Netzwerksicherheit
Einführung
Der EcoStruxure Panel Server ist nicht für eine direkte Verbindung mit dem öffentlichen Internet ausgelegt. Er muss mindestens hinter der NAT (Network Address Translation: Netzwerkadressübersetzung) oder vorzugsweise hinter mehreren Firewalls installiert werden. Weitere Informationen finden Sie auf den folgenden Webseiten:
Netzwerksegmentierung
Der EcoStruxure Panel Server ist ein Gateway. Er richtet eine Brücke (Bridge) zwischen verschiedenen Netzwerken ein. Die Netzwerksegmentierung trägt zur Gewährleistung der Cybersicherheit bei. Zur Verbesserung der Netzwerksegmentierung verfügen Panel Server Universal und Advanced über zwei Ethernet-Ports. Sie können im getrennten Modus eingesetzt werden, um einen Port speziell für die Informationstechnologie (IT) und einen Port für die Betriebstechnologie (OT) zu nutzen. Die Netzwerksegmentierung ermöglicht eine Abgrenzung der OT- und IT-Netzwerke, da Netzwerkpakete nicht von einer Seite zur anderen übertragen werden.
Es wird empfohlen, das Netzwerk im getrennten Modus zu konfigurieren (weitere Informationen zu den Netzwerkeinstellungen finden Sie in folgendem Handbuch: DOCA0172•• EcoStruxure Panel Server - Benutzerhandbuch).
Auf diese Weise können Sie den Panel Server mit folgenden Komponenten verbinden:
-
Nachgeschalteten OT-Geräten per Modbus TCP über den einen Ethernet-Port
-
Einem vorgeschalteten IT-PC mit SCADA-System und Inbetriebnahmesoftware über den anderen Ethernet-Port
HTTPS und Modbus sind verfügbar auf Panel Server-Ethernet-Schnittstellen (ETH1, ETH2) und Wi-Fi.
In der folgenden Tabelle werden die Standardeinstellungen für jede Schnittstelle aufgeführt:
|
Schnittstelle |
Modbus |
|
|---|---|---|
|
Ethernet in geschalteter Topologie |
Aktiviert |
|
|
Ethernet in getrennter Topologie |
ETH1-Port |
Aktiviert |
|
ETH2-Port |
Deaktiviert |
|
|
Wi-Fi-Infrastruktur |
Deaktiviert |
|
|
Wi-Fi-Zugangspunkt |
Nicht verfügbar |
|
Es wird empfohlen, den Modbus-Dienst in Netzwerken zu deaktivieren, in denen er nicht verwendet wird. Weitere Informationen zur Dienstaktivierung finden Sie in folgendem Handbuch: DOCA0172•• EcoStruxure Panel Server - Benutzerhandbuch.
Webserver-Zertifikat des Produkts
Um eine sichere HTTP-Kommunikation zu unterstützen, ist der EcoStruxure Panel Server standardmäßig mit einem X.509v3-Zertifikat ausgestattet. Mit diesem Zertifikat wird die Integrität und Vertraulichkeit beim Einrichten der HTTPS-Kommunikation sichergestellt.
Webbrowser erkennen nur Zertifikate für öffentliche Websites. Da der Panel Server in einem lokalen Netzwerk (LAN) installiert ist, können Webbrowser einen Panel Server nicht von einem anderen unterscheiden. Daher wird im Webbrowser bei der Verbindungsherstellung zum Panel Server eine Sicherheitsmeldung angezeigt.
Eine direkte Kabelverbindung trägt zur Sicherung des Kommunikationspfads mit dem Panel Server bei. Weitere Informationen zum ersten Zugriff auf die Webseiten des EcoStruxure Panel Server über einen PC finden Sie in folgendem Handbuch: DOCA0172•• EcoStruxure Panel Server - Benutzerhandbuch.
Fingerabdruck des SFTP-Server-Schlüssels
Wenn Sie Ihre Daten auf einem SFTP-Server veröffentlichen, müssen Sie sicherstellen, dass der Fingerabdruck des Schlüssels, der bei der Konfiguration der Serveradresse angezeigt wird, mit dem SFTP-Schlüssel Ihres Servers übereinstimmt.
Wenn Sie den SFTP-Schlüssel auf Ihrem Server erneuern, kann der Panel Server die Dateien nicht mehr senden, da die Verbindung nicht authentifiziert wird. Sie müssen die Veröffentlichung für den Panel Server neu konfigurieren, um den neuen SFTP-Schlüssel-Fingerabdruck aufzuzeichnen.
Wireless-Netzwerk
Funkprotokolle sind anfällig für physische Sicherheitsverletzungen. So kann beispielsweise ein Denial-of-Service-Angriff das Funksignal mit einem leistungsstarken Störsender in der Nähe blockieren.
Es wird daher empfohlen, die physische Sicherheit an die Kritikalität der Informationen anzupassen, die über Funkprotokolle übertragen werden. Zu diesem Zweck können die Wireless-Netzwerke (Wi-Fi und IEEE 802.15.4) im Panel Server dauerhaft deaktiviert werden. Wenn Sie sicher sind, dass Sie nie Wireless-Netzwerke (Wi-Fi und IEEE 802.15.4) benötigen, und nur in diesem Fall, können Sie sie dauerhaft deaktivieren. Weitere Informationen zur permanenten und gleichzeitigen Deaktivierung der Wireless-Netzwerke finden Sie in folgendem Handbuch: DOCA0172•• EcoStruxure Panel Server - Benutzerhandbuch.
Es wird empfohlen, die Inbetriebnahme von Wireless-Geräten gemäß IEEE 802.15.4 an einem Ort durchzuführen, der vor nicht autorisierten Funksendern sicher ist, z. B. in einem Administratorraum.
Für Wi-Fi-Netzwerke wird die Verwendung des Protokolls WPA2 (Wi-Fi Protected Access Version 2) empfohlen.
Fernzugriff (VPN)
Der Panel Server bietet eine Fernzugriffsfunktion, die dem Schneider Electric Customer Care Center (CCC) den Aufbau einer Verbindung zu den Panel Server-Webseiten ermöglicht.
Der Zugriff ist standardmäßig nicht aktiviert und erfordert die Aktivierung der Verbindung durch die Firewall. Weitere Informationen finden Sie unter Erwartete Endpunkte.
Die Fernzugriffsfunktion basiert auf einem VPN der Schicht 3, das standardmäßig keinen Zugriff auf das Netzwerk, sondern nur auf den Panel Server hat. Darüber hinaus ist nur HTTPS für das Tunneling über dieses VPN autorisiert.
Verbundene Geräte
Es wird empfohlen, die Liste der Geräte, die mit dem IEEE 802.15.4-Netzwerk des Panel Server verbunden sind, regelmäßig zu überprüfen. Wenn ein unbekanntes verbundenes Gerät vorhanden ist, suchen und entfernen Sie es. Sie können auch das Netzwerk neu erstellen und nur die identifizierten Geräte erneut verbinden.