvaominaisuudet Laiteparien (tai laiteryhmien) turvamatriisi (ks kuva) jossa jokaisen laitteen välistä liikennöintiä voidaan rajoittaa Perusteellinen loki johon kirjataan hälytykset, sekä analyysityökalut joilla hälytysten alkuperää voidaan tutkia Helppokäyttöinen VPN-tunneleiden muodostaminen Ohjelmistopäivitykset & varmuuskopiot Kytkimien keskitetyt ohjelmistopäivitykset isim-tietokannan säännölliset varmuuskopiot Laiteparimatriisissa määritellään laiteparien välisen liikenteen rajoitukset NDC Networks Oy Niittymäentie 9, 02200 Espoo
RAD DATA COMMUNICATIONS RAD Group on yksityinen Israelilainen telekommunikaatioalan yritysryhmä. Ryhmään kuuluu 10 erillistä tuotekehitystä tekevää yritystä. Näistä suurin on RAD Data Communications, joka toimii samalla muiden 9 yrityksen globaalina jakelukanavana. RAD:n painopistealueita ovat: 1. Operaattori- ja erikoisverkkojen accessratkaisut, joilla erilaiset siirtotiet ja - tekniikat yhdistetään runkoverkon solmuihin. RAD on mm. Carrier Ethernet - ratkaisujen uranuurtaja, ja on viime vuosina kunnostautunut mm. verkkojen yhteyslaadun (SLA) seurannan osaajana. 2. Kaukokäyttöverkkojen tiedonsiirtoratkaisut, jotka esim. sähköverkkoyhtiön tapauksessa kattavat toimisto- ja SCADA-verkon runkoyhteydet, SCADA-verkon yhteydet sähköasemille ja aina esim. mittarikeskittimille asti, sekä erikoisratkaisut laukaisunsiirtoon. NDC Networks on edustanut Suomessa RAD Data Communicationsia - ja sen kautta kaikkia RAD Groupin tuotteita - jo 90-luvun alusta lähtien. NDC NETWORKS NDC Networks toimittaa tietoliikenneverkkoja, joiden toimintavarmuus haastavissa olosuhteissa on elintärkeää. Asiakkaitamme ovat puolustusteollisuus, sähköverkot, vesihuolto, teleoperaattorit ja teollisuusyritykset. Perustamme toimintamme asiakkaan kuuntelemiseen. Osaamisemme kattaa seuraavat osa-alueet: Point-to-point mikroaaltolinkit langattomien ethernet-runkoverkkojen rakentamiseksi 1.35GHz WiMAX-laajakaistaverkot alueille, joissa yhteyksien luotettavuus on kriittistä Mobiili- ja radiomodeemit & kattavat hallintaohjelmistot harvaan asutuille alueille Teollisuustietoliikenteen peruskomponentit: Kytkimet, sarjaliikenne, I/O Sulautettujen järjestelmien ohjelmistokehitys & käyttöliittymät Palvelut: Suunnittelu, koulutus, konfigurointi, käyttöönotto, tuki, vaihtolaitepalvelu Ota yhteyttä! - Niittymäentie 9, 02200 Espoo, NDC Networks Oy Niittymäentie 9, 02200 Espoo