EcoStruxure Panel Server – Guide de cybersécurité PDF
DOCA0211FR-11

Sécurité du réseau

Introduction

Le produit EcoStruxure Panel Server n'est pas conçu pour être directement exposé au réseau Internet public. Il doit être protégé avec la méthode NAT (Network Address Translation) au minimum ou, de préférence, par plusieurs pare-feu. Consultez les sites Web suivants pour en savoir plus :

Segmentation réseau

Le produit EcoStruxure Panel Server est une passerelle. Il crée un pont entre différents réseaux. La segmentation du réseau permet d'assurer la cyberdéfense. Pour améliorer la segmentation du réseau, les produits Panel Server Universal et Advanced disposent de deux ports Ethernet. Ils peuvent être exploités séparément, avec un port dédié aux technologies de l'information (IT) et un port dédié aux technologies opérationnelles (OT). La segmentation du réseau vous permet de maintenir la segmentation des réseaux TO et IT, car les paquets réseau ne sont pas transmis d'un côté à l'autre.

Il est recommandé de configurer le réseau en mode segmenté (pour plus d'informations sur les paramètres réseau, reportez-vous à la documentation DOCA0172•• EcoStruxure Panel Server - Guide utilisateur).

Vous pouvez ainsi connecter le Panel Server à :

  • Des équipements OT en aval via Modbus TCP sur un port Ethernet.

  • Des PC IT en amont avec SCADA et applications logicielles de mise en service sur l'autre port Ethernet.

HTTPS et Modbus sont disponibles sur les interfaces Ethernet de Panel Server (ETH1, ETH2) et le Wi-Fi.

Le tableau suivant présente la configuration par défaut pour chaque interface :

Interface

Modbus

Ethernet en topologie commutée

Activé

Ethernet en topologie séparée

Port ETH1

Activé

Port ETH2

Désactivé

Infrastructure Wi-Fi

Désactivé

Point d'accès WiFi

Non disponible

Il est recommandé de désactiver le service Modbus sur les réseaux où il n'est pas utilisé. Pour plus d’informations sur l’activation des services, consultez la documentation DOCA0172•• EcoStruxure Panel Server - Guide utilisateur.

Certificat de serveur Web du produit

Pour prendre en charge les communications sécurisées HTTPS, l'EcoStruxure Panel Server est équipé d'un certificat X.509v3 par défaut. Ce certificat assure l'intégrité et la confidentialité des communications HTTPS.

Les navigateurs Web reconnaissent seulement les certificats destinés à des sites publics. Comme le Panel Server est installé sur un réseau local (LAN), ils ne peuvent pas faire la distinction entre deux Panel Servers. C'est pourquoi un message de sécurité s'affiche dans le navigateur Web lors de la connexion au Panel Server.

Une connexion câblée directe permet de sécuriser le chemin de communication avec le Panel Server. Pour plus d’informations sur le premier accès aux pages Web d’EcoStruxure Panel Server via un PC, consultez la documentation DOCA0172•• EcoStruxure Panel Server - Guide utilisateur.

Empreinte de la clé du serveur SFTP

Si vous publiez vos données sur un serveur SFTP, assurez-vous que l'empreinte de la clé qui s’affiche lors de la configuration de l'adresse du serveur, correspond à la clé SFTP de votre serveur.

Si vous renouvelez la clé SFTP sur votre serveur, le Panel Server ne pourra plus envoyer les fichiers, car la connexion ne sera pas authentifiée. Vous devrez reconfigurer la publication pour que le Panel Server enregistre la nouvelle empreinte de clé SFTP.

Réseau sans fil

Les protocoles radio sont vulnérables aux attaques physiques. Lors d'une attaque par refus de service, par exemple, le signal radio peut être brouillé grâce à un émetteur puissant situé à proximité.

Par conséquent, il est recommandé d'adapter la sécurité physique du système en fonction du niveau de criticité des informations qui dépendent de protocoles radio. Pour cela, les réseaux sans fil (Wi-Fi et IEEE 802.15.4) peuvent être désactivés de façon permanente dans le Panel Server. Si vous êtes sûr de ne jamais avoir besoin de réseaux sans fil (Wi-Fi et IEEE 802.15.4), et dans ce cas uniquement, vous pouvez les désactiver définitivement. Pour plus d'informations sur la désactivation définitive et simultanée des réseaux sans fil, consultez le document DOCA0172•• EcoStruxure Panel Server - Guide utilisateur.

NOTE: Les modèles Wired by Design (WD) de Panel Server permettent la conformité aux stratégies excluant le sans-fil puisqu'ils ne contiennent pas de chipset sans fil.

Il est recommandé d'effectuer la mise en service des appareils sans fil IEEE 802.15.4 dans un lieu à l'abri d'émetteurs radio suspects, comme une salle d'administrateur.

Pour le réseau Wi-Fi, il est recommandé d'utiliser WPA2 (Wi-Fi Protected Access version 2).

NOTE: Le protocole TKIP (Temporal Key Integrity Protocol) n'est pas pris en charge.

Accès à distance (VPN)

Le Panel Server fournit une fonction d'accès à distance qui permet au Centre de contact client (CCC) de Schneider Electric de se connecter aux pages Web du Panel Server.

L'accès n'est pas activé par défaut et nécessite que le pare-feu active la connexion. Pour plus d'informations, consultez Points de terminaison attendus.

La fonction d'accès à distance s'appuie sur un VPN de couche 3 qui, par conception, ne fournit pas l'accès au réseau mais seulement au Panel Server. En outre, seul le protocole HTTPS est autorisé à être tunnelisé via ce VPN.

Appareils connectés

Il est recommandé de vérifier régulièrement la liste des appareils connectés au réseau IEEE 802.15.4 du Panel Server. Si la liste contient un appareil connecté inconnu, localisez-le et supprimez-le. Vous pouvez aussi recréer le réseau et ne reconnecter que les appareils identifiés.

QR Code is a registered trademark of DENSO WAVE INCORPORATED in Japan and other countries.

Contenu utile ?

Coordonnées
Mentions légales
Privacy Policy
Change your cookie settings