EcoStruxure Panel Server – Manual de cibersegurança PDF
DOCA0211PT-11

Segurança de rede

Introdução

O EcoStruxure Panel Server não foi concebido para resistir à exposição direta à Internet pública. Deve ser instalado pelo menos atrás da Tradução de endereços de rede (NAT) ou, de preferência, atrás de várias firewalls. Para obter mais informações, consulte os seguintes Websites:

Segmentação de rede

O EcoStruxure Panel Server é um gateway. Cria uma ponte entre redes diferentes. A segmentação de rede ajuda a garantir a defesa cibernética. Para melhorar a segmentação da rede, Panel Server Universal e Advanced incluem duas portas Ethernet. Podem ser otimizadas no modo separado para terem uma porta dedicada à tecnologia de informação (TI) e uma porta dedicada à tecnologia operacional (TO). A segmentação de rede permite-lhe manter as redes de TO e TI segmentadas, uma vez que os pacotes de rede não são encaminhados de um lado para o outro.

Recomenda-se que configure a rede no modo separado (para obter mais informações sobre definições de rede, consulte o DOCA0172•• EcoStruxure Panel Server - Manual do utilizador).

Isto permite-lhe ligar o Panel Server a:

  • dispositivos OT a jusante através do TCP Modbus numa porta Ethernet.

  • PC de TI a montante com SCADA e aplicações de software em funcionamento na outra porta Ethernet.

HTTPS e Modbus estão disponíveis em interfaces Ethernet do Panel Server (ETH1, ETH2) e Wi-Fi.

A tabela seguinte apresenta a predefinição para cada interface:

Interface

Modbus

Ethernet em topologia comutada

Ativado

Ethernet em topologia separada

ETH1 porta

Ativada

ETH2 porta

Desativada

Infraestrutura Wi-Fi

Desativada

Ponto de acesso Wi-Fi

Não disponível

Recomenda-se que desative o serviço Modbus em redes onde não seja utilizado. Para obter mais informações sobre a ativação do serviço, consulte DOCA0172•• EcoStruxure Panel Server - Manual do utilizador.

Certificado do servidor Web do produto

Para suportar comunicações seguras HTTP, o EcoStruxure Panel Server está equipado com um certificado X.509v3 por predefinição. Este certificado ajuda a garantir a integridade e a confidencialidade para configurar a comunicação HTTPS.

Os browsers reconhecem apenas certificados para Websites públicos. Uma vez que o Panel Server está instalado numa rede local (LAN), os Web browsers não conseguem distinguir um Panel Server de outro. Por conseguinte, é apresentada uma mensagem de segurança no Web browser quando estabelecer ligação ao Panel Server.

Uma ligação com fios direta ajuda a proteger o caminho de comunicação com o Panel Server. Para obter mais informações sobre o primeiro acesso a páginas Web do EcoStruxure Panel Server através do PC, consulte DOCA0172•• EcoStruxure Panel Server - Manual do utilizador.

Impressão digital por chave do servidor SFTP

Se publicar os dados num servidor SFTP, certifique-se de que a impressão digital chave, apresentada quando configura o endereço do servidor, corresponde à chave SFTP do servidor.

Se renovar a chave SFTP no servidor, o Panel Server não vai poder enviar os ficheiros, porque a ligação não será autenticada. Deve reconfigurar a publicação para que o Panel Server grave a nossa impressão digital da chave SFTP.

Rede sem fios

Os protocolos de rádio são vulneráveis a violações de segurança física. Por exemplo, um ataque de recusa de serviço pode bloquear o sinal de rádio através de um potente emissor de rádio localizado nas proximidades.

Por conseguinte, recomenda-se que adapte a sua segurança física ao nível crítico das informações que dependem de protocolos de rádio. Para este efeito, as redes sem fios (Wi-Fi e IEEE 802.15.4) podem ser desativadas permanentemente no Panel Server. Se estiver confiante de que nunca vai necessitar de redes sem fios (Wi-Fi e IEEE 802.15.4), e apenas neste caso, pode desativá-las de maneira permanente. Para obter mais informações sobre a desativação permanente e simultânea das redes sem fios, consulte DOCA0172•• EcoStruxure Panel Server - Manual do utilizador.

NOTA: Os modelos Wired by Design (WD) do Panel Server permitem-lhe cumprir as políticas sem fios, uma vez que não contêm chipset sem fios.

Recomenda-se que comece com dispositivos sem fios IEEE 802.15.4 num local seguro de transmissores de rádio não autorizados, como uma sala de administrador.

Para a rede Wi-Fi, recomenda-se a utilização do protocolo WPA2 (Wi-Fi Protected Access, versão 2).

NOTA: O protocolo TKIP (Temporal Key Integrity Protocol) não é suportado.

Acesso remoto (VPN)

O Panel Server fornece uma funcionalidade de acesso remoto que permite ao Centro de apoio ao cliente (CCC) do Schneider Electric para ligação a páginas Web do Panel Server.

O acesso não está ativado por predefinição e requer que a firewall ative a ligação. Para obter mais informações, consulte Pontos finais esperados.

A funcionalidade de acesso remoto depende de uma VPN de 3 camadas que, por conceção, não fornece acesso à rede, mas apenas ao Panel Server. Além disso, apenas HTTPS tem autorização para ligação através desta VPN.

Dispositivos ligados

Recomenda-se que verifique regularmente a lista de dispositivos ligados à rede IEEE 802.15.4 do Panel Server. No caso de um dispositivo ligado desconhecido, localize-o e remova-o. Pode também reconstruir a rede e voltar a ligar apenas os dispositivos identificados.

QR Code is a registered trademark of DENSO WAVE INCORPORATED in Japan and other countries.

Isto foi útil?

Informações de contato
Informações legais
Privacy Policy
Change your cookie settings