MOXA EDR – przemysłowy firewall, router i switch w jednym urządzeniu dla maksymalnego bezpieczeństwa sieci

MOXA EDR – wytrzymała konstrukcja i zaawansowane oprogramowanie

Bezpieczeństwo i niezawodność EDR-ów opiera się na nowym, udoskonalonym oprogramowaniu oraz wzmocnionej konstrukcji zapewniającej odporność na:

• zmiany temperatury,
• wysoką wilgotność,
• wstrząsy,
• zabrudzenia.
  
  

Wspomniane oprogramowanie zostało opracowane na podstawie zdobytych doświadczeń, których efektem jest zaimplementowany, przeznaczony dla aplikacji przemysłowych Firewall z wieloma istotnymi funkcjonalnościami, takimi jak:

• NAT,
• VPN,
• DPI,
• zaawansowana polityka DoS,
• oraz z profilaktyką i systemem wykrywania włamań IPS/IDS.
  
  

Opisywany firewall został oparty na MX-ROSv3, czyli systemie operacyjnym MOXA nowej generacji, który wraz z nowoczesnym, wydajnym hardware’em tworzy niezwykle skuteczną zaporę ogniową, zgodną z najwyższymi standardami ochrony i bezpieczeństwa kluczowych systemów przemysłowych.

EDR-y to urządzenia all in one, które realizują jednocześnie funkcję bezpiecznego routera i przełącznika warstwy drugiej (L2). Wpływa to pozytywnie na bezpieczeństwo sieci, zmniejszając przy tym liczbę urządzeń biorących udział w wymianie danych (oraz koszty). Przy okazji znacznie zwiększa też niezawodność oraz obniża podatność tworzonej sieci na potencjalne ataki.

Jak skutecznie zabezpieczyć sieć przemysłową za pomocą firewalla?

Routery MOXA EDR oferują szeroką gamę innowacyjnych funkcji ochronnych. Podstawą zabezpieczeń są firewalle klasy przemysłowej oparte na MX-ROS. Mają one szeroko rozbudowane opcje konfiguracji systemu zabezpieczeń do możliwie wczesnego wykrywania potencjalnych zagrożeń sieci Ethernet i maksymalnego dostosowania się do potrzeb użytkownika. EDR-y oferują możliwość konfiguracji oraz personalizacji ustawień i funkcji NAT-u, VPN-u, DPI, polityki DoS oraz profilaktyki i wykrywania włamań IPS/IDS.

Warto również wspomnieć o zaawansowanych funkcjach analizy protokołów przemysłowych, takich jak: Modbus TCP, MMS, DNP3, IEC-104, Ethernet/IP, Omron FINS, Siemens Step7, EIP.

W zależności od potrzeb użytkownika router może analizować poprawność poszczególnych protokołów, a także sprawdzać protokoły na poziomie ich funkcji (Deep Packet Inspection). Przykładowa konfiguracja DPI przedstawiona poniżej dotyczy konfiguracji DPI dla protokołu Modbus/TCP. Jak deklaruje Moxa, ilość możliwych do badania protokołów zostanie znacząco zwiększona w przyszłych aktualizacjach.

Ze względu na rozbudowane funkcje nowych routerów all-in-one Moxa EDR, ochrona firewall została podzielona na sekcje. Podział ów dotyczy osobnej polityki dla warstwy L2 i warstw L3-L7 modelu ISO/OSI. Takie działanie pozwala na lepsze zabezpieczenie przesyłania danych realizowanych przez zaimplementowany switch (warstwa L2) i router (warstwy L3-7).

Najważniejsze funkcjonalności nowych routerów EDR

• NAT (Network Address Translation)
  Niezwykle istotna technika NAT umożliwia translację adresów IP na granicy sieci LAN i WAN. Taka translacja pomaga ukrywać strukturę wewnętrznej sieci i utrudnia atakującym bezpośredni dostęp do urządzeń wewnętrznych. Działanie NAT-u może zostać skonfigurowane w trybie 1-to-1, N-to-1, PAT oraz w bardziej zawansowanym trybie Advance, gdzie np. można ustawić interfejs przychodzący, typ mapowania, zasięg czy adres docelowy.
• VPN (Virtual Private Network)
  Technologia VPN tworzy bezpieczne połączenie (tzw. tunel) między dwoma punktami w sieci, np. pomiędzy komputerem a odległym serwerem. Dane przesyłane przez VPN są także szyfrowane, co zwiększa ich poufność i bezpieczeństwo. Opisywany VPN może zostać utworzony zarówno dla warstwy L2 (poprzez L2TP) i realizować funkcję L2TP Serwer, jak też dla warstwy trzeciej (L3) za pomocą IPSec.
• IPS/IDS (Intrusion Prevention System/Intrusion Detection System)
  IDS monitoruje ruch sieciowy w poszukiwaniu podejrzanych działań lub znanych wzorców ataków (sygnatur). Jeśli wykryje potencjalny atak, ostrzega administratora. IPS działa podobnie do IDS, ale jest bardziej zaawansowany, ponieważ nie tylko wykrywa ataki, ale także automatycznie podejmuje działania w celu ich zablokowania, np. analizując wybrane przez użytkownika protokoły (w tym protokoły Modbus/TCP, DNP3, MMS IEC-104, EIP, Omron FINS, Siemens Step7) lub blokując niepoprawne pakiety odbierane/wysyłane na dany adres IP znajdujący się w sieci.
• Zaawansowana polityka DoS
  DoS to zestaw działań i strategii mających na celu ochronę systemów przed utratą dostępności usług lub systemów działających w sieci. Polityka DoS może wykrywać próby ataków flood, np. ARP-Flood, ICMP-Flood czy SYN-Flood, lub chronić porty przed próbami badania sieci:
  – Null-Scan
  – Xmas-Scan
  – Nmap-Xmas-Scan
  – Nmap-ID-Scan
  – FIN-Scan
  – SYN/FIN-Scan
  – SYN/RST-Scan
  a także chronić sesje synchronizacji (SYN), wychwytując sesje TCP bez SYN.
• DPI (Deep Packet Inspection)
  Działanie DPI polega na dogłębnym sprawdzaniu pakietów danych przesyłanych do Twojej sieci IP. Deep Packet Inspection umożliwia analizę nie tylko nagłówków pakietów, ale także zawartości danych poszczególnych protokołów i usług przemysłowych (np. funkcje odczytu/zapisu czy stanów). Pozwala to zachować integralność danych oraz wykrywać anomalie i blokować ataki czy niepożądany ruch sieciowy. Zaimplementowana analiza DPI umożliwia sprawdzenie zarówno funkcji i elementów usług sieciowych, jak też protokołów przemysłowych, takich jak np. Modbus/TCP, DNP3, MMS, IEC-104, EIP, Omron FINS czy Step7Comm.

Router czy Switch przemysłowy? Dlaczego MOXA EDR to dwa w jednym?

Rodzina EDR-8000 i 9000 to sprytne połączenie tworzenia podstawowej architektury sieci, realizowanej przez zaimplementowany switch warstwy L2, oraz bardziej zaawansowanego trasowania i kierowania ruchem, realizowanego przez router. Wspomniany switch L2 obsługuje funkcje zarządzania ruchem, takie jak tworzenie VLAN-ów, kierowanie ruchem multicast (IGMP snooping) czy QoS (Quality of Service). Te zaimplementowane usługi pozwalają na zoptymalizowane kierowanie ruchem danych oraz priorytetowy dostęp do niezbędnych zasobów sieciowych kluczowym aplikacjom działającym w sieci. Co więcej, funkcje takie jak Turbo Ring V2 i Turbo Chain zapewniają możliwość utworzenia redundantnego połączenia, co stanowi istotną funkcję w krytycznych środowiskach, gdzie wymagane są: nieprzerwana wymiana danych i działanie sieci.

MOXA EDR-8000 vs. EDR-G9000 – kluczowe różnice

MOXA EDR-8000 i EDR-G9000 to nowoczesna rodzina routerów, która wprowadza szereg ulepszeń. Routery te oferują wyższą wydajność, wsparcie dla nowoczesnych technologii oraz jeszcze bardziej zaawansowane funkcje bezpieczeństwa, a funkcjonalność switcha L2 i wsparcie dla standardów przemysłowych, takich jak np. Modbus TCP, czyni je niezwykle uniwersalnymi.

Choć obie serie routerów MOXA mają wiele wspólnych cech, istnieją między nimi istotne różnice, które zostały zawarte w tabeli 1.

Zastosowanie MOXA EDR

Zdecydowanie tam, gdzie należy zadbać o bezpieczeństwo połączenia z siecią WAN lub inną siecią LAN. Wzmocniona konstrukcja EDR-ów (zwłaszcza w wersjach oznaczonych literką T) i udoskonalony Firewall czynią je doskonałymi zarządcami danych wszędzie tam, gdzie środowiska pracy i przetwarzanie danych wymagają szczególnej ostrożności. EDR-y znajdą swoje zastosowanie w krytycznych rozwiązaniach przemysłowych, przepompowniach wody i gazu, na statkach i w przetwórstwie morskim, w kolejowych szafach sterowniczych czy punktach dostępu sieci sterujących ruchem komunikacyjnym.

EDR-y to sprawdzone rozwiązania, których skuteczność została potwierdzona licznymi normami weryfikującymi ich konstrukcję (IEC 60068-2-6, IEC 60068-2-32 i IEC 60068-2-27) i funkcjonalności nowej zapory ogniowej Firewall (ATEX Class I Division 2, IECEx, IEC 62368-1 i UL 62368-1).

Urządzenia Moxa EDR zostały zweryfikowane pod kątem ich zastosowania w:

• kontroli ruchu drogowego (spełniając NEMA TS2),
• przemyśle morskim (spełniając IEC 60945 DNV),
• przemyśle kolejowym (spełniając EN 50121-4),
• energetyce (spełniając IEC 61850-3 Edition 2.0, IEEE 1613).
  
  

Podsumowanie

Routery MOXA serii EDR-8000 oraz EDR-G9000 oferują zaawansowane możliwości w zakresie ochrony i zarządzania sieciami przemysłowymi, spełniając szereg krytycznych norm. Nowa rodzina routerów (zwłaszcza seria EDR-G9000) wprowadza szereg ulepszeń, które czynią ją idealnym wyborem dla przyszłościowych sieci o krytycznym poziomie bezpieczeństwa. Obie serie dają użytkownikowi zaawansowane funkcje firewall, switcha L2 i wysoką wydajność, co dodatkowo zwiększa ich wszechstronność, gwarantując spokój użytkowania przez długie lata.

Wybór między tymi seriami z pewnością jest ciężki, dlatego jeśli potrzebujesz pomocy i sprawnego doradztwa, serdecznie zapraszamy do kontaktu poprzez mejl moxa@elmark.com.pl lub telefonicznie, na numer +48 22 541 84 78. Jeśli interesują Cię konkretne modele EDR, wejdź na naszą stronę www.elmark.com.pl, by zapoznać się z bieżącą ofertą produktów.

Bartłomiej Soból
Elmark Automatyka S.A.
ul. Bukowińska 22, lokal 1B
02-703 Warszawa
tel. 22 773 79 37
elmark@elmark.com.pl
www.elmark.com.pl