Wprowadzenie Do roku 2020 w Globalnej Sieci znajdzie się do 50 mld maszyn i urządzeń. Jeśli powiedzielibyśmy, że będzie to 100 mld urządzeń nie znajdzie się wiele osób, które się z nami nie zgodzą. Jest to przytłaczająca liczba. Komunikacja zdalna ma oczywiste zalety technologiczne i ekonomiczne. I już Państwo wiedzą co zamierzam teraz powiedzieć, komunikacja zdalna to również zagrożenia. Jeżeli widzieli Państwo film Terminator 3, gdzie maszyny przejmują kontrolę na Światem i zagrażają ludzkości, mam dobra wiadomość: to się nie wydarzy. Ale maszyny są narażone na ryzyko przejęcia z zewnątrz a to oznacza ryzyko również dla Państwa straty finansowe, utrata reputacji i do pewnego stopnia utrata bezpieczeństwa. Od momentu kiedy wirus Stuxnet zniszczył min. Irańskie wirówki wzbogacania uranu, dla świata automatyki przemysłowej stało się jasne, że komunikacja zdalna musi iść w parze z bezpieczeństwem. Obecnie tylko jeden na czterech administratorów IT odpowiedzialnych za sieć przemysłową jest przekonany co do bezpieczeństwa tych urządzeń podłączonych do sieci Internet. Ta prezentacja jest poświęcona idei, że Państwa firma może w przystępny i pewny sposób zabezpieczyć dostęp do maszyn i chronić przesyłane dane niezależnie od rodzaju sieci Internet dostępnej w dowolnej zdalnej lokalizacji.
Bezpieczeństwo przemysłowych systemów transmisji danych Oprogramowanie i sprzęt wykorzystany do zarządzania oraz monitorowania procesów przemysłowych mają niski poziom zabezpieczeń. Tworzone są wirusy radzące sobie ze specyfikacją protokółów przemysłowych skierowane do zainfekowania sterowników PLC. Konieczne jest zabezpieczenie styku maszyny lub instalacji z siecią publiczną poprzez zastosowanie zapór sieciowych a dla połączeń zdalnych możliwość tworzenia szyfrowanych tuneli VPN. Zapory sieciowe (firewall) są standardem w firmach i są stosowane w celu zwiększenia bezpieczeństwa sieci lokalnej. Działają jak blokady wychodzącego i przychodzącego ruchu sieciowego. Ruch sieciowy przechodzi przez zaporę sieciową, korzystając z numerów identyfikacji usług, czyli portów. Pewne porty muszą być otwarte, aby działał np. program Outlook. Administratorzy sieci zazwyczaj otwierają minimalną liczbę portów sieciowych, dopuszczając ruch sieciowy dla danych wysyłanych i odbieranych przez zaufane aplikacje, jednocześnie blokując pozostały ruch sieciowy. Może się zdarzyć, że w lokalizacji klienta za zaporą sieciową znajduje się system SCADA, maszyna lub kilka maszyn, z którymi jest konieczna bezpośrednia łączność np. poprzez oprogramowanie narzędziowe sterownika PLC, protokół RDP (zdalny pulpit) lub VNC (system przekazywania obrazu wirtualnego). VPN (ang. Virtual Private Network, Wirtualna Sieć Prywatna) tunel, przez który płynie ruch w ramach sieci prywatnej pomiędzy klientami końcowymi za pośrednictwem publicznej sieci (takiej jak Internet) w taki sposób, że węzły tej sieci są przezroczyste dla przesyłanych w ten sposób pakietów danych. W celu zapewnienia większego poziomu bezpieczeństwa dane są szyfrowane. Szyfrowanie (ang. cipher) polega na zabezpieczeniu ruchu w taki sposób aby nie mógł zostać podsłuchany (poufność) ale także aby nie można było dokonać jego modyfikacji czy wręcz wstrzyknięcia obcej transmisji (integralność) Aby uzyskać połączenie zdalne do urządzeń konieczne jest angażowania działu IT klienta w celu: - Otwarcia (przekierowania) portów dla naszych połączeń, - Konfiguracji zapór sieciowych, - Konfiguracji szyfrowanych tuneli VPN, - Uzyskanie dodatkowych statycznych adresów IP od operatorów Internetu
Bezpieczeństwo przemysłowych systemów transmisji danych. Nowe zagrożenia mobilne. Już od kilku lat rośnie liczba incydentów związanych z naruszaniem bezpieczeństwa urządzeń połączonych przez sieć GSM. W 2013 r. około 15 proc. ogólnoświatowego ruchu w Internecie pochodziło właśnie z sieci GSM. Urządzenia podłączone poprzez sieć GSM i aplikacje mobilne są szczególnie atrakcyjne z punktu widzenia cyberprzestępców, bo ich wyposażenie i oprogramowanie daje szerokie możliwości kradzieży danych. Konfiguracja połączeń bezprzewodowych poprzez sieć GSM. Aby zabezpieczyć połączenia zdalne działające w oparciu o publiczną sieć GSM możemy wykupić usługę APN oferowaną przez operatorów sieci lub samodzielnie konfigurować sieć w oparciu o urządzenia wpierające obsługę VPN klient/serwer. W jednym i drugim przypadku gdy konieczna jest komunikacja do zewnętrznej sieci Internet wymagane jest zakupienie kart SIM ze statycznymi adresami IP co jest kosztowne. Karta SIM ze stałym adresem IP, dzięki której urządzenie jest stale widoczne w sieci, a także może komunikować się z innymi sieciami IP. Jeżeli nie zostanie skonfigurowany tunel VPN do komunikacji z urządzeniem przesyłane dane nie są szyfrowane przez co są stosunkowo łatwym celem ataku. Grafiki: T-Mobile, Rackom APN (Access Point Name) to usługa pozwalająca na tworzenie własnej podsieci do transmisji danych, w infrastrukturze operatora sieci GSM. Użytkownik samodzielnie adresuje podsieć, przypisuje prawa dostępu innym użytkownikom, ustala pulę adresów IP etc. Niektóre rozwiązania wymagają jednak dostępu do zewnętrznej sieci Internet, do czego potrzebny jest stały, publiczny adres IP. Usługa taka jest kosztowna, zwłaszcza kiedy wymagana jest duża ilość kart SIM. (źródło: Karcz Polska)
Bezpieczeństwo przemysłowych systemów transmisji danych. Autoryzacja dostępu do urządzeń. Zgodnie z danymi przedstawionymi na konferencji OPC Technology Summit rocznie dochodzi do kilkudziesięciu tysięcy nieautoryzowanych dostępów do systemów kontroli. Jednocześnie, o czym informują przedstawiciele Cisco - od wystąpienia ataku do jego wykrycia mija średnio ponad 400 dni. Kim jesteś? Proces udowodniania kim jesteś (zwany uwierzytelnianiem) jest kluczowym krokiem do ochrony Twoich informacji w Internecie. Jeśli chcesz być pewny, że tylko Ty masz dostęp do swoich prywatnych informacji, potrzebujesz bezpiecznej metody aby potwierdzić kim jesteś - na przykład podczas sprawdzania poczty e-mail, zakupów online czy uzyskując dostęp do swoich kont bankowych. Najbardziej popularną metodą uwierzytelniania jest podanie czegoś co wiesz: hasła. Hasła Najprawdopodobniej używasz haseł prawie codziennie. Hasło służy do udowodnienia, że jesteś tym za kogo się podajesz. Jest to dobry przykład czegoś co wiesz. Niebezpieczeństwem wiążącym się z hasłami jest to, że jeśli ktoś odgadnie lub uzyska dostęp do Twojego hasła, może łatwo podać się za Ciebie i uzyskać dostęp do wszystkich informacji, które są nim zabezpieczone. To dlatego uczy się użytkowników aby dobrze chronili swoje hasła, poprzez stosowanie tzw. silnych haseł, które są trudne do odgadnięcia dla atakujących. Problemem z hasłami jest to, że szybko stają się przestarzałe. Wraz z rozwojem nowych technologii coraz łatwiejsze dla atakujących staje się testowanie popularnych haseł i w rezultacie ich odgadnięcie lub masowe wykradnięcie przy użyciu takich technik jak rejestrowanie naciśnięć klawiszy na klawiaturze użytkownika. Do silnego uwierzytelnienia jest potrzebne prostsze niż zapamiętywanie bardzo skomplikowanych haseł i do tego bardziej bezpieczne rozwiązanie. Coś co wiesz, np. hasło Dwustopniowe uwierzytelnianie + Coś co masz, np. token sprzętowy, certyfikat cyfrowy, telefon komórkowy Firma Semantec oszacowała, że można było uniknąć 80% naruszeń dostępu stosując dwustopniowe uwierzytelnianie. Dwustopniowe uwierzytelnianie Dwustopniowe uwierzytelnianie (czasami też nazywane dwuskładnikowym) jest bardziej bezpiecznym sposobem, aby potwierdzić Twoją tożsamość. Zamiast wymaganego tylko jednego kroku do uwierzytelnienia, takiego jak podanie hasła (czyli czegoś co coś wiesz), wymagane są dwa kroki. Atakujący musi być w posiadaniu obu tych rzeczy aby dostać się do Twoich urządzeń. To właśnie sprawia, że dwuetapowa weryfikacja jest dużo bardziej bezpieczna: składa się z dwóch warstw zabezpieczeń. 80% Źródło: The Sans Institute
Rozwiązania dostępne na rynku Producenci maszyn i integratorzy stosują kilka metod aby skonfigurować i realizować połączenia zdalne. 1. Zrób to sam. Proces sprowadza się do zakupu hardwaru (routery, modemy GSM) dostępnego na rynku i mniej lub bardziej złożonej konfiguracji rozwiązania po dostarczeniu maszyny/instalacji do klienta. W przypadku połączeń przez sieć WAN angażujemy własne zasoby IT aby skonfigurować zakupiony hardware oraz zasoby IT klienta w celu np. uzyskania zgody na przekierowanie portów, konfigurację zapór sieciowych, uzyskanie statycznych adresów IP. W przypadku połączeń przez sieć GSM dodatkowo angażujemy czas w uzyskanie kart SIM ze statycznym adresem IP, ponosimy koszty wykupując prywatny APN od operatora sieci. Samodzielna budowa systemu zdalnego dostępu pochłania czas i jest skomplikowana. 2. Usługi VPN w chmurze. Aby korzystać z usługi kupujemy hardware dedykowanego dostawcy usługi. Rejestrujemy konto użytkownika w chmurze, instalujemy oprogramowanie dostawcy. Konfiguracja połączenia zdalnego do maszyny nie wymaga przekierowania portów, dane przesyłane są przez serwery dostawcy usługi. Wspólną cechą tego rodzaju rozwiązań jest to że, aby korzystać z pełnej funkcjonalności systemu trzeba wykupić płatną licencję, którą trzeba co roku odnawiać. Dodatkowo w przypadku przekroczenia limitu transferu danych w danym miesiącu nalicza są dodatkowe oplaty. Koszty takiego systemu rosną wraz liczbą instalowanych routerów i liczbą użytkowników korzystających z dostępu zdalnego. 3. Połączenia typu PC do PC. Wymaga podłączenia komputera PC do maszyny/instalacji i obecności drugiej osoby w celu zestawienia sesji zdalnej. Połączenie zdalne jest realizowane przez popularne programy typu TeamViewer. W wersji komercyjnej naliczane są opłaty miesięczne. Każda z metod przedstawiona powyżej nie rozwiązuje problemów, takich jak: wyeliminowanie kosztów dodatkowych po urchuchomieniu systemu, szybka i powtarzalna konfiguracja niezależnie od rodzaju łącza Internet.
Rozwiązanie TOSIBOX Rozwiązaniem TOSIBOX składa się z urządzenia TOSIBOX Lock (pełniące funkcję routera), który działa z siecią WAN / Wi-Fi / GSM (3G/4G) oraz TOSIBOX Key (klucza sprzętowego do uwierzytelniania połączeń). Router Tosibox Lock zapewnia dostęp VPN do podłączonych do niego urządzeń IP np. sterowników PLC, paneli HMI, kamer CCTV czy komputerów PC. Routery Tosibox wykorzystują technologię Plug & Go opatentowaną przez firmę Tosibox Oy przez co połączenia VPN do urządzeń za Firewall/NAT zestawiane są automatycznie, nie wymagają otwierania zapór sieciowych i przekierowania portów. Router Tosibox działa ze statycznymi i dynamicznymi adresami IP. TOSIBOX Key (klucz sprzętowy) służy do uwierzytelnienia połączeń. Osoba posiadająca klucz sprzętowy podłączony do komputera z dostępem do Internetu i znająca hasło dostępowe do interfejsu klucza może z dowolnego miejsca na świecie połączyć się tunelem VPN do urządzeń IP podłączonych do routera Tosibox.
Jak to działa? Pierwsze uruchomienie, parowanie urządzeń Tosibox. Parowanie Lock-a z kluczem sprzętowym (10 sekund). Następuje wymiana cyfrowych certyfikatów pomiędzy urządzeniami. Instalacja klucza na dowolnej liczbie komputerów PC. Montaż routera Tosibox, podłączenie maszyny do Internetu. Połączenie tunelem VPN do maszyny.
Prosta rozbudowa systemu: jeden KLUCZ Tosibox może być połączony z dowolną liczbą LOCK-ów Tosibox
Równoczesny dostęp do systemu dla wielu użytkowników
Administracja prawami dostępu użytkowników do poszczególnych elementów systemu z możliwością zdalnego ograniczenia/rozszerzenia praw dostępu
Stałe łącze VPN pomiędzy Lock-em Tosibox Master i Lockami Slave umieszczonymi w różnych lokalizacjach.
Klient Mobilny dla systemu Android oraz ios Aplikacja TOSIBOX Mobile Client pozwala na zdalne połączenia tunelem VPN do urządzeń IP podłączonych do Locka Tosibox ze smartfona lub tabletu. Aplikacja jest szczególnie przydatna do sprawdzania statusu oraz nadzorowania danych procesowych urządzeń lub kamer CCTV. Aplikacja jest nieodpłatna i może być pobrana ze sklepu Google Play lub App Store. Po pobraniu aplikacji Tosibox dokonujemy autoryzacji urządzenia mobilnego (telefon, tablet). Do przeprowadzenia autoryzacji wymagany jest Klucz Tosibox. Każdy sprzętowy klucz Tosibox może przypisać jednego klienta mobilnego. Przeniesienie uprawnień wymaga zeskanowania kodu QR generowanego w interfejsie Klucza Tosibox.
Zdalny dostęp do urządzeń ze smartfona lub tabletu INTERNET
Zdalny dostęp do urządzeń wyposażonych w porty szeregowe Połączenia do urządzeń wyposażonych w protokoły komunikacje: RS-232/422/425, MPI/DP/PPI są możliwe poprzez adaptery portów.
Wartość rozwiązania TOSIBOX Propozycja firmy TOSIBOX Dla firm produkujących maszyny przemysłowe lub wykonujących instalacje automatyki: które chcę zdalnie monitorować/diagnozować maszyny lub systemy SCADA, które chcą skrócić czas uruchomienia i ustandaryzować konfigurację połączeń zdalnych, i które chcą uniknąć dodatkowych kosztów związanych z działaniem systemu zdalnego dostępu po uruchomieniu: TOSIBOX jest rozwianiem, poprzez które można podłączyć niemal każde urządzenie do dowolnej sieci Internet i zabezpieczyć dostęp do tych urządzeń łącząc się do nich szyfrowanym tunelem VPN bez konieczności konfiguracji zapór sieciowych i przekierowania portów. W odróżnieniu od oferty konkurencji TOSIBOX, jest prosty i szybki do konfiguracji i rozbudowy. Tosibox współpracuje z każdym rodzajem połączenia Internet (WAN, Wi-Fi, GSM) a klient nie ponosi żadnych dodatkowych kosztów związanych z korzystaniem z systemu po jego uruchomieniu. Kontrola dostępu do systemu poprzez dwustopniowe uwierzytelnianie. Coś co mamy klucz sprzętowy Tosibox z cyfrowym certyfikatem zapisanym w pamięci kryptoprocesora, Coś co wiemy hasło do interfejsu klucza. + Zabezpieczenie styku sieci LAN z siecią publiczną Internet. Routery Tosibox są wyposażone we własną zaporę sieciową. Pełnią rolę bezpiecznej bramy dającej dostęp tylko do urządzeń z własnej podsieci, stanowią dodatkowe zabezpieczenie wewnątrz sieci przemysłowej przed złośliwym oprogramowaniem, którego celem może być penetracja systemu lub generowanie fałszywych komend dla systemów automatyki.
Wartość rozwiązania TOSIBOX Koszt zakupu urządzeń i licencji,tosibox vs ewon 14 000 zł 12 000 zł Licencja Talk2M PRO, odnawiana co rok. Dostęp dla 3 osób. Koszty za przekraczanie limitu transferu danych i odnawianie licencji 10 000 zł 8 000 zł 6 000 zł 4 000 zł 2 000 zł 0 zł Rok pierwszy Tosibox: 5 routerów, 3 dostepy Rok pierwszy ewon: 5 routerów, 3 dostępy Rok drugi Tosibox: zakup dodatkowch 5 routerów Rok drugi ewon: zakup dodatkowch 5 routerów, odnowienie licencji Klucze Tosibox, zakup jendorazowy. Dostęp dla 3 osób. Routery instalowane w maszynach Porównanie kosztów dostępu zdalnego dla 3 osób, okres 5 lat: Tosibox 2550,00 zł* vs ewon 16250,00 zł* *Tosibox jednorazowy zakup 3 Kluczy Tosibox, *ewon coroczne odnawianie licencji dla 3 osób, Tosibox, brak kosztów po uruchomeniu ewon, koszty rosną wraz z ilocią danych przesyłanych przez system Koszty dostępu zdalnego rozwiązań w chmurze będą rosły wraz z rozbudową systemu, liczba użytkowników i ilością transferowanych danych. Konkurencja oferująca rozwiązania w chmurze obliczeniowej ogranicza transfer danych. Po wykorzystaniu limitu transferu w danym miesiącu konieczne jest dokupienie nowego pakietu. Tosibox nie nalicza żadnych dodatkowych kosztów po uruchomieniu systemu.
Nowe produkty: Tosibox Lock & Key 200
Lock 200 zasilanie PoE PoE input (WAN port) (8-30V DC), zasilanie Lock-a Tosibox przez kabel Ethernet PoE output (LAN3 port 500mA max), Zasilanie urządzenia np. kamera CCTV podłączona do Lock-a poprzez kabel Ethernet PoE input PoE output
Tosibox Lock vs Lock 200 Funkcje Lock Lock 200 Montaż na szynie DIN x x Przepustowość przy połączeniu VPN do 6 mbit/s do15 mbit/s 3G / 4G modem support x x Szyfrowanie danych Liczba klientów równocześnie podłączonych do 1 routera PoE (Zasilanie poprzez kabel Ethernet) Blowish 128bit CBC, AES 128bit CBC, AES 192bit CBC, AES 256 bit CBC Do 10 klientów Blowish 128bit CBC, AES 128bit CBC, AES 192bit CBC, AES 256 bit CBC Do 50 klientów - x Certyfikat CE x x Certyfikat FCC - x Certyfikat UL - x WLAN (klient, punkt dostępu) x - Klient mobilny dla ios x x Klient mobilny dla Android x x
Nagrody i wyróżnienia TOSIBOX - szyfrowany zdalny dostęp do urządzeń automatyki i sieci przemysłowych, zwycięzca w Konkursie Produkt Roku 2014 magazynu Control Engineering w kategoriach: - Komunikacja bezprzewodowa - Aplikacje mobilne