ЖУРНАЛ СТА 4/2011

протоколы TCP и UDP с адресацией по IP v4 и новому формату IP v6. Удалённое управление IOLAN может осуществляться через Web-интерфейс, специальную утилиту Perle Device Ma- nager. Утилита виртуального COM- порта TruePort поддерживает опера- ционные системы Windows, Linux, Unix, Solaris. Ещё два не совсем типичных для Hirschmann устройства появились бла- годаря сотрудничеству с немецкой компанией FMN. Модули FMN alpha DSL WTMHS A/B и FMN alpha UMTS WTM 3 HS обеспечивают удалённый доступ к промышленной сети через технологии ADSL и сетей мобильной связи формата 3G UMTS. Компактные модули предназначены для установки на DIN-рейку и значи- тельно расширяют возможности сети по удалённому мониторингу, управле- нию и считыванию показателей/па- раметров в тех местах, где отсутствуют высокоскоростные и качественные ли- нии связи. Для модуля UMTS достаточ- но находиться в зоне покрытия сети мобильного оператора. Внешний вид модулей показан на рисунке 4. Модуль ADSL поддерживает все стандарты для этой технологии, вклю- чая ADSL2+, ADSL2, ADSL. Скорость скачивания достигает соответственно 24, 12, 8 Мбит/с, скорость передачи – до 1 Мбит/с. Кроме того, существуют версии ADSL over POTS и ADSL over ISDN, каждая для соответствующего типа телефонных станций. Модуль UMTS поддерживает сети 1G, 2G, 3G и 3G+ соответственно тех- нологиям GPRS, EDGE, HSDPA/ HSUPA. Максимальная скорость вхо- дящего трафика – 7,2 Мбит/с, исходя- щего – 1,2 Мбит/с. Кроме того, дан- ный модуль имеет второй выход для антенны GPS – это и определение мес- тоположения, и синхронизация точно- го времени, и виртуальный COM-порт. Модуль имеет два порта Fast Ethernet и предоставляет базовые функции меж- сетевого экрана, маршрутизатора, DHCP-сервера. Поддерживаются ре- жимы доступа PPPoE и OpenVPN. Оба модуля имеют широкий диапа- зон рабочих температур –25…+55°C, исполнение IP40, входное напряжение питания 10–60 В постоянного тока и питание РоЕ. П РОДВИНУТЫЙ БИТ - КОНТРОЛЬ Ещё одна новинка последнего года – дальнейшее развитие серии промыш- ленных межсетевых экранов серии Eag- le. Средства сетевой безопасности Eagle существуют у Hirschmann уже более пяти лет, однако широким спросом не пользуются. Причины, скорее всего, связаны с возможностью их замены коммерческими аналогами известных марок, так как функциональные воз- можности этих межсетевых экранов схо- жи. Различия наблюдались только во внешнем исполнении. С обновлением данной линейки ситуация может измениться благодаря серьёзной адаптации устройств к про- мышленным сетям и протоколам. Но- вая серия, названная EAGLE 20 Tofino, является симбиозом аппаратной плат- формы Hirschmann и программной начинки от эксперта в области кибер- безопасности – компании Byres Secu- rity Inc. Как у любого стационарного межсетевого экрана, у EAGLE 20 Tofino есть список правил для фильтрации входящего и исходящего трафика. К данному устройству предлагаются го- товые шаблоны этих списков правил, учитывающих специфику отдельных серий ПЛК многих известных про- изводителей (Siemens, ABB и пр.), раз- личных выявленных сетевых угроз (на- пример, StuxNet) и более 50 промыш- ленных сетевых протоколов. Физически устройство выполнено в компактном корпусе с креплением на DIN-рейку, имеет 2 порта Fast Ethernet (защищённый и внешний). Программ- ная часть состоит из ПО для централи- зованного управления устройствами Tofino и загружаемых в конкретное уст- ройство программных модулей, каж- дый из которых отвечает за определён- ную функцию. Типовая конфигурация сети показа- на на рисунке 5. На верхнем уровне расположена станция управления, где среди прочего ПО (SCADA и др.) уста- новлено управляющее ПО Tofino, через которое осуществляется управление и мониторинг безопасности для всех аппаратных устройств Tofino в сети. Аппаратные межсетевые экраны отде- ляют промышленные сегменты от об- щей корпоративной сети. На каждом устройстве установлены программные модули. Как минимум, это модуль Tofino™ Firewall, который даёт возмож- ность устанавливать правила, и модуль сетевой безопасности Tofino™ Security Asset Management, позволяющий от- слеживать подключения к сети. Также могут быть полезны модули: ● Modbus TCP Enforcer – глубокий анализ трафика соответствующего протокола; ● OPC Enforcer – анализ трафика при использовании OPC-серверов в SCADA-системе; ● VPN server/client – реализация вир- туальных сетей с шифрованием дан- ных; 14 СТА 4/2011 ОБ ЗОР / П РОМЫШЛ Е ННЫЕ С Е Т И www.cta.ru Рис. 4. ADSL- и UMTS-модемы Hirschmann FMN alpha Рис. 5. Сегментация сети с помощью промышленных межсетевых экранов EAGLE 20 Tofino Промышленная сеть: рабочие станции, ПЛК и пр. Корпоративная сеть Централизованное управление Межсетевые экраны EAGLE 20 Tofino © СТА-ПРЕСС