Keamanan Internet Industri Adalah Kehidupan Bukan Sebuah Main

- Aug 22, 2018-

Ada banyak manfaat untuk membawa Ethernet ke lantai toko. Salah satu manfaat penting adalah penciptaan arsitektur yang lebih terbuka yang memungkinkan sejumlah besar koneksi ke berbagai peralatan pabrik dan alat manajemen. Namun keterbukaan ini juga membawa masalah yang harus dipecahkan bagi para operator jaringan pabrik: keamanan.

Setelah sistem otomasi ditambahkan ke Ethernet, itu hampir sama dengan menghubungkan komputer ke Internet. Di beberapa sudut pabrik, atau di jaringan perusahaan, akan selalu ada koneksi Internet. Oleh karena itu, perusahaan harus mengambil tindakan untuk melindungi lingkungan pabrik dari ancaman dari komputer yang terhubung ke Internet. Ancaman ini dapat berupa peretas, virus, Trojan, dan berbagai bentuk program beracun lainnya.

Ini berarti bahwa administrator jaringan tanaman memerlukan alat perlindungan keamanan yang sama dengan rekan departemen TI, dan yang terbaik adalah merancang alat untuk lingkungan pabrik. Alat-alat ini harus diizinkan untuk terhubung ke pabrik di area lain di dalam fasilitas atau di lokasi terpencil lainnya. Ini memungkinkan administrator jarak jauh untuk melakukan tugas-tugas seperti konfigurasi dan diagnostik, inisialisasi simpul, dan akses ke informasi dari koneksi perangkat ke jaringan onboard dan server FTP.

Set alat ini harus mencakup berbagai perangkat keras, perangkat lunak, dan alat-alat penggunaan seperti firewall, jaringan pribadi virtual (VPN), terjemahan alamat jaringan (NAT) teknologi, dan kebijakan. Setelah lingkungan otomasi terbuka, ia akan berfungsi, dan ia perlu berkomunikasi dengan jaringan lain dan dikelola dari berbagai lokasi untuk memastikan keamanan pabrik dari ancaman Internet.


Firewall: penghalang pertama

Firewall adalah salah satu alat keamanan tertua dan masih merupakan bagian penting dari komponen keamanan saat ini. Firewall terletak di antara jaringan, terutama untuk mengontrol aliran informasi antara jaringan internal dan eksternal. Tujuan utamanya adalah untuk membantu memastikan bahwa hanya informasi yang sah mengalir ke arah tertentu.

Di lingkungan industri, firewall dapat melindungi unit perangkat otomatis yang mungkin mencakup beberapa koneksi Internet, seperti PC industri atau PLC. Dalam hal ini, perusahaan dapat menginstal modul keamanan yang menerima akses Ethernet dari jaringan otomatisasi di satu ujung dan perangkat sederhana yang terhubung ke jaringan yang lebih besar di satu ujung. Interaksi antara dua jaringan tergantung pada aturan yang ditetapkan oleh firewall yang dipasang di perangkat.

Ada banyak strategi untuk menjalankan firewall. Jaringan industri umumnya menggunakan teknologi deteksi paket untuk memungkinkan perangkat terhubung ke arus informasi saat ini. Informasi diperbolehkan untuk masuk hanya ketika ditentukan bahwa permintaan dari intranet diterima secara hukum. Jika sumber eksternal mengirim informasi yang tidak diinginkan, itu akan diblokir.

Untuk memastikan bahwa semua arus informasi sah, firewall inspeksi paket khusus mengontrol aliran informasi sesuai dengan aturan pemfilteran yang telah ditentukan. Misalnya, jika node internal mengirim data ke perangkat target eksternal, firewall akan mengizinkan paket respons untuk waktu tertentu. Setelah waktu ini, firewall akan memblokir lalu lintas lagi.


NAT dan NAPT

Teknologi lain yang menyediakan keamanan untuk lingkungan otomatisasi adalah NAT, yang diterapkan pada tingkat perangkat. NAT umumnya menyembunyikan alamat IP sebenarnya dari perangkat di jaringan internal dari perspektif publik eksternal. Ini menampilkan alamat IP publik ke node eksternal, tetapi mengubah alamat IP yang digunakan di dalam jaringan.

Teknologi Network Address dan Port Compilation (NAPT) mengambil keuntungan dari konsep NAT dan menambahkan nomor port untuk membawa teknologi selangkah lebih maju. Melalui teknologi NAPT, intranet hanya menampilkan satu alamat IP di depan publik. Di latar belakang, paket ditugaskan ke perangkat yang ditentukan dengan menambahkan nomor port. Lembar kerja NAPT biasanya digunakan pada router yang memetakan port alamat IP pribadi ke port alamat IP publik.

Jika perangkat dari jaringan eksternal ingin mengirim paket ke perangkat internal, perlu menggunakan alamat umum perangkat keamanan dengan port tertentu sebagai alamat tujuan. Alamat IP tujuan ini akan diterjemahkan oleh router ke alamat IP pribadi dengan alamat port.

Alamat sumber di header IP paket tetap tidak berubah. Namun, karena alamat pengiriman berada di subnet yang berbeda dari alamat penerima, umpan balik harus dirutekan dan kemudian diteruskan ke perangkat eksternal sambil melindungi alamat IP sebenarnya dari perangkat internal agar tidak dilihat oleh publik eksternal.


Saluran aman menggunakan VPN

Cara lain untuk membuat sambungan aman melalui jaringan yang pada dasarnya tidak aman adalah menggunakan virtual private network (VPN). VPN pada dasarnya adalah saluran terenkripsi yang dibentuk oleh perangkat keamanan di setiap titik akhir sambungan, dan harus menghasilkan autentikasi digital. Jenis otentikasi ini umumnya merupakan ID numerik yang dapat digunakan oleh mitra tepercaya untuk identifikasi. Otentikasi juga memastikan bahwa perangkat mengenkripsi data di salah satu ujungnya, mengirimkannya melalui Internet dalam bentuk terenkripsi, dan kemudian mendekripnya di ujung lain sebelum mengirimkannya ke perangkat terminal.

Modul keamanan bekerja dengan otentikasi digital dan membuat VPN dalam dua konfigurasi dasar: mode bridging dan routing:

Mode menjembatani dapat digunakan untuk memungkinkan perangkat berkomunikasi secara aman melalui jaringan "datar" virtual, di mana lokasi geografis dari perangkat ini dapat berjauhan, atau di mana komunikasi di antara mereka perlu menjangkau bagian jaringan yang tidak aman. Ini juga dapat digunakan untuk komunikasi yang tidak dapat diarahkan atau pada subnet yang sama.

Mode routing dapat digunakan untuk membuat VPN antar perangkat pada subnet terpisah. Router bekerja pada tingkat ketiga dari model OSI dan memiliki beberapa kecerdasan untuk mengenali bahwa jaringan di sekitarnya perlu mengirim data ke alamat tujuan yang sesuai. Paket dikirimkan melalui terowongan VPN terenkripsi aman, sehingga komunikasi ini lebih aman daripada di jaringan publik seperti Internet.


Alat keamanan

Lingkungan pabrik memiliki banyak alat keamanan yang dapat dikonfigurasi dengan berbagai cara tergantung pada kebutuhan spesifik Anda. Berikut beberapa contohnya:

Firewall untuk pengguna tertentu. Misalkan kontraktor Anda sedang melakukan debugging beberapa peralatan otomatisasi di pabrik Anda. Ketika dia tidak di pabrik, jika dia dapat masuk ke jaringan pabrik, seperti pemecahan masalah, sangat bermanfaat untuk menyelesaikan masalah yang tidak terduga. Dalam hal ini, Anda dapat membuat satu set aturan pengguna tertentu di firewall untuk memastikan bahwa pengguna jarak jauh dapat mengakses jaringan. Anda juga dapat membuat berbagai tingkat otorisasi untuk memastikan bahwa klien jarak jauh yang berbeda hanya dapat terhubung ke perangkat yang sesuai yang mereka otorisasi.

Membuat nama pengguna dan kata sandi untuk pengguna jarak jauh adalah tugas yang sederhana, dan kemudian dia dapat terhubung ke alamat IP modul dan masuk dengan informasi rahasia ini. Instal pengaturan default, ia dapat terhubung untuk jangka waktu tertentu, setelah itu ia akan secara otomatis keluar untuk mencegah dia meninggalkan komputer tetapi tetap terhubung terlalu lama. Jika kontraktor membutuhkan lebih banyak waktu, ia dapat masuk kembali menggunakan formulir berbasis web sebelum akhir waktu.

Stasiun ke stasiun VPN. Kadang-kadang perusahaan memiliki stasiun pusat dan mungkin ada dua fasilitas satelit. Dalam hal ini, VPN stasiun-ke-stasiun adalah solusi yang lebih cocok. VPN stasiun-ke-stasiun umumnya menggunakan koneksi terenkripsi antara dua stasiun. Menurut konfigurasi, pengguna di setiap stasiun diperbolehkan untuk terhubung ke sumber daya di stasiun lain, tentu saja, dengan asumsi bahwa mereka memiliki hak yang sesuai.

Pendekatan ini membutuhkan modul di setiap lokasi untuk membuat tunnel VPN terenkripsi. Firewall juga dapat digunakan untuk menyediakan kontrol akses yang lebih terperinci, seperti memungkinkan pengguna tertentu untuk mengakses subkumpulan sumber daya tanpa melihat orang lain.

Point-to-point VPN. VPN peer-to-peer memastikan bahwa pengguna dapat terhubung ke perangkat dari lokasi lain dari mana saja dengan koneksi internet. Ini sangat penting bagi administrator yang perlu masuk dari lokasi jarak jauh untuk pemecahan masalah perangkat setelah bekerja dari kantor.

Pendekatan ini mengharuskan modul di lokasi target diisi dengan perangkat lunak klien aman yang sesuai yang berjalan di laptop atau tablet administrator. Perangkat lunak ini membantu administrator membuat sambungan VPN terenkripsi ke situs apa pun yang memiliki modul tersebut. Di mana pun dia berada, dia dapat masuk ke perangkat apa pun yang dia butuhkan dengan izin yang tepat.

Koneksi VPN multi-titik. Sekarang, administrator, dia ingin menghubungkan lima hingga sepuluh situs lain dari rumah. Dia tidak perlu membuat koneksi VPN yang sesuai untuk setiap situs. Dia dapat terhubung ke modul pusat yang mapan yang terhubung ke setiap VPN situs remote, dan kemudian terhubung ke situs di atas.

Ini jelas merupakan kabar baik bagi para insinyur layanan yang melakukan perjalanan keliling dunia setiap hari. Dengan menghubungkan ke situs pusat secara terpisah, mereka sekarang dapat dengan mudah dan aman mengakses situs lain yang mereka butuhkan, menghemat waktu koneksi.

Ada juga alat untuk memastikan bahwa lingkungan otomasi berbasis Ethernet seaman lingkungan fieldbus. Meskipun firewall dan VPN adalah bagian penting dari solusi keamanan, dan untuk akses yang aman ke pengguna jarak jauh, kami juga memerlukan model keamanan pertahanan-mendalam untuk memastikan keamanan dalam yang benar di lingkungan industri. Selalu ingat bahwa keselamatan adalah hidup bukanlah permainan.


Sepasang:Metode Untuk Memperpanjang Umur Servis Kabel Serat Optik Berikutnya:Apa Perbedaan Antara Kabel Fiber Optic Dan Kabel Fiber Optic?