Przemysłowy serwer portów szeregowych 1x RS-232/422/485
Cena od 1 089,00 zł netto
Na zamówienie
Wraz z postępującą cyfryzacją przemysłu oraz integracją systemów automatyki z infrastrukturą IT i chmurą, rośnie znaczenie cyberbezpieczeństwa w komunikacji przemysłowej. W wielu zakładach produkcyjnych nadal funkcjonują urządzenia wykorzystujące komunikację szeregową, takie jak sterowniki PLC, analizatory energii, systemy telemetryczne czy urządzenia pomiarowe. Aby mogły one współpracować z nowoczesnymi systemami SCADA, platformami IoT lub systemami analitycznymi, konieczne jest ich podłączenie do sieci Ethernet. Właśnie w takich zastosowaniach wykorzystywane są serwery portów szeregowych, które pełnią rolę mostu pomiędzy światem komunikacji szeregowej a siecią IP.
Znaczenie tych rozwiązań rośnie również w kontekście międzynarodowych standardów bezpieczeństwa przemysłowego, takich jak IEC 62443, które definiują wymagania dotyczące cyberbezpieczeństwa systemów automatyki i sterowania przemysłowego (IACS). Standard IEC 62443-4-2 określa szczegółowe wymagania techniczne dotyczące bezpieczeństwa komponentów wykorzystywanych w infrastrukturze przemysłowej. Dotyczy to w szczególności urządzeń komunikacyjnych działających na styku systemów OT i IT, takich jak serwery portów szeregowych czy bramy protokołów. Urządzenia te często stanowią most pomiędzy starszym sprzętem przemysłowym a nowoczesną infrastrukturą sieciową, dlatego spełnienie wymagań IEC 62443 pozwala znacząco ograniczyć ryzyko cyberataków na jednym z najbardziej wrażliwych elementów architektury przemysłowej.
Szyfrowanie komunikacji – VCOM over TLS
Jednym z najważniejszych mechanizmów bezpieczeństwa w serii EKI-1500 jest możliwość szyfrowania komunikacji pomiędzy aplikacją a urządzeniem szeregowym. Funkcja ta została zrealizowana w technologii VCOM over TLS. W klasycznym scenariuszu wykorzystania serwerów portów szeregowych komputer komunikuje się z urządzeniem poprzez wirtualny port COM, który jest mapowany na port szeregowy urządzenia w sieci. W standardowej konfiguracji transmisja taka odbywa się bez szyfrowania, co oznacza, że dane mogą zostać przechwycone przez osoby nieuprawnione. Wprowadzenie mechanizmu TLS pozwala na utworzenie bezpiecznego tunelu komunikacyjnego pomiędzy komputerem a urządzeniem EKI. Dane przesyłane przez wirtualny port COM są wówczas szyfrowane i chronione przed podsłuchem oraz manipulacją. Wdrożenie tej funkcji wymaga wygenerowania odpowiednich certyfikatów bezpieczeństwa oraz ich instalacji zarówno po stronie komputera, jak i urządzenia. Certyfikaty mogą być generowane przy pomocy narzędzia konfiguracyjnego Advantech EKI Device Configuration Utility lub przy użyciu standardowych narzędzi kryptograficznych, takich jak OpenSSL. Po skonfigurowaniu certyfikatów komunikacja pomiędzy systemem a urządzeniem odbywa się w pełni szyfrowanym kanale TLS.
Bezpieczna transmisja danych – USDG over TLS
Podobny mechanizm bezpieczeństwa został zastosowany w przypadku trybu komunikacji USDG, czyli UDP Serial Data Gateway. Funkcja USDG over TLS umożliwia zabezpieczenie transmisji danych pomiędzy urządzeniami w trybie gateway poprzez wykorzystanie szyfrowania TLS. W praktyce oznacza to, że nawet jeśli komunikacja odbywa się przez sieć publiczną lub rozległą infrastrukturę sieciową, przesyłane dane pozostają chronione. Podczas zestawiania połączenia wykonywany jest proces TLS handshake, który umożliwia wzajemną weryfikację certyfikatów oraz ustanowienie bezpiecznego kanału transmisji. Po zakończeniu tego procesu komunikacja danych odbywa się w sposób zaszyfrowany i odporny na przechwycenie.
Zaawansowane zarządzanie użytkownikami
Jednym z najważniejszych elementów cyberbezpieczeństwa infrastruktury przemysłowej jest kontrola dostępu do urządzeń i systemów komunikacyjnych. W serii EKI-1500 wprowadzono rozbudowany system zarządzania użytkownikami, który umożliwia definiowanie różnych poziomów uprawnień. W zależności od konfiguracji użytkownik może mieć jedynie możliwość odczytu danych z portu komunikacyjnego lub pełny dostęp umożliwiający zarówno odczyt, jak i zapis danych. Dodatkowo możliwe jest przydzielenie uprawnień konfiguracyjnych pozwalających na zmianę parametrów portu szeregowego, takich jak prędkość transmisji czy tryb pracy interfejsu. W przypadku pełnych uprawnień administracyjnych użytkownik może zarządzać całą konfiguracją urządzenia poprzez interfejs webowy. Warto podkreślić, że dostęp do komunikacji szeregowej w tym modelu realizowany jest poprzez bezpieczne połączenie SSH, co dodatkowo zwiększa poziom ochrony systemu.
Kolejną opcją jest integracja z zewnętrznymi systemami uwierzytelniania, takimi jak LDAP lub RADIUS. Dzięki temu możliwe jest wdrożenie centralnego zarządzania tożsamością użytkowników w środowisku przemysłowym oraz precyzyjne określenie, kto może korzystać z określonych funkcji urządzenia. W przypadku LDAP urządzenie może korzystać z katalogu użytkowników znajdującego się na serwerze katalogowym, identyfikując użytkowników na podstawie odpowiednich atrybutów. Połączenie z serwerem LDAP może być dodatkowo zabezpieczone poprzez wykorzystanie certyfikatów oraz szyfrowania TLS. Z kolei integracja z serwerem RADIUS pozwala na uwierzytelnianie użytkowników na podstawie centralnej bazy danych oraz przypisywanie im odpowiednich grup i poziomów dostępu. Dzięki temu administrator systemu może zarządzać dostępem do wielu urządzeń z jednego miejsca, co znacząco upraszcza administrację systemem oraz poprawia bezpieczeństwo infrastruktury.
Kontrola dostępu na poziomie adresów IP i bezpieczne zarządzanie hasłami
W kontekście bezpieczeństwa systemów przemysłowych szczególnie ważna jest także kontrola komunikacji sieciowej. Funkcja Secure Access IP dostępna w urządzeniach EKI umożliwia zdefiniowanie listy dozwolonych adresów IP, które mogą komunikować się z portami szeregowymi urządzenia. Takie podejście pozwala ograniczyć dostęp do systemu jedynie do autoryzowanych stacji operatorskich lub serwerów SCADA. W praktyce stanowi to dodatkową warstwę ochrony przed nieautoryzowanym dostępem do infrastruktury przemysłowej.
Ważnym elementem bezpieczeństwa jest również zarządzanie hasłami dostępu do urządzenia. W serii EKI-1500 dostępne są dwa mechanizmy uwierzytelniania wykorzystywane podczas zarządzania urządzeniem. Pierwszym z nich jest hasło używane przez narzędzie konfiguracyjne Advantech EKI Device Configuration Utility, które ze względu na ograniczenia protokołu może mieć długość do ośmiu bajtów. Drugim mechanizmem jest rozszerzone hasło interfejsu webowego, które może mieć długość do 128 bajtów i umożliwia stosowanie znacznie silniejszych polityk bezpieczeństwa. Ten drugi mechanizm jest wymagany w przypadku korzystania z funkcji zarządzania użytkownikami oraz integracji z systemami LDAP lub RADIUS.
Automatyczne generowanie certyfikatów
W celu uproszczenia konfiguracji bezpiecznej komunikacji w niektórych wersjach oprogramowania urządzeń dostępna jest funkcja automatycznego generowania certyfikatów. Mechanizm ten pozwala wygenerować certyfikat Root CA oraz certyfikaty klienta i serwera bezpośrednio z poziomu interfejsu webowego urządzenia. Dzięki temu użytkownik nie musi korzystać z zewnętrznych narzędzi kryptograficznych ani samodzielnie generować certyfikatów. Po wygenerowaniu certyfikaty mogą zostać automatycznie przypisane do odpowiednich usług, takich jak HTTPS czy komunikacja TLS. Takie rozwiązanie znacząco upraszcza wdrożenie bezpiecznej komunikacji w środowisku przemysłowym.
Podsumowanie
Podsumowując, nowoczesne serwery portów szeregowych, takie jak Advantech EKI-1500, odgrywają kluczową rolę w bezpiecznej integracji systemów przemysłowych. Wprowadzenie mechanizmów szyfrowania komunikacji, zarządzania użytkownikami, kontroli dostępu do sieci oraz integracji z systemami uwierzytelniania znacząco zwiększa poziom ochrony infrastruktury przemysłowej. W połączeniu z wymaganiami standardów takich jak IEC 62443 oraz regulacjami prawnymi wprowadzanymi przez dyrektywę NIS2 rozwiązania te stanowią fundament budowy nowoczesnych i bezpiecznych systemów przemysłowych, które mogą funkcjonować zarówno w lokalnych sieciach OT, jak i w zintegrowanych środowiskach IT/OT oraz platformach IoT.
