форум асутп
 На главную                       Здесь может быть Ваша реклама, подробнее...


 Наверх  |  Перейти к теме  |  Поиск  |  Вход  |  Дерево    
 ищу реализацию файервола для формального выполнения требований ФЗ 187
Автор: indian 
Дата:   31.01.18 10:35

Ищу простую, недорогую реализацию "прозрачного" файервола для формального выполнения требований ФЗ.
Именно прозрачный интересует, ибо АСУТП сильно вросло в общую сетку и "правильно", с точки зрения ортодоксальных сисадминов, отделить сложно и даже невозможно в некоторых местах.
Адрес этого сообщения    Ответить на это сообщение
 
 Re: ищу реализацию файервола для формального выполнения требований ФЗ 187
Автор: Maksim_NT 
Дата:   31.01.18 11:38

Из hardware между компонентами различных АСУ ТП лучше зарекомендовала cISCO ASA:

https://www.cisco.com/c/en/us/products/security/asa-firepower-services/index.html


Из hardware внутри (заменили неуправляемые и управляемые коммутаторы)
и между компонентами различных АСУ ТП бюджетным вышел
Phoenix Contact FL MGUARD RS2005 TX VPN :

https://www.phoenixcontact.com/online/portal/ae?1dmy&urile=wcm%3apath%3a/aeen/web/main/products/list_pages/Security_routers_and_firewalls_P-08-10-08-01-01
Адрес этого сообщения    Ответить на это сообщение
 
 Re: ищу реализацию файервола для формального выполнения требований ФЗ 187
Автор: indian 
Дата:   31.01.18 17:19

Да, в ASA, судя по описанию, есть прозрачный файервол. Но ИТ-шники не горят желанием взять их себе на обслуживание, а АСУТП не могут. (революционная ситуация?)

NAT1:1 применить можем не везде ибо есть железки на которых нет возможности поменять IP адрес, Перенести конфиг на новое железо можем, изменить что-то нет, или хуже того, вообще ничего не можем - blackbox. Поэтому этот роутер фениксконтактовский, чтоб везде увы. Хотелось бы однотипное решение.
Адрес этого сообщения    Ответить на это сообщение
 
 Re: ищу реализацию файервола для формального выполнения требований ФЗ 187
Автор: Алексей Ефремовский 
Дата:   01.02.18 11:42

Может CheckPoint R1200?

--
Адрес этого сообщения    Ответить на это сообщение
 
 Re: ищу реализацию файервола для формального выполнения требований ФЗ 187
Автор: indian 
Дата:   02.02.18 16:15

Может быть, ХЗ - описания на него нету, только реклама какая-то попадается.
Адрес этого сообщения    Ответить на это сообщение
 
 RE: ищу реализацию файервола для формального выполнения требований ФЗ 187
Автор: Александр 
Дата:   05.02.18 09:57

Здравствуйте,
Формальное требование уже сформулировано для класса и категории значимости
объектов критической информационной инфраструктуры ?

Интересные размышления ведущего консультанта-аналитика
http://www.elvis.ru/competency/expert_comments/1727/
Булаев Михаил Александрович,
"...
 2. Для практической реализации положений Закона предусматривается
разработка комплекса подзаконных актов (указаны в Приложении 1), сроки
принятия которых могут составлять 1,5-2,5 года с момента вступления Закона в
силу (*Закон вступает в силу с 1 января 2018 года). До принятия этих
нормативных правовых актов практическая реализации требований Закона в
полном объеме НЕВОЗМОЖНА.
"

---
С уважением,
Зоркальцев Александр
ООО ЭлеТим, г. Томск.
Адрес этого сообщения    Ответить на это сообщение
 
 RE: ищу реализацию файервола для формального выполнения требований ФЗ 187
Автор: indian 
Дата:   05.02.18 13:56

понятно что ФЗ предусматривает комплекс мер, но в данном случае я о "физическую/логическую изоляцию технологического контура АСУ ТП от корпоративной сети и сетей связи общего пользования"

Видится 2,5 варианта. Условные названия: отдельная сетевая карта и/или прозрачный файервол группы хостов АСУТП в общей сети, реорганизация сетей рабочих групп АСУТП чтоб обычный файервол мог работать.
Последний вариант с прозрачным файерволом самый "ленивый", но находится только Cisco ASA и больше ничего. То есть исключительно оборудование вероятного противника. :)
Правда есть ещё какие-то конструкторы копеечные типа "сделай сам" без нормальных how-to, а между ничего нет.
Адрес этого сообщения    Ответить на это сообщение
 
 RE: ищу реализацию файервола для формального выполнения требований ФЗ 187
Автор: Maksim_NT 
Дата:   05.02.18 17:31

Вы ссылались на сложность создания VPN сетей (структуры АСУ и смежных сетей не видели):
- ранее предлагалось Phoenix Contact FL MGUARD RS2005 TX VPN
- можно от hirschmann
www.hirschmann.com/en/Hirschmann_Produkte/Industrial_Ethernet/security-firewall/index.phtml,
- можно от Schneider Electri
www.schneider-electric.com/en/product-range/584-connexium/166397415-firewalls/
- можно от MOXA
www.moxa.com/product/Industrial_Secure_Routers.htm


Предпочтительнее ФИЗикой разделять - исправлять допущенную ошибку совместного использования каналов данных АСУ ТП и корпоративных сетей и сетей связи общего пользования.
Адрес этого сообщения    Ответить на это сообщение
 
 Re: ищу реализацию файервола для формального выполнения требований ФЗ 187
Автор: Алексей Ефремовский 
Дата:   15.02.18 16:50

Почему изначально вопрос стал за брандмауэры? Может все проще и логическое разделение подразумевает раздельные VLAN на коммутаторах?

--
Адрес этого сообщения    Ответить на это сообщение
 
 Re: ищу реализацию файервола для формального выполнения требований ФЗ 187
Автор: indian 
Дата:   20.02.18 16:46

Файервол файейволу рознь. Я ищу невысокопроизводительную и недорогую коробку с функционалом "прозрачного" файервола. (не на основе iptables, а на основе ebtables)

А разбитие на VLAN сути не меняет - возможно этих коробок станет меньше (в пределе одна, между VLAN АСУТП и VLAN Оffice), но при этом уязвимость станет больше - смысл затеи теряется. Хотелось бы так: одна операторская со всем что к ней относится - одна коробка.

Но всё АСУТП в одну VLAN не объединишь из-за конфликта ip адресов, см. второй мой пост в этой ветке. Ладно можно обойти - несколько VLAN АСУТП. У Cisco ASA хоть и 8 портов, но в режиме "прозрачного" файервола возможен только 1 мост на 1 коробку ASA.

Много мест где SCADA ПК (OPC сервер) должен быть с одной стороны файервола, а его OPC клиент MES системы, стоящий физически рядом, с другой стороны. В этом случае решение с централизованным файерволом добавляет уязвимость связанную с надёжностью каналов связи.
Адрес этого сообщения    Ответить на это сообщение
 
 Re: ищу реализацию файервола для формального выполнения требований ФЗ 187
Автор: Maksim_NT 
Дата:   20.02.18 17:58

indian писал(а):


>
> Много мест где SCADA ПК (OPC сервер) должен быть с одной стороны файервола, а
> его OPC клиент MES системы, стоящий физически рядом, с другой стороны. В этом
> случае решение с централизованным файерволом добавляет уязвимость связанную с
> надёжностью каналов связи.


В этом случае для MES-системы (очень рекомендуется) ставите сервер сбора данных - сервер/ПК с двумя и более сетевыми картами.
Один Ethernet в сторону MES-системы за ним Cisco ASA.
Для каждой АСУ ТП свой Ethernet.
Для каждой АСУ ТП поднимаете виртуальную машину с OPC сервером и FireWall.
Сервер не обязательно должен быть от MS (справится  linux).
На каждую виртуальную машину нужна будет лицензия Windows (дешевле будет пачка Embeded).

!!! На виртуальные машины запрещен удаленный доступ, живут только под  локальными пользователями,
для некоторых систем в домене АСУТП (Yokogawa, DeltaV и т.п.).
Адрес этого сообщения    Ответить на это сообщение
 
 Re: ищу реализацию файервола для формального выполнения требований ФЗ 187
Автор: indian 
Дата:   22.02.18 09:52

Maksim_NT писал(а):


> В этом случае для MES-системы (очень рекомендуется) ставите сервер сбора данных
> - сервер/ПК с двумя и более сетевыми картами.
> Один Ethernet в сторону MES-системы за ним Cisco ASA.
> Для каждой АСУ ТП свой Ethernet.
> Для каждой АСУ ТП поднимаете виртуальную машину с OPC сервером и FireWall.
> Сервер не обязательно должен быть от MS (справится  linux).
> На каждую виртуальную машину нужна будет лицензия Windows (дешевле будет пачка
> Embeded).

Хорошо, пусть и не охренелион нужен уже, но наговорили немало. Нелицензионный софт исключается категорически.

Уязвимость связанная с надёжностью каналов связи - ?

Например, клиент ERP забирает забирает данные о весе из контроллера через OPC напрямую (месдозы подключены к контроллеру). Связь с ERP ему надо только чтобы загрузить данные о новых заказах и отдать выполненные.
Адрес этого сообщения    Ответить на это сообщение
 
 Re: ищу реализацию файервола для формального выполнения требований ФЗ 187
Автор: Алексей Ефремовский 
Дата:   22.02.18 14:04

>> Именно прозрачный интересует, ибо АСУТП сильно вросло в общую сетку и "правильно", с точки
>> зрения ортодоксальных сисадминов, отделить сложно и даже невозможно в некоторых местах.

В первую очередь нужно отделять требования информационной безопасности от точки зрения "ортодокасальных сисадминов". Этих сисадминов самих нужно проверять на уровень знаний и допуск к управлению сетями производить в соответствии с регламентом и работы на сети протоколировать. В этом случае VLAN не будет вызывать конфликта адресов, а проблемы с безопасностью будут прозрачно коррелироваться с криворукостью исполнителей.

--
Адрес этого сообщения    Ответить на это сообщение
 Список форумов    


 Список форумов  |  Нужен логин? Регистрируйтесь здесь 
 Логин пользователя
 Имя пользователя:
 Пароль:
 Помнить пароль:
   
 Забыли ваш пароль?
Введите имя пользователя или e-mail, и новый пароль будет послан на email, указанный в вашем профиле.

Рейтинг@Mail.ru