Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
15,4015,40 5,40 0,20 5,0
8,20
7,00
5,20
6,60
7,40
8,40
P16a
Построение уязвимых сетей.
15,4015,40 5,40 0,20 5,0
8,20
7,00
5,20
6,60
7,40
8,40
P16a
Промышленный объект
2
15,4015,40 5,40 0,20 5,0
8,20
7,00
5,20
6,60
7,40
8,40
P16a
OPC
Service
Не разделяйте сети
Вредный совет №1
Подключение офисной сети к
промышленной идет на прямую
или через коммутатор
Офисная сеть
Промышленная сеть
15,4015,40 5,40 0,20 5,0
8,20
7,00
5,20
6,60
7,40
8,40
P16a
OPC
Service
Не разделяйте сети
Вредный совет №1Офисная сеть
Промышленная сеть
Устанавливаем МЭ и разграничиваем
промышленную сеть от офисной, с
выделением DMZ сети для SCADA
серверов
15,4015,40 5,40 0,20 5,0
8,20
7,00
5,20
6,60
7,40
8,40
P16a
Internet router
Secure production network
Service interface with
user-defined firewall
rules
Secure service access
Secure automation cell 1 Secure automation cell 2
Unsecure outer area
VPN tunnelVPN tunnel
VPN tunnel
Secure station
Secure site networking via VPN
mGuard firewall,
router, VPN, 1:1 NAT
mGuard firewall,
router, VPN
Service technician A
Service technician B
Office network
mGuard firewall,
router, VPN
mGuard firewall,
router, VPN, 1:1 NAT
mGuard firewall,
15,4015,40 5,40 0,20 5,0
8,20
7,00
5,20
6,60
7,40
8,40
P16a
Неуправляемые коммутаторы
Вредный совет №2
6
15,4015,40 5,40 0,20 5,0
8,20
7,00
5,20
6,60
7,40
8,40
P16a
По мере роста сети, устойчивость сети падает
Вредный совет №2
7
01234567891011121314151617181920253035404550556065707580859095100110120130140150160170180190200201202203204205206207208209210211212212213213214215Кол-во сетевых
устройств
15,4015,40 5,40 0,20 5,0
8,20
7,00
5,20
6,60
7,40
8,40
P16a
Высокая сетевая загрузка
Вредный совет №2
8
высокаянизкая
Сетевая загрузкаОстановка производства!
Широковещательный
шторм, вследствие
выхода из строя
сетевого адаптера
15,4015,40 5,40 0,20 5,0
8,20
7,00
5,20
6,60
7,40
8,40
P16a
Обрыв кабеля или выход из строя оборудования
Вредный совет №2
9
Частичный сбой производства!
Обрыв кабеля или
выход из строя сетевого
оборудования
15,4015,40 5,40 0,20 5,0
8,20
7,00
5,20
6,60
7,40
8,40
P16a
Замена на управляемые коммутаторы
Вредный совет №2
10
PROFINET-
коммутаторы
Коммутаторы с
поддержкой МЭК 61850
3000, 4000 серия 7000 серияМодульные управляемые
коммутаторы
PROFINET IRT -
коммутаторыNAT-коммутаторы2000 серия
15,4015,40 5,40 0,20 5,0
8,20
7,00
5,20
6,60
7,40
8,40
P16a
Machine network 01 Machine network 02 Machine network 03
11
Промышленная сетьРезервирование
Вредный совет №3
15,4015,40 5,40 0,20 5,0
8,20
7,00
5,20
6,60
7,40
8,40
P16a
Machine network 01 Machine network 02 Machine network 03
12
Резервирование
Вредный совет №3
Cable break
Промышленная сеть
15,4015,40 5,40 0,20 5,0
8,20
7,00
5,20
6,60
7,40
8,40
P16a
Machine network 01 Machine network 02 Machine network 03
13
Резервирование
Вредный совет №3
Промышленная сеть
15,4015,40 5,40 0,20 5,0
8,20
7,00
5,20
6,60
7,40
8,40
P16a
Machine network 01 Machine network 02 Machine network 03
14
Резервирование
Вредный совет №3
Cable break
Промышленная сеть
15,4015,40 5,40 0,20 5,0
8,20
7,00
5,20
6,60
7,40
8,40
P16a
Modular Managed Switch
(Layer 3-Switch)
Factory Network 2
Router1:1 NAT Stealth Mode
Router redundancy (VRRP)
Factory Network 1
Modular Managed Switch
(Layer 3-Switch)
VPN
VPN
Plant Backbone Network
Smart Managed Switches Advanced Managed Switches
15
Machine Network 01 Machine Network 02 Machine Network 03 Machine Network 04
Redundancy
technologies
Не контролируй сеть
Вредный совет №4
15,4015,40 5,40 0,20 5,0
8,20
7,00
5,20
6,60
7,40
8,40
P16a
Modular Managed Switch
(Layer 3-Switch)
1:1 NAT
Factory Network 1
VPN
VPN
Plant Backbone Network
Smart Managed Switches
16
Machine Network 01 Machine Network 02
Не контролируй сеть
Вредный совет №4
L1/L2/L3 трафик
Центральный офис
Устанавливаем
промышленную IDS в сеть
для мониторинга за всеми
изменениями в сети
15,4015,40 5,40 0,20 5,0
8,20
7,00
5,20
6,60
7,40
8,40
P16a
17
Не устанавливай приобретенное оборудование
Вредный совет №5
15,4015,40 5,40 0,20 5,0
8,20
7,00
5,20
6,60
7,40
8,40
P16a