Криптозащита данных с помощью NPort 6000

Для некоторых критически важных задач требуется обеспечить безопасную передачу данных по сети Ethernet от последовательных устройств. Например, для задач банковского сектора, в сфере телекоммуникаций, удаленного доступа и управления.

Специально для таких задач компания MOXA выпустила серию преобразователей RS-232/422/485 в Ethernet NPort 6000.

Главной особенностью серии NPort 6000 является возможность шифровать трафик с помощью протокола шифрования SSL v2, а также защитить доступ к самому устройству

Режимы работы NPort 6000 с шифрованием трафика

В данной статье рассматриваются только те режимы работы, которые поддерживают шифрование данных.

Режим Secure Real COM (или режим виртуального COM-порта с шифрованием данных)

Режим Secure Real COM обеспечивает защищенный обмен данными в Ethernet сети с помощью протокола SSL v2, между ПК и NPort. В остальном работа аналогична режиму Real COM.

Начиная с версии прошивки v.1.14 и выше уровень безопасности, который обеспечивает NPort 6000 соответствует требованиям промышленного стандарта МЭК 62443-4-2 уровень 2, а именно: поддерживаются более безопасные протоколы шифрования, контроль доступа, повысилась сложность шифрования и т.д.

Рассмотрим, как передаются данные без шифрования:

Рисунок 1. Передача данных без шифрования.

Злоумышленник может перехватить TCP/IP пакет и получить доступ к данным.

После включения шифрования все данные зашифрованы, и никто не может их прочитать с помощью программного обеспечения для сетевого анализа.

Рисунок 2. Передача данных в зашифрованном виде.

Для работы требуется включить поддержку шифрования как в настройках драйвера на ПК (просто поставить галочку в поле Enable Data Encryption), так и в настройках NPort (отметив Yes в поле Secure).

Процесс обмена ключами шифрования показан на рисунке:

Рисунок 3. Обмен ключами шифрования.

Режим Secure TCP Server

Также, как и в режиме Secure Real COM шифрование должны поддерживать как программное обеспечение на ПК, так и NPort. Но, если в Secure Real COM функции шифрования уже встроены в драйвер, то в Secure TCP Server нужно добавить эти функции самостоятельно в то ПО, которое используется для связи с NPort.

В остальном режим полностью аналогичен режиму TCP Server.

Есть два способа добавить на ПК поддержку функций шифрования (ПК в данном случае в роли TCP Client)

1. Использовать примеры из MOXA SSDK, где приведены функции, которые нужно использовать для соединения с NPort.
2. Использовать команды OpenSSL в коде вашей программы для установления связи с NPort.

NPort будет TCP Server и для включения режима Secure TCP Server просто включите функцию Secure в настройках NPort, затем сохраните и перезагрузите устройство.

Режим Secure TCP Client

Является защищенной версией обычного режима TCP Client.

Концепция аналогична режиму Secure TCP Server.

ПО являющиеся TCP Server должно поддерживать функции шифрования. Есть два способа добавить их в программу:

1. Использовать примеры из MOXA SSDK, где приведены функции, которые нужно использовать для соединения с NPort.
2. Использовать команды OpenSSL в коде вашей программы для установления связи с NPort.

NPort будет TCP Client и для включения режима Secure TCP Client просто включите функцию Secure в настройках NPort, затем сохраните и перезагрузите устройство.

Режим Secure Pair Connection

Режим парного соединения применяется для увеличения дальности передачи по последовательной линии связи через Ethernet. А в режиме Secure Pair Connection данные передаются в зашифрованном виде.

Защита доступа к самому NPort 6000

Защищенная авторизация

Для защиты NPort 6000 от несанкционированного подключения помимо пароля, можно использовать специальные протоколы TACACS+ или RADIUS.

Для включения этих функций вам нужно указать IP адрес сервера и пароль.

А также создать учетные записи пользователей такие же как на сервере.

Теперь вы можете включить доступ к NPort 6000 через TACACS+ или RADIUS сервер.

Также можно отключить не безопасное подключение к консоли.

При задании пароля для NPort 6000 можно указать проверку пароля на содержание различных символов и включить защиту от перебора пароля.

Защищенный мониторинг

Серия NPort 6000 поддерживает протокол SNMP, что позволяет вести мониторинг активности оборудования, а также функцию SNMP Trap, которая отсылает информацию об изменениях на сервер по событию. Данные по протоколу SNMP можно зашифровать по DES CBC, а пароль по MD5 или SHA.