NPort 6000-G2 – nowa seria cyberbezpiecznych serwerów portów szeregowych

Nowa generacja serwerów portów szeregowych Moxa NPort 6000-G2 to odpowiedź na rosnące wymagania w zakresie bezpieczeństwa i niezawodności komunikacji przemysłowej. Urządzenia te, zaprojektowane zgodnie z normami IEC 62443-4-1 i 62443-4-2, umożliwiają bezpieczne łączenie starszych systemów szeregowych z nowoczesnymi sieciami Ethernet. Dzięki wieloletniemu doświadczeniu Moxa w obszarze łączności szeregowej, seria NPort 6000-G2 oferuje nie tylko zaawansowane mechanizmy szyfrowania danych, ale również prostą instalację i wygodne narzędzia diagnostyczne.

W przypadku sieci przemysłowych w kwestiach kompleksowego podejścia do cyberbezpieczeństwa z pewnością wyróżnia się firma Moxa. W 2018 Moxa uzyskała jako producent certyfikat IEC 62443-4-1, a w 2020 jako pierwsza firma na świecie wprowadziła do oferty przemysłowe switche z certyfikatem IEC 62443-4-2. Od tej pory konsekwentnie rozwija portfolio cyberbezpiecznych produktów. W ofercie są już routery, komputery ARM, punkty dostępowe WiFi. Na początku 2025 Moxa wprowadziła do swojej oferty serwery portów szeregowych z serii NPort 6000-G2, które są zgodne z IEC-62443-4-2. 

Podstawowe informacje

Na początek w ramach nowej serii serwerów portów szeregowych Moxa wprowadziła do oferty model 1-portowy (NPort 6150-G2) oraz 2-portowy (NPort 6250-G2). Docelowo w ramach nowej serii dostępne będą również modele 4, 8, 16 i 32-portowe. Oba modele dostępne są w dwóch wersjach temperaturowych. Standardowa temperatura pracy to -10 do 60°C; modele przeznaczone do pracy w rozszerzonym zakresie temperatur (oznaczenie „-T”) mogą pracować w bardzo szerokim zakresie – od -40 do +75°C. Omawiane modele przystosowane są do montażu na szynie DIN – przy czym montaż możliwy jest w dwóch płaszczyznach. W zależności od wybranego sposobu montażu, urządzenie może zajmować 93mm (do tego sposoby montażu konieczne potrzebny jest opcjonalny zestaw montażowy – DK35A) lub zaledwie 32mm (potrzebny jest uchwyt DK-115-01) na szynie DIN. Warto zwrócić uwagę na charakterystyczny wygląd diod LED, które zainstalowano na ściętej krawędzi w taki sposób, że są doskonale widoczne bez względu na to w jakiej płaszczyźnie zamontowano urządzenie.  Urządzenie jest zasilane napięciem 12-48VDC, do podłączenia zasilania wykorzystywane jest przykręcane złącze typu jack (w modelach pracujących w standardowym zakresie temperatur w komplecie dostępny jest zasilacz wtyczkowy). Do podłączenia sygnałów szeregowych zastosowano złącza DB9 męskie (w przypadku podłączania interfejsu RS-485 warto zastosować opcjonalną przejściówkę mini-DB9F-to-TB umożliwiającą podłączenie gołych przewodów).  

Cyberbezpieczeństwo

Kwestia cyberbezpieczeństwa w serii NPort 6000-G2 została potraktowana priorytetowo i była głównym powodem, dla którego powstała ta seria produktów. Zadbano o to, żeby serwery portów szeregowych były zabezpieczone przed atakami hakerskimi - postawiono na zgodność z normą IEC 62443-4-2 (certyfikat Q4 2025). W praktyce oznacza to, że urządzenie wyposażono w szereg funkcjonalności (wymienione poniżej), które, co warto podkreślić, po odpowiednim skonfigurowaniu, zapewniają ochronę przed celowymi atakami. 
W konfiguracji zabezpieczeń w zgodzie z IEC 62443-4-2 można wykorzystać bezpłatne oprogramowanie MXConfig CS (funkcjonalność Security Wizard), natomiast do weryfikacji zgodności konfiguracji urządzeń Moxa z IEC 62443-4-2 można wykorzystać oprogramowanie MxView One (oprogramowanie licencjonowane, funkcjonalność Security View).  

Drugim istotnym obszarem cyberbezpieczeństwa jest możliwość szyfrowanie transmisji w wartswie Ethernet. W porównaniu do serii NPort 6000 poprzedniej generacji wprowadzono możliwość uwierzetelniania uczestników komunikacji (NPort 6000-G2 oraz aplikacja na kompuerze PC) za pomocą certyfikatu oraz wsparcie dla silniejszych algorytmów szyfrowania.

a)     Główne Wymagania Techniczne dla IEC 62443-4-2 (Security Level 2)

Norma IEC 62443 określa funkcje bezpieczeństwa dla każdego z 4 poziomów bezpieczeństwa (Security Level 1-4).
Poziom bezpieczeństwa urządzenia pozwala użytkownikom zrozumieć jego minimalne możliwości. Możliwości w zakresie bezpieczeństwa można podzielić na siedem podstawowych wymagań (Foundational Requirements). Każde z podstawowych wymagań określa wiele szczegółowych wymagań dotyczące komponentów.

Serwery portów szeregowych z serii NPort 6000-G2 posiadają certyfikat IEC 62443-4-2 Security Level 2 (SL2) co oznacza, że muszą spełniać rygorystyczne wymagania techniczne dotyczące komponentów systemów automatyki przemysłowej i sterowania (IACS). Poziom SL2 oznacza, że komponent (w tym przypadku serwer portów szeregowych) jest zaprojektowany, aby zapewnić ochronę przed celowymi atakami.

Wymagania dla SL2 rozszerzają podstawowe mechanizmy bezpieczeństwa SL1, wprowadzając dodatkowe, bardziej zaawansowane funkcjonalności. W kluczowych obszarach urządzenie musi spełniać m.in.:

1. Identyfikacja i Kontrola Autentyczności (FR1)
    • Wymagany jest unikalny identyfikator i uwierzytelnianie dla każdego użytkownika, który wchodzi w interakcję z komponentem.
    • Wzmocnione wymagania dotyczące minimalnej złożoności hasła 
    • Obowiązkowa blokada konta po określonej licznie nieudanych prób logowania.
2. Kontrola Użytkowania (FR2)
    • Komponent musi wspierać rozdzielenie obowiązków (Segregation of Duties) i realizować zasadę najniższych uprawnień (Least Privilege) poprzez przypisywanie uprawnień na podstawie unikalnej tożsamości użytkownika.
    • Bardziej szczegółowa kontrola dostępu do funkcji komponentu.
3. Integralność Systemu (FR3)
    • Zapewnienie większej pewności, że kod w trakcie wykonywania, w tym aktualizacje i ulepszenia, pochodzi z zaufanego źródła i nie został naruszony (tampered).
    • Zaimplementowanie mechanizmów takich jak bezpieczny rozruch (Secure Boot), aby zagwarantować, że uruchamia się wyłącznie autoryzowane oprogramowanie układowe.
4. Poufność Danych (FR4)
    • Wymagania dotyczące szyfrowania na kanałach komunikacyjnych (np. wyłącznie HTTPS dla zarządzania przez konsolę Web, a nie HTTP).
    • Obsługa tylko silnych algorytmów kryptograficznych.
5. Ograniczony Przepływ Danych (FR5)
    • Wsparcie dla segmentacji i izolacji ruchu sieciowego (np. zaawansowana dynamiczna filtracja ruchu) poprzez wdrożenie zasad Defense-in-Depth na poziomie komponentu.
6. Terminowa Reakcja na Wydarzenia (FR6)
    • Wzmocnione mechanizmy audytu logów, w tym obowiązkowy trwały syslog (w przeciwieństwie do opcjonalnego w SL1).
    • Możliwość automatycznego wykrywania prób włamań i powiadamiania o incydentach (np. zaawansowane środowisko wykrywania włamań – AIDE).
    • Wsparcie dla bezpiecznych aktualizacji oprogramowania (Patch Management), realizowanego w bezpiecznym procesie (zgodnym z IEC 62443-4-1).
7. Dostępność Zasobów (FR7)
    • Wymagania dotyczące ochrony interfejsów testowych przed wykorzystaniem jako potencjalnych wektorów ataku.

Podsumowując, certyfikat SL2 nałożony na komponent zgodnie z normą IEC 62443-4-2 oznacza, że urządzenie posiada zaawansowane, techniczne środki zaradcze, które są w stanie udaremnić typowe, celowe ataki i jest rekomendowany dla infrastruktury, gdzie konieczna jest ochrona przed takimi zdarzeniami.

 

b)      Szyfrowanie danych w warstwie Ethernet

Urządzenia szeregowe w tradycyjnym środowisku są uważane za względnie bezpieczne, ponieważ ich komunikacja na magistrali szeregowej jest krótka i trudna do przechwycenia (często w chronionych środowiskach przemysłowych). Jednak użycie serwera urządzeń, takiego jak NPort, do przesłania danych do sieci Ethernet radykalnie zmienia sytuację, ponieważ sieć Ethernet jest znacznie bardziej narażona na zagrożenia cybernetyczne. Serwer NPort 6000-G2 umożliwia szyfrowanie komunikacji w sieci Ethernet.

Konfiguracja szyfrowania
Aby skonfigurować szyfrowane połączenie, należy:
    1. Przejść do ustawień portu szeregowego w konsoli internetowej (Web Console): Serial Port Settings > Secure Connection
    2. Wybrać opcję TCP Connection Type dla każdego portu szeregowego.
    3. Dostępne są trzy opcje:
        ○ Unencrypted connection (Połączenie nieszyfrowane): Dane przesyłane przez Ethernet nie są szyfrowane (jest to wartość domyślna).
        ○ Encrypted connection (Połączenie szyfrowane): Dane przesyłane przez Ethernet są szyfrowane
        ○ Encrypted and authenticated connection: Dane przesyłane przez Ethernet są szyfrowane, uwierzetelnianie uczestników komunikacji za pomocą certyfikatu

Szyfrowane tryby pracy i algorytmy szyfrowania:

    • Tryby pracy z opcją szyfrowania transmisji: Secure Real COM, Secure TCP Server, Secure TCP Client, Secure Pair Connection, Reverse SSH.
    • Algorytmy szyfrowania: Urządzenie wspiera silne algorytmy kryptograficzne, takie jak: AES-128, AES-256, ECC-256, ECC-384, ECC-521, HMAC, RSA-1024, RSA-2048, RSA-3072, RSA-4096, SHA-256, SHA-384.

Wybór opcji Encrypted connection zapewnia, że dane szeregowe są bezpiecznie transmitowane przez sieć, co jest niezbędne w aplikacjach krytycznych dla bezpieczeństwa, takich jak bankowość, kontrola dostępu czy zarządzanie zdalne.

Nowoczesny interfejs www

Pozytywnym zaskoczeniem dla dotychczasowych użytkowników może okazać się konsola www. Została ona zaprojektowana od nowa. Interfejs jest wizualnie bardziej estetyczny ale przede wszystkim zadbano o prostotę użytkowania i intuicyjną obsługę. Dużym ułatwieniem jest fakt, że wprowadzane zmiany są aktywne natychmiast po ich zapisaniu. Nie trzeba restartować urządzenia jak w dotychczasowych modelach serwerów portów szeregowych. 

Kolejnym isotnym udogodnieniem jest dużo łatwiejsza konfiguracja trybów pracy. Cały proces został podzielony na cztery kroki. W pierwszym kroku wybieramy rodzaj aplikacji oraz konkretny tryb pracy. Każdy tryb pracy zilustrowany jest schematem blokowym, co znacznie ułatwia wybór. W kolejnym kroku należy wybrać podstawowe ustawienia dla wybranego trybu pracy. W trzecim kroku podejemy ustawienia opcjonalne. W dotychczasowych modelach NPortów wszystkie ustawienia związane z trybem pracy były dostępne w jednej zakładce. Mniej doświadczeni użytkownicy często nie widzieli, które parametry powinni skonfigurować, a które są opcjonalne. 

Moxa poprawił również możliwości diagnostyczne. Już po zalogowaniu użytkownik widzi dahsboard na którym zgromadzone są wszystkie najważniejsze informacje podsumowujące stan pracy urządzenia. Znajdziemy tutaj informacje na temat stanu pracy samego urządzenia (model, wersja firmwre, numer seryjny itp), wykorzystanie zasobów systemowych (pamięć, CPU), czas pracy, ostatnie wpisy z logu urządzenia oraz podsumowanie dotyczące pracy poszczególnych portów szeregowych. Znacznie bardziej rozbudowane są również możliwości związane z logowaniem zdarzeń dotyczących pracy urządzenia. Użytkownik może wybrać, które zdarzenia mają być logowane i w jaki sposób. Do wyboru jest kilkadziesiąt różnych zdarzeń podzialonych na 6 grup: System, Network, Security, Maintenance oraz Serial . Logi mogą być zbierane w wewnętrznej pamięci urządzenia lub na maksymalnie dwóch serwerach SYSLOG.

Najważniejsze cechy nowego interfejsu www:

• konieczność utworzenia użytkownika i hasła - zgodnie z IEC 62443-4-2 nie ma domyślnych parametrów logowania, użytkownik tworzy konto w czasie pierwszego uruchomienia
• możliwość importu konfiguracji z urządzeń ze starszej serii NPort 6000
• przejrzysty Dashboard podsumowujący pracę urządzenia
• łatwiejsza konfiguracja trybów pracy - schematy blokowe ułatwiające wybór odpowiedniego trybu pracy
• intuicyjne zarządzanie ustawieniami bezpieczeństwa - Security Management
• wyraźne oddzielenie wymaganych parametrów od parametrów opcjonalnych w konfiguracji trybów pracy
• intuicyjna konfiguracja szyfrowania komunikacji w warstwie Ethernet
• możliwość włączenia/wyłączenia rezystorów terminujących oraz rezystorów pull-high/low z poziomu konsoli www
• wbudowany Traffic Monitor
• brak konieczności restartu urządzenia po zmianie konfiguracji 

Współpraca z oprogramowaniem MxView One

MXView One to oprogramowanie Moxa do zarządzania siecią przemysłową. Oprogramowanie oferuje szereg funkcjonalności, które znacząco ułatwiają codzienne utrzymanie sieci jak i diagnostykę w przypadku ewentualnych awarii. Oprogramowanie wykorzystuje do komunikacji protokół SNMP, współpracuje z urządzeniami Moxa jak i z urządzeniami innych producentów (potrzebny jest w takiej sytuacji plik MIB). Oprócz switchy Ethernet, oprogramowanie MxView One wspiera również inne urządzenia z interfejsem Ethernet, w tym serwery portów szeregowych.

Najważniejsze funkcjonalności jakie oferuje oprogramowanie MXView One:

Topology View - widok topologii, pokazuje topologię sieci przemysłowej, pokazuje wykorzystanie pasma poszczególnych łączy, jeżeli któreś z urządzeń nie jest dostępne w sieci Ethernet jest to wyraźnie sygnalizowane

Event Log – w tym widoku zgromadzone są wpisy dotyczące sieci przemysłowej. Logi mogą być oczywiście filtrowane. Jeżeli oprogramowanie MxView One  pracuje jako serwer Syslog wówczas w tym widoku widoczne są logi wysyłane do serwera Syslog przez urządzenia pracujące w sieci przemysłowej (oczywiście konieczna jest prawidłowa konfiguracja urządzeń w tym zakresie)

Security View – funkcjonalność pozwalająca na audyt cyberbezpieczństwa urządzeń pracujących w sieci. Dla każdego urządzenia możemy sprawdzić czy konfiguracja jest zgodna z IEC 62443-4-2. Dodatkowo otrzymujemy informację które wymagania normy są spełnione a które nie co znacząco ułatwia prawidłową konfigurację.

Firmware Management – funkcjonalność pozwalająca na sprawdzanie wersji firmware urządzeń pracujących w sieci przemysłowej. Jeżeli oprogramowanie MxView One jest zainstalowane na komputerze lub serwerze z dostępem do Internetu możemy dodatkowo z tego poziomu wykonać aktualizację oprogramowanie firmware w urządzeniach. Warto zaznaczyć, że w takim przypadku aktualizacja może być przeprowadzona dla wieli urządzeń w sposób zautomatyzowany, bez potrzeby logowania się na poszczególnych urządzeniach.

Serial Monitoring – nowa funkcjonalność, która pojawiła się w wersji 1.5. Dedykowana jest dla serwerów portów szeregowych (wspierane serie: NPort 6000 oraz NPort 6000-G2) i pozwala na wykrywanie problemów komunikacyjnych po stronie szeregowej. Pozwala na wykrywanie braku aktywności na porcie szeregowych przez określony czas. Serial Monitoring idealnie nadaje się do aplikacji w których urządzenia szeregowe są cyklicznie odpytywane ze znanym interwałem. Dzięki tej funkcjonalności łatwo możemy wykrywać sytuację w których np.. uszkodzony jest kabel szeregowy.  

NPort 6000-G2 wykorzystuje wieloletnie doświadczenie Moxy w dziedzinie serwerów portów szeregowych. Urządzenia oferują znacznie łatwiejszą i bardziej intuicyjną konfigurację, niż dotychczasowe serie. Jednak najważniejszym atutem jest certyfikat IEC 62443-4-2 potwierdzający fakt, że seria NPort 6000-G2 to doskonały wybór dla nowoczesnych sieci OT, gdzie kwestie cyberbezpieczeństwa są traktowane priorytetowo.