Für einige entscheidend wichtige Aufgaben ist es erforderlich, die sichere Datenübertragung von seriellen Geräten über ein Ethernet-Netzwerk zu gewährleisten. Dies gilt beispielsweise für den Bankensektor, den Telekommunikationsbereich, Fernzugriffs- und Steuerungssysteme.
Um diese Aufgaben zu lösen, hat das Unternehmen MOXA eine Serie von NPort 6000 Konvertern von RS-232/422/485 zu Ethernet auf den Markt gebracht.
Das Hauptmerkmal der NPort 6000 Serie ist die Möglichkeit, den Datenverkehr mit dem SSL v2-Verschlüsselungsprotokoll zu verschlüsseln und den Zugriff auf das Gerät selbst zu schützen.
Betriebsmodus des NPort 6000 mit Datenverschlüsselung.
Dieser Artikel beschreibt nur jene Betriebsmodi, die die Datenverschlüsselung unterstützen.
Sicherer Real COM Modus (oder virtueller COM-Port Modus mit Datenverschlüsselung).
Der sichere Real COM Modus gewährleistet den sicheren Datenaustausch zwischen einem PC und einem NPort in einem Ethernet-Netzwerk unter Verwendung des SSL v2-Protokolls. In anderen Aspekten ähnelt die Arbeitsweise dieses Modus der des Real COM Modus.
Ab der Firmware-Version v.1.14 und höher entspricht das Sicherheitsniveau des NPort 6000 den Anforderungen der IEC 62443-4-2, Industriestandard Stufe 2, d.h.: Unterstützung sichererer Verschlüsselungsprotokolle, Zugangskontrolle, fortschrittliche Verschlüsselungskomplexität usw.
Betrachten wir, wie Daten ohne Verschlüsselung übertragen werden:
Ein Hacker kann ein TCP/IP-Paket abfangen und auf die Daten zugreifen.
Sobald die Verschlüsselung aktiviert ist, sind alle Daten verschlüsselt und niemand kann sie mit Netzwerk-Analysetools lesen.
Um die Arbeit zu starten, müssen die Verschlüsselungsunterstützung sowohl in den Treibereinstellungen auf einem PC (Markierung des Kästchens neben "Enable Data Encryption") als auch in den NPort-Einstellungen (Auswahl von "Ja" im Feld "Secure") aktiviert werden.
Der Prozess des Austauschs von Verschlüsselungsschlüsseln ist in der Abbildung dargestellt:
Sicherer TCP Server Modus
Ähnlich wie im sicheren Real COM Modus müssen sowohl die PC-Software als auch die NPort-Software die Verschlüsselung unterstützen. Im sicheren Real COM Modus ist die Verschlüsselungsfunktion bereits im Treiber integriert, während im sicheren TCP Server Modus diese Funktion manuell zur Software hinzugefügt werden muss, die für die Kommunikation mit dem NPort verwendet wird.
In anderen Aspekten ist die Arbeitsweise dieses Modus vollständig identisch mit der des TCP Server Modus.
Es gibt zwei Möglichkeiten, die Verschlüsselungsunterstützungsfunktion zu einem PC hinzuzufügen (in diesem Fall der PC, der als TCP Client verwendet wird)
- Verwenden Sie MOXA SSDK-Beispiele mit Funktionen, die für die NPort-Verbindung angewendet werden sollen.
- Verwenden Sie OpenSSL-Befehle im Code Ihres Programms, um die Kommunikation mit NPort herzustellen.
Der NPort wird ein TCP Server sein, um den sicheren TCP Server Modus zu aktivieren, müssen Sie lediglich die Secure-Funktion in den NPort-Einstellungen aktivieren, speichern und das Gerät neu starten.
Sicherer TCP Client Modus
Es ist eine sichere Version des TCP Client Modus.
Das Konzept ist dem des sicheren TCP Server Modus ähnlich.
Software, die als TCP Server fungiert, muss die Verschlüsselungsfunktionen unterstützen. Es gibt zwei Möglichkeiten, diese zu einem Programm hinzuzufügen:
- Verwenden Sie MOXA SSDK-Beispiele mit Funktionen, die für die NPort-Verbindung angewendet werden sollen.
- Verwenden Sie OpenSSL-Befehle im Code Ihres Programms, um die Kommunikation mit NPort herzustellen.
Der NPort wird ein TCP Client sein, um den sicheren TCP Client Modus zu aktivieren, müssen Sie lediglich die Secure-Funktion in den NPort-Einstellungen aktivieren, speichern und das Gerät neu starten.
Sicherer Pair Connection Modus
Der Modus dient dazu, die Übertragungsdistanz über die serielle Kommunikationsleitung mittels Ethernet zu verlängern. Im sicheren Pair Connection Modus werden die verschlüsselten Daten übertragen.
NPort 6000 Zugangsschutz
Sichere Autorisierung
Um den NPort 6000 vor unbefugtem Zugriff zu schützen, können Sie zusätzlich zu einem Passwort spezielle TACACS+ oder RADIUS-Protokolle verwenden.
Um diese Funktionen zu aktivieren, müssen Sie lediglich die Server-IP-Adresse und das Passwort angeben.
Sie müssen auch die gleichen Benutzerkonten erstellen wie auf dem Server.
Jetzt können Sie den Zugriff auf den NPort 6000 über einen TACACS+ oder RADIUS-Server aktivieren.
Sie können auch den unsicheren Zugriff auf die Konsole deaktivieren.
Beim Festlegen eines Passworts für den NPort 6000 können Sie die Passwortüberprüfung für verschiedene Symbole einstellen und den Schutz gegen das Durchsuchen von Passwörtern aktivieren.
Sichere Überwachung
Die NPort 6000 Serie unterstützt das SNMP-Protokoll, das es Ihnen ermöglicht, die Aktivität der Ausrüstung zu überwachen, sowie die SNMP Trap-Funktion, die Informationen über Ereignisänderungen an den Server sendet. SNMP-Protokolldaten können gemäß DES CBC verschlüsselt werden, das Passwort kann gemäß MD5 oder SHA verschlüsselt werden.
