Sécurité du réseau - EcoStruxure Panel Server Cybersecurity Guide

Introduction

EcoStruxure Panel Server n’est pas conçu pour être directement exposé au réseau Internet public. Il doit être protégé avec la méthode NAT (Network Address Translation) au minimum ou, de préférence, par plusieurs pare-feu. Consultez les sites Web suivants pour en savoir plus :

Segmentation réseau

EcoStruxure Panel Server est une passerelle. Il crée un pont entre différents réseaux. La segmentation du réseau permet d’assurer la cyberdéfense. Pour améliorer la segmentation du réseau, Panel Server Universal et Advanced disposent de deux ports Ethernet. Ils peuvent être exploités séparément, avec un port dédié aux technologies de l’information (IT) et un port dédié aux technologies opérationnelles (OT). La segmentation du réseau vous permet de maintenir la segmentation des réseaux OT et IT, car les paquets réseau ne sont pas transmis d’un côté à l’autre.

Il est recommandé de configurer le réseau en mode segmenté (pour plus d’informations sur les paramètres réseau, reportez-vous à DOCA0172•• EcoStruxure Panel Server - Guide utilisateur).

Vous pouvez ainsi connecter Panel Server à :

Des équipements OT en aval via Modbus TCP sur un port Ethernet.
Des PC IT en amont avec SCADA et applications logicielles de mise en service sur l’autre port Ethernet.

HTTPS et Modbus sont disponibles sur les interfaces Ethernet de Panel Server (ETH1, ETH2) et le Wi-Fi.

Le tableau suivant présente la configuration par défaut pour chaque interface :

Interface		Modbus
Ethernet en topologie commutée		Activé
Ethernet en topologie séparée	Port ETH1	Activé
Ethernet en topologie séparée	Port ETH2	Désactivé
Infrastructure Wi-Fi		Désactivé
Point d’accès Wi-Fi		Non disponible

Il est recommandé de désactiver le service Modbus sur les réseaux où il n’est pas utilisé. Pour plus d’informations sur l’activation des services, reportez-vous à DOCA0172•• EcoStruxure Panel Server - Guide utilisateur.

Certificat de serveur Web du produit

Pour prendre en charge les communications sécurisées HTTPS, EcoStruxure Panel Server est équipé d’un certificat X.509v3 par défaut. Ce certificat assure l’intégrité et la confidentialité des communications HTTPS.

Les navigateurs Web reconnaissent seulement les certificats destinés à des sites publics. Comme Panel Server est installé sur un réseau local (LAN), ils ne peuvent pas faire la distinction entre deux Panel Servers. C’est pourquoi un message de sécurité s’affiche dans le navigateur Web lors de la connexion à Panel Server.

Une connexion câblée directe permet de sécuriser le chemin de communication avec Panel Server. Pour plus d’informations sur le premier accès aux pages Web EcoStruxure Panel Server via un PC, reportez-vous à DOCA0172•• EcoStruxure Panel Server - Guide utilisateur.

Empreinte de la clé du serveur SFTP

Si vous publiez vos données sur un serveur SFTP, assurez-vous que l’empreinte de la clé qui s’affiche lors de la configuration de l’adresse du serveur, correspond à la clé SFTP de votre serveur.

Si vous renouvelez la clé SFTP sur votre serveur, Panel Server ne pourra plus envoyer les fichiers, car la connexion ne sera pas authentifiée. Vous devrez reconfigurer la publication pour que Panel Server enregistre la nouvelle empreinte de clé SFTP.

Réseau sans fil

Les protocoles radio sont vulnérables aux attaques physiques. Lors d’une attaque par refus de service, par exemple, le signal radio peut être brouillé grâce à un émetteur puissant situé à proximité.

Par conséquent, il est recommandé d’adapter la sécurité physique du système en fonction du niveau de criticité des informations qui dépendent de protocoles radio. Pour cela, les réseaux sans fil (Wi-Fi et IEEE 802.15.4) peuvent être désactivés de façon permanente dans Panel Server. Si vous êtes sûr de ne jamais avoir besoin de réseaux sans fil (Wi-Fi et IEEE 802.15.4), et dans ce cas uniquement, vous pouvez les désactiver définitivement. Pour plus d’informations sur la désactivation définitive et simultanée des réseaux sans fil, reportez-vous à DOCA0172•• EcoStruxure Panel Server - Guide utilisateur.

NOTE: Les modèles Wired by Design (WD) de Panel Server permettent la conformité aux stratégies excluant le sans-fil puisqu’ils ne contiennent pas de chipset sans fil.

Recommandations :

Utilisez le code d’installation pour détecter les équipements sans fil. Pour plus d’informations, reportez-vous à DOCA0172•• EcoStruxure Panel Server - Guide utilisateur
Procédez à la mise en service d’équipements sans fil IEEE 802.15.4 dans un endroit sécurisé contre les émetteurs radio non fiables, comme une salle d’administrateur.

Pour le réseau Wi-Fi, il est recommandé d’utiliser WPA2 (Wi-Fi Protected Access version 2).

NOTE: Le protocole TKIP (Temporal Key Integrity Protocol) n’est pas pris en charge.

Accès à distance (VPN)

Panel Server fournit une fonction d’accès à distance qui permet au Centre de contact client (CCC) de Schneider Electric de se connecter aux pages Web de Panel Server.

L’accès n’est pas activé par défaut et nécessite que le pare-feu active la connexion. Pour plus d’informations, reportez-vous à Points de terminaison attendus.

La fonction d’accès à distance s’appuie sur un VPN de couche 3 qui, par conception, ne fournit pas l’accès au réseau mais seulement à Panel Server. En outre, seul le protocole HTTPS est autorisé à être tunnellisé via ce VPN.

Équipements connectés

Il est recommandé de vérifier régulièrement la liste des équipements connectés au réseau IEEE 802.15.4 de Panel Server. Si la liste contient un équipement connecté inconnu, localisez-le et supprimez-le. Vous pouvez aussi recréer le réseau et ne reconnecter que les équipements identifiés.