Для некоторых критически важных задач требуется обеспечить безопасную передачу данных по сети Ethernet от последовательных устройств. Например, для задач банковского сектора, в сфере телекоммуникаций, удаленного доступа и управления.
Специально для таких задач компания MOXA выпустила серию преобразователей RS-232/422/485 в Ethernet NPort 6000.
Главной особенностью серии NPort 6000 является возможность шифровать трафик с помощью протокола шифрования SSL v2, а также защитить доступ к самому устройству.
Режимы работы NPort 6000 с шифрованием трафика
В данной статье рассматриваются только те режимы работы, которые поддерживают шифрование данных.
Режим Secure Real COM (или режим виртуального COM-порта с шифрованием данных)
Режим Secure Real COM обеспечивает защищенный обмен данными в Ethernet сети с помощью протокола SSL v2, между ПК и NPort. В остальном работа аналогична режиму Real COM.
Читайте также: Цикл обучающих статей по NPort
Начиная с версии прошивки v.1.14 и выше уровень безопасности, который обеспечивает NPort 6000 соответствует требованиям промышленного стандарта МЭК 62443-4-2 уровень 2, а именно: поддерживаются более безопасные протоколы шифрования, контроль доступа, повысилась сложность шифрования и т.д.
Рассмотрим, как передаются данные без шифрования:
Рисунок 1. Передача данных без шифрования.
Злоумышленник может перехватить TCP/IP пакет и получить доступ к данным.
После включения шифрования все данные зашифрованы, и никто не может их прочитать с помощью программного обеспечения для сетевого анализа.
Рисунок 2. Передача данных в зашифрованном виде.
Для работы требуется включить поддержку шифрования как в настройках драйвера на ПК (просто поставить галочку в поле Enable Data Encryption), так и в настройках NPort (отметив Yes в поле Secure).
Процесс обмена ключами шифрования показан на рисунке:
Рисунок 3. Обмен ключами шифрования.
Режим Secure TCP Server
Также, как и в режиме Secure Real COM шифрование должны поддерживать как программное обеспечение на ПК, так и NPort. Но, если в Secure Real COM функции шифрования уже встроены в драйвер, то в Secure TCP Server нужно добавить эти функции самостоятельно в то ПО, которое используется для связи с NPort.
В остальном режим полностью аналогичен режиму TCP Server.
Читайте также: Подробнее о режиме TCP Server
Есть два способа добавить на ПК поддержку функций шифрования (ПК в данном случае в роли TCP Client)
- Использовать примеры из MOXA SSDK, где приведены функции, которые нужно использовать для соединения с NPort.
- Использовать команды OpenSSL в коде вашей программы для установления связи с NPort.
NPort будет TCP Server и для включения режима Secure TCP Server просто включите функцию Secure в настройках NPort, затем сохраните и перезагрузите устройство.
Режим Secure TCP Client
Является защищенной версией обычного режима TCP Client.
Читайте также: Подробнее о режиме TCP Client
Концепция аналогична режиму Secure TCP Server.
ПО являющиеся TCP Server должно поддерживать функции шифрования. Есть два способа добавить их в программу:
- Использовать примеры из MOXA SSDK, где приведены функции, которые нужно использовать для соединения с NPort.
- Использовать команды OpenSSL в коде вашей программы для установления связи с NPort.
NPort будет TCP Client и для включения режима Secure TCP Client просто включите функцию Secure в настройках NPort, затем сохраните и перезагрузите устройство.
Режим Secure Pair Connection
Режим парного соединения применяется для увеличения дальности передачи по последовательной линии связи через Ethernet. А в режиме Secure Pair Connection данные передаются в зашифрованном виде.
Читайте также: Как работает Pair Connection
Защита доступа к самому NPort 6000
Защищенная авторизация
Для защиты NPort 6000 от несанкционированного подключения помимо пароля, можно использовать специальные протоколы TACACS+ или RADIUS.
Для включения этих функций вам нужно указать IP адрес сервера и пароль.
А также создать учетные записи пользователей такие же как на сервере.
Теперь вы можете включить доступ к NPort 6000 через TACACS+ или RADIUS сервер.
Также можно отключить не безопасное подключение к консоли.
При задании пароля для NPort 6000 можно указать проверку пароля на содержание различных символов и включить защиту от перебора пароля.
Защищенный мониторинг
Серия NPort 6000 поддерживает протокол SNMP, что позволяет вести мониторинг активности оборудования, а также функцию SNMP Trap, которая отсылает информацию об изменениях на сервер по событию. Данные по протоколу SNMP можно зашифровать по DES CBC, а пароль по MD5 или SHA.