56 / 142
AMNYTT #6
2015
det være vanskelig å skaffe seg tilgang til en SQL
databaseserver sentralt i anlegget, ved kun å
sende Modbus/TCP telegram ut i nettverket. For
å sperre tilgang til sentrale deler av nettverket fra
utestasjoner anbefales det at man etablerer en
stjernetopologi der all trafikk går via en sentral
brannmur. Selv tverrgående trafikk mellom utestasjoner må da gå gjennom dette sentral punktet. Regler i brannmur hindrer oppkoblinger fra
utestasjon, kun utgående forbindelser sentral
blir tillatt. Forbindelsene bør da også være krypterte mellom nettverksutstyret i utestasjon og
sentralen. Dette er naturligvis både kostnad- og
kompetanse drivende. I praksis betyr dette at
man flytter ansvaret for nettverkssikkerheten fra
PLS til nettverks arkitekturen.
Unngå at nettverket gir enkel tilgang
Gateway kan gi vid tilgang
I fravær av autentiseringsmekanismer kan det
hjelpe å begrense tilgang til dataområder i PLS
med såkalte «mapping» funksjoner. En slik løsning vil begrense lesing/skriving mulighetene til
de data man eksplisitt har gitt tilgang til. Det andre
hensynet gjelder tilgang til nettverket som PLSutstyret er koblet til, med det formål å skaffe seg
tilgang videre inn i anlegget. Leverandørspesifikke
protokoller kan ha gateway-funksjoner som gjør
at man kan lage forbindelser mellom forskjellige grensesnitt. Det kan via en slik gateway være
mulig å koble seg til med en seriell kabel og så få
tilgang videre ut i et IP basert nettverk. Man bør
derfor forsikre seg om at disse funksjonene er
slått av, som standard dersom de ikke er absolutt
nødvendige for funksjonen til anlegget.
Tenk arkitektur
En «trøst» er at slike gateway funksjoner kan være
begrenset til visse protokoller. For eksempel kan
Bli ikke paranoid, men vær streng
For å sikre at det virkelig kun er den aktuelle
PLS som er knyttet til nettverksutstyret i utestasjonen kan man koble dette mot både IP og
MAC adresse til PLS. I tillegg er det nødvendig å
sikre at PLSen ikke blir byttet ut med en annen
enhet. Til dette kan man benytte «port monitoring». Uten å gå i detaljer på en slik løsning er
dette en metode for å sikre seg mot frakobling
av utstyr og tilkobling av ikke-godkjent utstyr.
Tilkoblingspunkt vil da låse seg dersom det blir
forsøkt tuklet med. En ulempe er at det kan våre
problematisk å få låst opp fra sentral administrasjon. En del PLS-modeller er utstyrt med mer
enn ett Ethernet Interface. Dette kan være i form
av enkle 2- port swithcer eller flere frittstående
Ethernet Interface. En slik enkel 2 port switch er
bekvemt for koble videre til lokalt utstyr som et
operatørpanel eller service PC. Men i fra et IT
–sikkerhetsståsted kan slike ikke-administrerte
switch punkt være en uønsket risiko. En mulig
konsekvens av dette kan være at man må velge
en PLS type med en og kun en nettverkskontakt. Videre konsekvens av å ikke kunne ha flere