12 e 13 Aprile 2022, BolognaFiere

Dispositivi di sicurezza con switch integrato

La sicurezza informatica e la sua ottimizzazione sono temi attualmente molto discussi, ma sono pochissime le imprese che effettivamente sanno da quali tipi di minaccia difendersi. Con i suoi nuovi dispositivi di sicurezza “FL mGuard RS2005” e “RS4004”, Phoenix Contact offre una protezione efficace della rete contro diversi tipi di attacchi grazie a funzioni innovative.
Gli impianti attualmente in uso sono composti per lo più da complessi macchinari e sistemi caratterizzati da un grado di automazione elevato che, considerato il progetto del futuro Industry 4.0, crescerà ulteriormente. Soluzioni di questo tipo devono essere dotate di misure di sicurezza informatica in grado di soddisfare sia le esigenze del sistema sia quelle dell’utente, costruendo barriere contro i consueti vettori di attacco. D’altra parte si richiedono impianti di produzione sempre più efficienti poiché i tempi di fermo macchina non solo comportano perdite economiche, ma compromettono i termini di consegna e con ciò la reputazione del produttore. Questo significa che, oltre alle reti di comunicazione di impianti e macchinari sempre connesse, per scongiurare i pericoli devono essere presi in esame anche gli accessi di manutenzione remota e, quindi, reti esterne all’azienda. Negli ultimi anni, il collegamento in rete di macchinari e impianti e la conseguente formazione di sistemi complessivi sono aumentati considerevolmente. Tuttavia, nella progettazione e nella costruzione dei singoli componenti di sistema, i responsabili spesso non hanno preventivato una comunicazione oltre i confini del sistema, trascurando quindi il tema della sicurezza informatica. Gli attacchi subiti in passato hanno però dimostrato che le minacce possono riguardare addirittura protocolli industriali specifici e tecnologie proprietarie.

Figura 1: I nuovi router di sicurezza di Phoenix Contact
Figura 1: I nuovi router di sicurezza di Phoenix Contact

Gestione semplice senza conoscenze IT specifiche

Per poter essere competitive, le imprese sono alla costante ricerca di potenziale di miglioramento. Gli utenti si concentrano su aspetti come i costi, la sicurezza, la larghezza di banda, la disponibilità e la stabilità, ma anche la riduzione della complessità e degli oneri di installazione. Alla luce di queste considerazioni, Phoenix Contact ha ampliato gli affermati Security Appliances FL mGuard con dispositivi con switch integrato. I nuovi componenti consentono di risparmiare spazio sulla guida DIN e semplificano l’installazione. Sono disponibili a scelta con uno switch non gestito con cinque porte o con uno switch gestito con quattro porte e una porta DMZ (Demilitarized Zone). Le schede di memoria SD (Secure Digital) fungono da memorie di configurazione intercambiabili e permettono una facile sostituzione dei dispositivi.
I dispositivi di sicurezza della gamma di base “FL mGuard RS2005”, grazie alla loro funzione e al loro prezzo, sono ideali per semplici applicazioni di routing e/o di manutenzione remota con un massimo di due tunnel VPN (Virtual Private Network), raggiungendo un elevato livello di sicurezza. In caso di necessità, un firewall configurabile dall’utente regola il traffico dati. Le cinque porte Ethernet integrate consentono il collegamento interno del sistema e lo allacciano alla rete di livello superiore attraverso la porta router.

Commutazione circostanziale delle regole firewall

Oltre alle funzioni di routing, i dispositivi di sicurezza FL mGuard RS4004 offrono tutte le funzionalità di un firewall e di una VPN, nonché di una porta DMZ e di uno switch managed con quattro porte. Il firewall del tipo “stateful inspection”, specificatamente configurabile, filtra la comunicazione sulla base di chiare regole in ingresso e in uscita, permettendo quindi solo lo scambio di dati autorizzati dall’utente. Inoltre, gli FL mGuard RS4004 sono dotati di un firewall di tipo “condizionale” che consente la commutazione tra regole firewall predefinite a seconda delle circostanze. Per la prima volta, un firewall può essere commutato tra regole firewall corrispondenti a differenti stati di funzionamento al semplice verificarsi di eventi scatenanti. Ciò potrebbe rendersi necessario per autorizzare o impedire collegamenti specifici durante l’attività produttiva, la manutenzione locale o la manutenzione remota dell’impianto.
A titolo di esempio, l’intero traffico dati in entrata e in uscita dalla rete di livello superiore potrebbe venir bloccato automaticamente all’apertura di un quadro elettrico. In questo modo, il tecnico manutentore operante localmente potrebbe essere isolato dalla rete di livello superiore in modo semplice ed efficace. Supponendo un altro scenario, gli aggiornamenti dei macchinari e degli impianti potrebbero venir autorizzati solo in determinati momenti, ad esempio durante interventi di manutenzione programmati. In tale occasione la persona autorizzata sarebbe in grado di commutare il firewall tramite chiave e quindi accedere al server di aggiornamento. Non sarebbe necessario modificare la configurazione, con risparmio di tempo e di denaro. Inoltre, aumenterebbe il livello di sicurezza perché modifiche spontanee della configurazione sono spesso soggette ad errori.

Figura 2a: Conditional firewall per la commutazione appropriata alla situazione, rappresentato con due diverse impostazioni
Figura 2a: Conditional firewall per la commutazione appropriata alla situazione, rappresentato con due diverse impostazioni
Figura 2b: Conditional firewall per la commutazione appropriata alla situazione, rappresentato con due diverse impostazioni
Figura 2b: Conditional firewall per la commutazione appropriata alla situazione, rappresentato con due diverse impostazioni

Collegamento aggiuntivo di un sistema isolato

La porta DMZ permette di collegare un’ulteriore rete, protetta da firewall verso le altre reti accoppiate alle porte WAN e LAN. La porta DMZ aumenta il livello di sicurezza perché i sistemi collegati tramite essa lavorano praticamente isolati dagli altri sistemi. Pensiamo, ad esempio, ad un server di posta elettronica che deve essere accessibile dal web per poter ricevere la posta e, allo stesso tempo, deve essere accessibile da parte degli utenti interni per la spedizione delle e-mail: questi ultimi devono essere isolati dalla rete internet esterna. La porta DMZ permette di gestire tanto sistemi di archiviazione di dati di produzione quanto specifici accessi di manutenzione remota. Macchinari e impianti possono quindi essere integrati nella rete di livello superiore attraverso la porta WAN per mezzo di funzioni di routing e allo stesso tempo protetti con il firewall. All’occorrenza, la manutenzione remota è implementabile attraverso la porta DMZ. Con il firewall di tipo “condizionale”, l’utente ha la possibilità di attivare delle specifiche impostazioni predefinite per i casi di manutenzione remota.

Figura 3: Porta DMZ per la connessione sicura di sistemi di livello superiore
Figura 3: Porta DMZ per la connessione sicura di sistemi di livello superiore

Monitoraggio dinamico di tutti i sistemi Windows

Nell’era dei virus come Stuxnet, creati per attaccare sistemi di automazione, il monitoraggio dinamico dei sistemi Windows utilizzati negli ambienti produttivi migliora significativamente il livello di sicurezza. Phoenix Contact, con il cosiddetto CIFS (Common Internet File System) Integrity Monitoring (CIM), offre una protezione antivirus adatta ad usi industriali come licenza aggiuntiva per i dispositivi di sicurezza appartenenti alla famigli FL mGuard RS4000. Il CIM funge da sensore antivirus e riconosce, senza necessità di aggiornamento dei modelli di rilevamento di virus, se un sistema Windows, costituito da controllore, interfaccia utente e PC, è stato infettato da un software dannoso.
L’utilizzo parallelo di firewall e CIM permette di ottenere una protezione ottimale per sistemi che finora erano ritenuti non efficacemente proteggibili, tra cui reti:
• utilizzanti un sistema operativo obsoleto;
• con impostazioni software di default certificate dal produttore o da enti ufficiali, che in caso di modifiche perdono l’omologazione;
• non equipaggiabili con un antivirus per questioni legate alla rapidità, in applicazioni industriali dove il tempo è un fattore cruciale;
• per le quali non è possibile aggiornare i modelli di rilevamento di virus, ad esempio in mancanza di connessione internet.

Figura 4: Il principio di CIM (CIFS Integrity Monitoring)
Figura 4: Il principio di CIM (CIFS Integrity Monitoring)

Conclusione

I nuovi dispositivi di sicurezza FL mGuard RS2005 e RS4004 permettono di implementare una soluzione di sicurezza e/o di manutenzione remota sicura, economica ed affidabile. Il concetto di sicurezza a tre livelli con firewall condizionale, DMZ e CIFS Integrity Monitoring (CIM), supportato dai dispositivi della famiglia RS4000, consente la costruzione di nuove architetture di protezione per un funzionamento sicuro di soluzioni di automazione, gestibili anche dall’utente.

Concetto di protezione multilivello contro accessi non autorizzati

La nuova generazione di router di sicurezza senza ventole di Phoenix Contact convince sia in termini di sicurezza affidabile sia di prestazioni. I dispositivi compatti alloggiati in custodia metallica e installabili su guida DIN, sono dotati di uno slot per scheda SD per una facile sostituzione dei dispositivi e di porte per gli ingressi e le uscite. Sulla base del sistema operativo Embedded Linux indurito, la serie RS4004 comprende quattro componenti di sicurezza coordinati tra loro:
• uno stateful inspection firewall bidirezionale con conditional firewall;
• una porta DMZ per un’ulteriore rete isolata;
• un gateway VPN particolarmente sicuro;
• una protezione opzionale da malware grazie al CIFS Integrity Monitoring.

I dispositivi della serie RS2005 sono sviluppati per l’impiego come router VPN industriali direttamente sulla macchina o come componenti di sicurezza centrali in reti ramificate. Offrono fino a due tunnel VPN paralleli, un semplice firewall two-click, uno switch integrato e funzionalità di routing flessibili.

Massimiliano Anticoli
Massimiliano Anticoli

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.