contato@baumier.com.br
| Phone: +55 11 4332 3280 | Fax: +55 11 4332 7640

Contato
1000 characters left
Select

Soluções de Comunicação para Redes Industriais   

09 Outubro 2017

Acesso Remoto SECOMEA – Como a Segurança é Garantida

1. Como a segurança é garantida na Fábrica

Na fábrica, o SiteManager é instalado. O SiteManager obtém um IP address via um servidor DHCP, como um PC. O SiteManager tipicamente utiliza a infraestrutura corporativa existente para acessar a Internet no intuito de estabelecer uma conexão criptografada por AES com um servidor GateManager via portas web padrões (https/443), da mesma forma que um browser web faz. Na instalação, o SiteManager é configurado para se conectar a um específico GateManager (IP ou DNS) e a um domínio específico do cliente no GateManager.

A conexão é baseada em TLS, e protegida contra-ataques “homem-no-meio”, fazendo com que cada GateManager possua um único certificado/chave TLS, ao qual o SiteManagers se associa (conhecido como ToFu “Trust-on-first-use). Para remover a associação entre o SiteManager e o GateManager, você precisa explicitamente reconfigurar as configurações do GateManager no SiteManager. Uma vez que o “homem-no-meio” não pode fazer isso simplesmente interceptando a conexão, ele não pode direcionar a conexão do SiteManager para um outro GateManager mesmo se ele tivesse um.

Numa configuração padrão, o SiteManager está conectado permanentemente e envia dados de “presença” (heartbeats) ao GateManager a cada 10 minutos. Mas acesso remoto do e para o SiteManager pode adicionalmente ser controlado pelo operador ou desligando o SiteManager quando ele não é usado, ou conectando uma chave on/off a uma entrada de sinal do SiteManager, que irá abrir e fechar a conexão com o GateManager.

No SiteManager, você configura os chamados Dispositivos Agentes que permitirão que usuários LinkManager, os quais receberam acesso aos agentes, se conectem com seus clientes LinkManager aos equipamentos representados pelo Dispositivo Agente. O usuário LinkManager não pode redirecionar um agente configurado para outro equipamento a menos que ele tenha recebido acesso para reconfigurar o SiteManager. Se por exemplo, um agente tenha sido definido como “Siemens / Ethernet”, esse agente abrirá apenas as portas relevantes ao equipamento Siemens. Ou se você configurar um PC como agente para um servidor Microsoft, usuários remotos poderão apenas acessar o Remote Desktop daquele servidor, mas nenhum outro serviço rodando no PC poderá ser acessado.

Alguns de nossos clientes avaliam “Segurança e Proteção” no mesmo processo. O SiteManager é preparado para diferentes regulações de proteção relacionadas à comunicação industrial, como a “EN415 Safety of packaging machines”, diretiva que entre outras coisas, requer que fabricantes de máquinas precisam garantir que serviços de acesso remoto às máquinas sejam adequadamente sinalizadas para o operador. Todos os SiteManagers possuem uma saída de sinal que pode ser ligada, por exemplo, à uma luz de alerta, que informará ao operador local que o acesso/manutenção remota está em progresso, e ele precisa ter atenção especial sobre a operação do equipamento.

2. Como a Segurança é garantida na rede Office

O SiteManager contém um firewall stateful inspection entre a porta Uplink que é usada para acesso ao GateManager, e a porta Device que conecta à rede do equipamento industrial. Isso significa que nenhuma comunicação pode ser feita da rede corporativa para a rede do dispositivo e vice-versa. O firewall é configurado simplesmente para bloquear toda a comunicação, exceto os dados autorizados e criptografados entre o SiteManager e o GateManager. Além disso, o SiteManager é baseado num Sistema operacional robusto, prevenindo que pessoas ou programas hostis explorem a conexão. Isso neutraliza tanto as ameaças internas como as externas.

O SiteManager pode ser configurado para conectar ao GateManager via Web Proxy Seguro (incluindo o NTLM) o que permite que os departamentos de TI tenham controle e monitorem seus acessos. O departamento de TI também pode decidir limitar o acesso à Internet baseado no IP Address ou MAC Address dos SiteManagers, ou alternativamente limitar sua conexão a uma outra porta (11444), o que permitirá que o departamento de TI distinga o tráfico Internet gerado pelo SiteManager do dos outros usuários.

Se as políticas corporativas de TI previnem qualquer forma de acesso à Internet via sua rede corporativa, você tem a possibilidade de conectar o Sitemanager via 2G/3G/4G. Mesmo os modelos SiteManager sem modems broadband embutidos podem acessar a Internet, simplesmente inserindo um modem USB no SiteManager. Essa opção também é ideal como uma solução temporária em caso do serviço remoto ter que ser iniciado antes do processo de aprovação de TI ser finalizado.

3. Como a Segurança é garantida no lado do Cliente Remoto

O LinkManager é o software cliente instalado no PC do técnico (que vai acessar remotamente).

O LinkManager se conecta ao GateManager da mesma forma que o SiteManager. O LinkManager lembra o certificado/chave de cada GateManager do qual ele tenha recebido um certificado LinkManager. Assim se um “homem-no-meio” intercepta a conexão, o LinkManager simplesmente não conecta. Combinado com a segurança de três fatores do LinkManager (usando um certificado x509 local com senha e SMS), o LinkManager representa segurança máxima.

Quando se conectando (logging in), o LinkManager irá estabelecer uma conexão criptografada via o adaptador virtual LinkManager no PC. O adaptador é fechado para todo os outros tráfegos não gerados por sua sessão com o GateManager. Quando conectado, o usuário LinkManager verá uma lista de sites e dispositivos que sua conta está permitida de se conectar. Ao se conectar com um dispositivo específico, uma entrada na tabela de roteamento do PC é criada, permitindo acesso ao IP Address e porta específica do dispositivo agente representando o dispositivo. O usuário LinkManager não tem a possibilidade de reconfigurar conexões no LinkManager.

Todas as informações sobre a quem o GateManager pode se conectar e contas são criptografadas no certificado x.509. Assim, o usuário LinkManager não configura nada, mas apenas instala o software LinkManager, instala o certificado x.509 e se loga com a senha associada. Isso também reduz consideravelmente a necessidade de suporte bem como garante que riscos de segurança devido às más configurações são eliminados. De fato, o maior risco é, se o PC com o LinkManager for roubado, e o certificado LinkManager tiver sido criado com uma senha frágil que possa ser facilmente descoberta. Se isso realmente acontecer, a conta LinkManager pode ser fechada por um simples clique do administrador do GateManager.

4. Como a Segurança é garantida no Servidor M2M Central

O Centro da solução é o servidor M2M GateManager que funciona como uma proxy Seguro para as conexões de dados entre o SiteManager e o LinkManager, baseado nas definições de acesso configuradas pelo administrador do GateManager.

O GateManager é o único componente na solução que possui portas expostas à Internet, mas apenas as conexões que possam ser validadas por um certificado x.509 apropriado serão permitidas. O GateManager pode também ser operado com segurança de três fatores pela combinação da senha e certificado com um código PIN único recebido por SMS. O único risco de segurança teórico seria se o “homem-do-meio” pudesse interceptor a chave privada. Assim a conexão TLS não pode ser estabelecida. Uma exploração conhecida do TLS é se iniciar com um certificado/chave e depois do handshake pedir para que a conexão TLS se ressincronize. (enquanto o “homem-do-meio” escuta). Nós eliminamos isso, simplesmente não deixando a possibilidade para que nossa implementação TLS se ressincronize, assim o “homem-do-meio” não pode explorar esse risco TLS.

Se alguém for capaz de obter acesso ao servidor onde o GateManager está sendo executado, ainda assim não será possível se conectar qualquer dos equipamentos gerenciados pelo proxy central, simplesmente porque as conexões não são abertas de forma estática como acontecem com uma solução VPN, mas são abertas apenas na requisição de um usuário LinkManager, e são acessíveis apenas por programas que estejam rodando naquele PLC LinkManager.

Além disso, o administrador GateManager precisa entrar com um browser web usando autenticação de dois fatores, o mesmo sistema conhecido das transações bancárias. As características mais importantes da interface gráfica do portal do administrador do GateManager são a criação das contas de usuário LinkManager, a organização dos SiteManagers e Dispositivos Agentes dentro de domínios lógicos, e garantir acesso  a usuários LinkManagers específicos a esses domínios. Um objetivo chave de design foi fazer isso muito intuitivo, eliminando-se o risco de conceder acesso de forma não intencional. Tudo isso é controlado por processo “drag and drop”, e com clara indicação de quem tem acesso a que.

De forma geral, a solução Secomea atende completamente todos os padrões de segurança estipulados pelo National Institute of Standards and Technology (https://www.nist.gov) para criptografia e negociação de chave. Ela possui segurança “fim a fim” completa, garantindo que ninguém – e nada – possa acessar o equipamento sem permissão.

Mais importante: o GateManager garante que todos os eventos são registrados. Quando um LinkManager estabelece uma conexão com um dado dispositivo, quando a configuração é alterada num SiteManager, quando um SiteManager é reiniciado, quando um firmware é atualizado, quando email ou SMS de alarme é disparado, etc. Todos esses eventos são registrados com time stamp, descrição e o usuário que causou o evento.

NOTA: A Secomea oferece a hospedagem de suas contas nos servidores GateManager da Secomea. Apenas pessoal autorizado da Secomea terá acesso à sua conta, e só acessará sua conta em relação a questões de suporte iniciadas pelo representante autorizado do cliente. Todas as ações realizadas pela Secomea serão registradas no registrador de eventos de sua conta.

Se suas políticas de TI ditam que não é permitido que terceiros acesse seus equipamentos ou se você possui uma política de não ser dependente de um terceiro, você pode decidir hospedar seu próprio GateManager. Um GateManager é fornecido ou como uma imagem virtual pronta para ser instalada num servidor a ESXi, VMWare ou HyperV, ou como um servidor (hardware) stand-alone com um Sistema operacional robusto que elimina a necessidade de se manter seu OS atualizado com patches de segurança. A solução Secomea está completamente alinhada como os critérios da I4.0.