Embed Size (px)
Citation preview
4
Povezivanje EE objekata multiservisnim IP mrežnim sustavima
Davor Janković, Roko Bobanović, Branimir Turk
CS Computer Systems d.o.o., Zagreb, Croatia
[email protected] [email protected]
Sadržaj: I. UVOD II. DIZAJN ARHITEKTURE SUSTAVA
a. Povezivanje EE objekata Ethernet protokolom b. Povezivanje EE objekata Internet protokolom (IP)
III. DIZAJN MEHANIZAMA GARANCIJE KVALITETE USLUGE IV. DIZAJN SIGURNOSNIH MEHANIZAMA
a. Mogući utjecaj uspješnog cybernapada na industrijski procesni sustav
b. Osnovni dizajn sigurnosne politike c. Implementacija elemenata mrežne kontrole pristupa
V. DIZAJN MEHANIZAMA ZA NADZOR I UPRAVLJANJE VI. ZAKLJUČAK
MIPRO 2012/HEP 65
66 MIPRO 2012/HEP
Povezivanje EE objekata multiservisnim IP
mrežnim sustavima
Branimir Turk, Roko Bobanović i Davor Janković
CS Computer Systems d.o.o.
Preĉko 1a, Zagreb, Hrvatska
Komunikacijsku infrastrukturu procesnih sustava unutar
EE objekata u povijesti su činili različiti legacy sustavi.
Pojavom novijih komunikacijskih protokola za povezivanje
procesnih sustava EE objekata počinju se koristiti mreže
temeljenje na Ethernet/IP tehnologiji. Kako se radi o
kritičnim sustavima, mrežna sigurnost, kvaliteta servisa i
nadzor kritični su za poslovanje. Ovaj dokument daje
pregled svih elemenata koji čine pouzdanu, sigurnu i
fleksibilnu komunikacijsku infrastrukturu u službi boljeg i
suvremenijeg povezivanja energetskog sustava.
I. UVOD
Globalni trendovi, a i trenovi u elektroenergetskoj industriji, su prebacivanje komunikacije na IP tehnologiju. Sukladno tome procesni sustavi poĉinju koristiti ureĊaje koji se povezuju na IP mrežu. IEC 60870-5-104 protokol definiran je za povezivanje SCADA (Supervisory Control And Data Acquisition) sustava preko IP protokola. Kritiĉnost procesnih sustava je neupitna pa je u skladu s time komunikacijske sustave potrebno pažljivo projektirati imajući u vidu sve elemente dobrog mrežnog dizajna. Komunikacijska infrastruktura mora biti s jedne strane skalabilna kako bi omogućila rast sustava i prihvat novih podsustava, a s druge strane sigurna kako bi ispravno izolirala kritiĉne sustave od manje kritiĉnih te zaštitila sustav u cijelosti istovremeno omogućujući svu potrebnu komunikaciju sa vanjskim sustavima. Isto tako infrastruktura mora biti dostupna kako bi omogućila neprekidni rad servisa.
Ovaj ĉlanak uzima dio jednog takvog sustava – mrežnu infrastrukturu za povezivanje elektroenergetskih objekata. Osnovni elementi dizajna komunikacijske infrastrukture su dizajn arhitekture sustava, dizajn mehanizama garancije kvalitete servisa, dizajn sigurnosnih mehanizama i dizajn mehanizama za nadzor i upravljanje.
Dizajn arhitekture sustava ukljuĉuje odabir i pozicioniranje tehnologija Ethernet preklapanja i IP usmjeravanja. Dinamiĉki protokoli IP usmjeravanja koriste se za održavanje stabilnosti redundantnih mrežnih sustava. Vrijeme konvergencije ovisi o odabiru i dizajnu dinamiĉkih protokola IP usmjeravanja i ukupna dostupnost mreže i servisa direktno ovisi o tim mehanizmima.
Kako bi kritiĉnim aplikacijama i podsustavima omogućili nesmetan rad potrebno je napraviti dizajn modela kvalitete servisa. Model kvalitete servisa sadrži informacije kojeg je prioriteta pojedini promet za sve
mrežne servise. Nadalje, model kvalitete servisa sadrži informaciju kako se tretira pojedini promet i koji promet ima veći prioritet u sluĉaju zagušenja linka. Implementacija modela kvalitete servisa ukljuĉuje klasifikaciju i markiranje prometa na rubovima mreže te mehanizme izbjegavanja i upravljanja zagušenjem na infrastrukturnim vezama.
Dizajn sigurnosti treba obuhvatiti sve elemente sustava jer je cijeli sustav jak koliko i najslabija karika. Sigurnost na mrežnoj infrastrukturi podrazumijeva korištenje vatrozida i sustava za spreĉavanje upada (IPS). Ukoliko je sustav, ili dijelovi sustava, povezani na Internet potrebno je servise prema Internetu odgovarajuće zaštititi web i e-mail sigurnosnim mehanizmima.
Upravljanje mrežnom infrastrukturom ukljuĉuje nadzor grešaka, upravljanje konfiguracijama mrežnih elemenata i upravljanje pristupom mrežnim ureĊajima. Nadalje upravljanje ukljuĉuje nadzor sigurnosti – SIEM sustavi obavljaju prikupljanje i analizu sigurnosnih dogaĊaja u stvarnom vremenu. Na kraju, nadzor performansi podrazumijeva prikupljanje i analiziranje svih vrijednosti ureĊaja sustava (npr. opterećenje procesora, koliĉina slobodne memorije, broj grešaka na linkovima) te alarmiranje u sluĉaju prelaska njihovog praga.
II. DIZAJN ARHITEKTURE SUSTAVA
S obzirom na kritiĉnost navedene komunikacije, mreže putem kojih se ostvaruje povezivanje EE objekata moraju biti pažljivo dizajnirane i isplanirane kako bi osigurale adekvatne performanse u smislu osiguranja odgovarajuće pouzdanosti i stabilnosti, skalabilnosti te brzine konvergencije u sluĉaju ispada ureĊaja ili veza unutar mreže.
LAN mreže danas se na drugom sloju OSI modela dominantno izvode putem Ethernet protokola. S druge strane IP (Internet Protocol) je dominantna tehnologija za povezivanje na trećem sloju OSI modela. Zbog toga je povezivanje EE objekata moguće ostvariti putem dva razliĉita koncepta:
MeĊusobnim povezivanjem lokalnih mreža EE objekata na drugom sloju OSI modela korištenjem Ethernet protokola
Razdvajanjem lokalnih mreža EE objekata na trećem sloju OSI modela i njihovim meĊusobnim povezivanjem putem IP protokola
MIPRO 2012/HEP 67
Ethernet i IP su protokoli koji se kosite za povezivanje na razliĉitim slojevima OSI modela. Tako, IP kao prijenosnu tehnologiju može koristiti Ethernet i obrnuto. Zbog toga je potrebno napraviti razliku izmeĊu dva gornja koncepta.
Prvi koncept zasniva se na povezivanju EE objekta u kojem se svi ili više EE objekata povezuju putem jedne Ethernet broadcast domene. U ovom sluĉaju se svi ureĊaji meĊusobno povezanih EE objekata nalaze unutar iste broadcast domene, a samim time i unutar iste IP mreže.
Slika 1. Povezivanje EE objekata zajedniĉkom Ethernet mrežom
Drugi koncept se zasniva na razdvajanju lokalnih mreža EE objekata na trećem sloju OSI modela i njihovim meĊusobnim povezivanjem putem IP protokola. Ovime se lokalne mreže svakog EE objekta nalaze unutar razliĉitih broadcast domena, odnosno IP mreža, dok se njihovo povezivanje vrši putem IP veza na trećem sloju OSI modela. Pri tome se kao prijenosna tehnologija drugog sloja može koristiti Ethernet , no važno je da se broadcast domene ne protežu izmeĊu više EE objekata.
Slika 2. Razdvajanje broadcast domena EE objekata i njihovo IP
povezivanje
A. Povezivanje EE objekata Ethernet protokolom
U sluĉaju povezivanja EE objekata u jednu jedinstvenu Ethernet mrežu samo povezivanje EE objekata se vrši putem jedne Ethernet broadcast domene. Prvobitna namjena Ethernet protokola bila je povezivanje relativno malog broja ureĊaja unutar lokalnih (LAN) mreža, tj. unutar malog geografskog podruĉja, npr. unutar
jedne zgrade ili kampusa. S time na umu razvijeni su svi mehanizmi rada Ethernet mreža, poput naĉina prosljeĊivanja, ostvarivanja redundancije i sl. S vremenom, zbog relativno niske cijene, Ethernet tehnologija poĉinje se koristiti za povezivanje ureĊaja unutar WAN (Wide Area Network) i MAN (Metropolitan Area Network) mreža. Pri tome mehanizmi na kojima se zasniva rad Ethernet mreža nisu prilagoĊeni novoj primjeni, odnosno ostali ostali nepromijenjeni, što u odreĊenim sluĉajevima može utjecati na stabilnost same mreže. U ovom poglavlju dan je opis glavnih mehanizama na kojima se zasnivaju Ethernet.
MAC tablica - Preklopnici prosljeĊuju promet na temelju informacija unutar MAC tablice koja povezuje suĉelja preklopnika sa MAC adresama. Na temelju informacija unutar MAC tablice preklopnici odreĊuju na koje će suĉelje proslijediti promet prema pojedinoj MAC adresi. Inicijalno MAC tablica preklopnika je prazna te je s vremenom preklopnici popunjavaju na temelju izvorišnih adresa dolaznog prometa.
Logika prosljeĊivanja -U sluĉaju da MAC tablica posjeduje zapis o pojedinoj MAC adresi promet prema toj adresi prosljeĊuje se na toĉno odreĊeno suĉelje. No u sluĉaju da se MAC adresa ne nalazi u MAC tablici, preklopnici prosljeĊuju promet prema toj MAC adresi na sva aktivna suĉelja, osim onog na koje je primljen promet. Ovakav naĉin prosljeĊivanja prometa naziva se unicast flooding i osigurava isporuku prometa u sluĉaju da suĉelje na koje je potrebno poslati promet nije poznato.
Redundancija - Redundancija unutar Ethernet mreža ostvaruje se korištenjem redundantnih veza kojima se ostvaruju razliĉite topologije koje sadrže fiziĉke petlje. U sluĉaju korištenja redundantnih veza, da bi se sprijeĉio cirkularno prosljeĊivanje prometa kroz fiziĉke petlje, koriste se razliĉiti mehanizmi zaštite od petlji. Uloga navedenih mehanizama je detekcija fiziĉkih petlji unutar mreže te blokiranje pojedinih veza kako bi se ostvarila topologija bez petlji. Dakle, korištenjem navedenih mehanizama omogućuje se korištenje redundantne fiziĉke topologije pri ĉemu se redundantne veze koriste samo u sluĉaju ispada primarnih veza.
Iz naĉina na koji Ethernet preklopnici prosljeĊuju promet vidljivo je da se, ĉak i pri normalnom radu unutar mreže odreĊeni postotak unicast prometa može prosljeĊivati floodingom. U sluĉaju korištenja redundantnih veza i ureĊaja unutar mreže, stabilnost i pouzdanost mehanizma za zaštitu od petlji od iznimne je važnosti za ispravno funkcioniranje mreže u cjelini. Razlog tome leži u ĉinjenici da neispravan rad samo jednog preklopnika unutar Ethernet mreže može dovesti do krive konvergencije mehanizma za zaštitu od petlji, što u konaĉnici može dovesti do ispada cijele Ethernet mreže.
Donja slika prikazuje jedan od mogućih scenarija koji može dovesti do potpunog ispada jednostavne Ethernet mreže koja povezuje ĉetiri EE objekta.
68 MIPRO 2012/HEP
Slika 3. Ponašanje Ethernet mreže u sluĉaju kvara
IzmeĊu preklopnika koji povezuju EE objekte (11,21,31,41) postoji fiziĉka petlja. Pretpostavimo da je pri normalnom radu primaran put izmeĊu EE objekta 1 i EE objekta 4 preko EE objekta 2, dok je sekundaran put preko EE objekta 3. Sukladno tome vrijedi pretpostavka da je u normalnom radu mreže na Preklopniku 31 veza prema Preklopniku 41 u stanju blokiranja kako bi se izbjegla pojava petlje. Ova situacija prikazana je na gornjem dijelu slike.
Na donjem dijelu slike prikazan je primjer neispravne konvergencije STP mehanizma zbog djelomiĉnog kvara na Preklopniku 31. U ovom sluĉaju na Preklopniku 31 nije došlo do blokiranja navedene veze prema Preklopniku 41 te fiziĉka petlja nije nigdje blokirana. Pod djelomiĉnim kvarom podrazumijeva se da nije došlo do ispada cijelog preklopnika, već samo djela njegovih funkcija. Ovakav sluĉaj realno je oĉekivati u praksi budući da do njega može doći iz više razloga. Neki od mogućih razloga su puknuće samo jedne optiĉke niti unutar para niti koje povezuju preklopnike 31 i 41, pogreške u konfiguraciji ili neispravnog rada hardvera ili softvera preklopnika i sl.
U sluĉaju neispravne konvergencije, zbog postojanja fiziĉke petlje koja nije blokirana, dolazi do cirkularnog prosljeĊivanja prometa kroz Ethernet mrežu. Drugim rijeĉima, dolazi do Layer 2 petlje. Do cirkularnog prosljeĊivanja dolazi iako je do kvara došlo na preklopniku koji se ne nalazi na primarnom putu izmeĊu lokacija. Uzrok tome je flooding mehanizam prosljeĊivanja prometa.
Ethernet protokol nema ugraĊen mehanizam od beskonaĉnog prosljeĊivanja poput TTL (Time To Live) polja u IP paketima. Zbog toga se u ovom sluĉaju promet kroz fiziĉku petlju prosljeĊuje sve do trenutka njenog fiziĉkog prekida ili uklanjanja uzroka problema i ispravne konvergencije STP protokola. Kreiranjem petlje generira se velika koliĉina prometa koji u potpunosti zagušuje veze izmeĊu preklopnika ĉime dolazi do ispada cjelokupne mreže na svim lokacijama.
Osim što dolazi do ispada mreže u cijelosti, zbog zagušenja veza unutar mreže, dolazi do nemogućnosti udaljenog pristupa na preklopnike u cilju otkrivanja i otklanjana problema. Zbog toga je ovakve probleme vrlo teško otkriti i otkloniti. U velikoj većini sluĉajeva otkrivanje i otklanjanje ovakvih problema zahtjeva fiziĉku prisutnost administratora na lokaciji neispravnog preklopnika ili veze, što bitno utjeĉe na povećanje vremenskog trajanja cijelog ispada.
Drugi primjer nestabilnosti Ethernet preklopnika koji može utjecati na ispad cijele mreže je popunjavanje MAC tablice. Svi moderni Ethernet preklopnici imaju ograniĉenu veliĉinu MAC tablice, te u sluĉaju njenog popunjavanja preklopnici poĉinu raditi unicast flooding. U tom sluĉaju do ispada cijele mreže može doći zbog preopterećenja WAN veza, koje su većinom bitno nižeg kapaciteta nego veze unutar LAN-a, flooding prometom.
Osim što ova pojava može negativno utjecati na stabilnost cijele mreže, ona je i sigurnosni propust kojim potencijalni napadaĉi mogu doći do kopije prometa unutar mreže. Napadi ove vrste relativno su jednostavni i temelje se na generiranju prometa velikog broja razliĉitih MAC adresa s raĉunala napadaĉa. Jednom nakon što se popuni MAC tablica na preklopniku, preklopnik poĉinje prosljeĊivati promet unicast floodingom te time napadaĉ ima uvid u promet unutar mreže.
Donja tablica daje pregled nekih od uzroka neispravnog rada preklopnika njihovih posljedica.
MIPRO 2012/HEP 69
TABLICA I. NAJĈEŠĆI UZROCI NEISPRAVNOG RADA
PREKLOPNIKA I NJIHOVE POSLJEDICE
Uzrok neispravnom
radu
Posljedica Opseg
problema
Jednosmjerni prekid
optiĉke veze
Kreiranje Layer 2
petlje koju nije moguće
detektirati STP-om
Globalan
Softverska greška Neispravna konvergencija STP-a
Globalan
Hardverska greška Preklopnik se poĉinje
ponašati kao Ethernet HUB ĉime uzrokuje
Layer 2 petlju
Globalan
B. Povezivanje EE objekata Internet protokolom (IP)
Za razliku od Ethernet tehnologije ĉija je prvenstvena uloga spajanje ureĊaja unutar lokalnih mreža, IP je razvijen s ciljem povezivanja na MAN i WAN razini. Sukladno tome, svi mehanizmi rada IP mreža inicijalno su razvijani i prilagoĊeni za MAN i WAN povezivanje. Zbog ove ĉinjenice povezivanje objekata na većem geografskom podruĉju bitno je stabilnije i pouzdanije nego u sluĉaju povezivanja objekata na drugoj razini OSI modela, tj. putem zajedniĉke Ethernet mreže.
Ukratko,usmjeravanje unutar IP mreža temelji se na sljedećim konceptima:
Tablica usmjeravanja – Usmjerivaĉi usmjeruju promet na temelju informacija unutar tablice usmjeravanja. Ova tablica sadrži podatke o dostupnosti svih IP mreža pri ĉemu se informacije unose u tablicu usmjeravanja pri pokretanju ureĊaja, odnosno pri podizanju dinamiĉkog protokola usmjeravanja. Tako usmjerivaĉi nakon pokretanja posjeduju informacije o svim dostupnim mrežama te su u potpunosti spremni za usmjeravanje prometa unutar mreže.
Logika usmjeravanja - IP usmjerivaĉi na temelju tablice usmjeravanja odreĊuju izlazno suĉelje, tj. sljedeći ĉvor u mreži prema kojem moraju usmjeriti promet prema odreĊenoj mreži. Razlika izmeĊu preklapanja i usmjeravanja je u tome što usmjerivaĉi pretpostavljaju da posjeduju informacije o svim dostupnim mrežama. Zbog toga usmjerivaĉi odbacuju pakete za koje nemaju odgovarajući unos u tablici usmjeravanja. Dakle, usmjerivaĉe ne rade unicast flooding kao Ethernet preklopnici, već promet prema nepoznatim odredištima odbacuju.
Ograniĉavanje Ethernet broadcast domena - Kako se radi o ureĊajima koji funkcioniraju na trećem sloju OSI modela, usmjerivaĉi ograniĉavanju Ethernet broadcast domene. Time zadržavaju lokani broadcast i unknown unicast promet
Redundancija - Redundancija u IP mrežama, kao i u Ethernet mrežama, ostvaruje se korištenjem redundantnih veza. Njima se ostvaruju razliĉite topologije koje sadrže fiziĉke petlje. U sluĉaju korištenja IP protokola moguće je paralelno korištenje redundantnih veza unutar mreže budući da se unutar IP mreža ne vrši flooding unicast prometa. Dodatno , korištenjem dinamiĉkih
protokola usmjeravanja omogućuje se korištenje redundantne topologije uz automatsku konvergenciju mreže u sluĉaju ispada pojedine veze ili ureĊaja.
Iz naĉina usmjeravanja prometa unutar IP mreža vidljivo je da unutar IP mreža ne dolazi do floodinga prometa. Zbog toga je moguće paralelno korištenje redundantnih veza i ureĊaja. TakoĊer, zbog naĉina usmjeravanja u sluĉaju kvara ili neispravnog rada u ureĊaja unutar mreže IP mreže su bitno stabilnije u odnosu na Ethernet mreže.
Donja slika prikazuje scenarij ispada usmjerivaĉa unutar IP mreže koja povezuje ĉetiri EE objekta. IzmeĊu usmjerivaĉa koji povezuju EE objekte (11,21,31,41) postoji fiziĉka petlja. Pretpostavimo da je primaran put izmeĊu EE objekata 1 i 4 preko EE objekta 2, dok je sekundaran put preko EE objekta 3, te da se unutar mreže koristi dinamiĉki protokol usmjeravanja. Normalan rad mreže prikazan je na gornjem dijelu slike, dok je na donjem dijelu slike prikazano ponašanje mreže u sluĉaju djelomiĉnog kvara usmjerivaĉa 21 na primarnom putu.
Slika 4. Ponašanje IP mreže u sluĉaju kvara
70 MIPRO 2012/HEP
U sluĉaju djelomiĉnog kvara usmjerivaĉa 21, npr. neispravnog funkcioniranja dinamiĉkog protokola usmjeravanja, ostali ĉvorovi u mreži posjeduju inteligenciju za automatsko preusmjeravanje prometa na sekundarni put. Ova inteligencija postiže se izmjenom informacija izmeĊu samih usmjerivaĉa. Time se mreža automatski prilagoĊuje nestabilnosti ili neispravnom radu pojedinog ĉvora unutar mreže i samim time se vrši lokalizacija i izolacija kvara na mreži. Za razliku prethodnog primjera Ethernet mreže kada neispravan rad utjeĉe na konvergenciju i rad cijele mreže, u ovom sluĉaju neispravan rad jednog usmjerivaĉa utjeĉe samo na rad tog usmjerivaĉa te samim time dovodi do ispada samo manjeg dijela mreže. Tako je u primjeru kvara unutar Ethernet mreže kvar na preklopniku koji se nalazi na sekundarnom putu uzrokova ispad cijele mreže, dok je u ovom sluĉaju kvar na usmjerivaĉu koji se nalazi na primarnom putu uzrokovao ispad samo tog usmjerivaĉa.
Dodatno, zbog ĉinjenice da se unutar IP mreža ne radi flooding prometa u sluĉaju preopterećenja IP tablice usmjeravanja ne može doći do nekontroliranog usmjeravanja prometa kroz mrežu. U ovom sluĉaju promet za ĉije mreže ne postoji odgovarajuća informacija u tablici usmjeravanja se odbacuje
Donja tablica daje pregled nekih od uzroka neispravnog rada usmjerivaĉa njihovih posljedica.
TABLICA II. NAJĈEŠĆI UZROCI NEISPRAVNOG RADA
USMJERIVAĈA I NJIHOVE POSLJEDICE
Uzrok
neispravnom
radu
Posljedica Opseg
problema
Jednosmjerni
prekid optiĉke veze
Nemogućnost izmjene
informacija s drugim ĉvorovima putem
dinamiĉkog protokola
usmjeravanja koja uzrokuje nedostupnost
ĉvora ili odbacivanje
prometa prema pojedinim mrežama.
Lokalan
Softverska
greška
Lokalan
Hardverska greška
Lokalan
III. DIZAJN MEHANIZAMA GARANCIJE KVALITETE
USLUGE
U sluĉaju prijenosa podataka više sustava izmeĊu EE objekata korištenjem zajedniĉke mrežne infrastrukture, promet sustava razliĉite kritiĉnosti koristi prenosi se putem istih veza. Pri tome je potrebno osigurati da promet visoko kritiĉnih sustava na ĉvorovima u mreži ima odgovarajući, prioritetni, tretman kako bi se osiguralo ispravno funkcioniranje tih sustava u sluĉaju zagušenja na vezama izmeĊu EE objekata. Dakle, potrebno je definirati QoS model koji će osigurati odreĊenu garanciju kvalitete usluge za pojedine servise.
Ethernet/IP mreže temelje se na konceptu komutacije paketa, odnosno okvira. Znaĉajka mreža temeljenih na ovom konceptu je da nemaju inherentno ugraĊenu garanciju kvalitete usluge (QoS).
Da bi se omogućila garancija kvalitete usluge u mrežama s komutacijom paketa potrebno je unutar mreže implementirati jedan od dva QoS modela; Intserv ili Diffserv.
Intserv QoS model zasniva se na osiguravanju QoSa sa kraja na kraj za svaki pojedini tok (flow) podataka. Kako se u današnjim IP mrežama generira velika koliĉina tokova, ovaj model se pokazao ne-efikasnim i ne-skalabilnim. Zbog toga se pri implementaciji QoS-a u IP mrežama, kao standard nametnuo Diffserv model. Diffserv model se primano zasniva se na dva koncepta. Prvi je klasifikacija i markiranje prometa u više QoS klasa dok je drugi odreĊivanje QoS tretmana (Per Hop Behaviour –PHB) prometa svake QoS klase na svakom ĉvoru u mreži.
Najkorištenije tehnike definiranja PHBa unutar Diffserv QoS modela su:
Klasifikacija i markiranje prometa – Osnova Diffserv modela je klasifikacija i markiranje prometa u više QoS klasa. Klasifikacijom se odreĊuje QoS klasa prometa i ona može zahtijevati kompleksnu provjeru paketa. Zbog toga je dobra inženjerska praksa da se na ulazu u mrežu prilikom klasifikacije odmah vrši i markiranje prometa. Markiranjem se prometu postavljaju vrijednost IEEE 802.1p polja unutar zaglavlja Ethernet okvira i/ili DSCP polja unutar zaglavlja IP paketa ĉime se na svim ĉvorovima unutar mreže omogućuje odreĊivanje QoS klase prometa na temelju jednostavne provjere navedenih polja. Iznimno je važno klasifikaciju i markiranje prometa napraviti konzistentno i to pri samom ulazu prometa u mrežu. Ovime se omogućuje ispravan QoS tretman prometa na svim ĉvorovima u mreži. U sluĉaju da se klasifikacija i markiranje ne obavi konzistentno i na samom ulazu prometa u mrežu postoji opasnost od neadekvatnog QoS tretmana prometa na pojedinim ĉvorovima.
Kontrola zagušenja – Kontrola zagušenja je jedan od mehanizama kojim se definira PHB na ĉvorovima u mreži. UreĊaji na suĉeljima koriste više izlaznih redova posluživanja koji se poslužuju razliĉitim brzinama. Prometu se na temelju njegove QoS klase dodjeljuje izlazni red posluživanja. Kako se svi redovi posluživanja ne poslužuju istom brzinom ovako je moguće u sluĉaju zagušenja izvršiti garanciju propusnosti za pojedinu QoS klasu. Dodatno je moguće definirati prioritetni red posluživanja koji se uvijek poslužuje bez obzira na promet unutar drugih redova posluživanja. Korištenje ovakvog reda posluživanja opravdano je pri korištenju aplikacija koje su osjetljive na kašnjenje i varijaciju kašnjenja budući da se promet u ovom redu uvijek poslužuje s apsolutnim prioritetom u odnosu na druge redove.
Izbjegavanje zagušenja – PHB mehanizam koji selektivnim odbacivanjem paketa omogućuje izbjegavanje zagušenja prije nego što se ono dogodilo. Za svaku QoS klasu definira se vjerojatnost odbacivanja prometa iz reda posluživanja. Na temelju ovih vrijednosti promet manje kritiĉnih aplikacija poĉinje se odbacivati prije pojave samog zagušenja. Uz ĉinjenicu da
MIPRO 2012/HEP 71
TCP protokol koristi slow start mehanizam u sluĉaju gubitka paketa, ovakvim odbacivanjem prometa postiže se smanjenje ukupnog obujma, prije svega manje kritiĉnog, prometa, a time i smanjenje mogućnosti pojave zagušenja na suĉelju. Ovaj mehanizam primjenjiv je samo na TCP promet, dok nema uĉinka na UDP promet budući da UDP protokol ne koristi slow start mehanizam.
Ograniĉavanje i oblikovanje prometa – Ograniĉavanjem prometa vrši se ograniĉavanje vršne brzine prometa pojedine QoS klase. U sluĉaju prekoraĉenja vršne brzine promet se odbacuje. Ovime se omogućuje da promet pojedine QoS klase ne može prijeći odreĊenu vrijednost ĉime se osigurava propusnost za ostale QoS klase. Oblikovanje prometa takoĊer ograniĉuje promet na suĉelju, no promet koji prelazi definiranu vrijednost se ne odbacuje već se stavlja se u red posluživanja te se poslužuje naknadno kada je to moguće.
S obzirom na gore definirane tehnike, da bi se osigurala garancije kvalitete servisa unutar mreže za povezivanje EE objekata nužno je definirati adekvatan QoS model koji će omogućiti potrebnu razinu kvalitete usluge za sve servise koje koriste mrežnu infrastrukturu. Definiranje QoS modela obuhvaća sljedeće korake:
Identifikaciju servisa koji se koriste unutar mreže. Unutar ovog koraka potrebno je identificirati same servise te definirati komunikacijske tokove samih servisa.
Na temelju prethodnog koraka potrebno je izvršiti definiciju odgovarajućeg broja QoS klasa na suĉeljima mrežnih ureĊaja. Pri tome je potrebno posvetiti pozornost na tehniĉka ograniĉenja korištenih tehnologija i opreme koja mogu utjecati na maksimalan broj QoS klasa unutar sustava. Npr. u sluĉaju markiranja 802.1p polja moguće je definirati najviše osam QoS klasa, pojedini preklopnici imaju samo ĉetiri reda posluživanja i sl.
Naĉin klasifikacije te markiranja prometa za svaku pojedinu QoS klasu, u smislu tehnike klasifikacije te vrijednosti 802.1p i/ili DSCP polja pridijeljenih svakoj pojedinoj QoS klasi. U ovom sluĉaju potrebno je uzeti u obzir ograniĉenja korištenih platformi. Npr. neke platforme podržavaju samo markiranje 802.1p polja i sl.
Za svako pojedinu QoS klasu potrebno je definirati PHB na ĉvorovima u mreži. U ovom sluĉaju potrebno je osigurati adekvatan tretman prometa na svim ĉvorovima u mreži kako bi se za svaku QoS klasu osigurala odgovarajuća kvaliteta usluge. U ovom koraku , osim ograniĉenja korištenih hardverskih platformi u smislu raspoloživih tehnika definiranja PHBa, posebnu pozornost je potrebno posvetiti tokovima podataka pri definiranju odgovarajućeg PHBa na ĉvorovima/vezama unutar mreže.
Kako je prethodno navedeno, pri definiranju QoS modela posebnu pažnju potrebno je posvetiti odabiru hardverskih platformi. Pri tome, generalno, usmjerivaĉi omogućuju fleksibilnije definiranje QoS modela u odnosu na preklopnike. Razlog leži u ĉinjenici da velika većina preklopnika ima ograniĉen skup QoS funkcionalnosti. Npr ograniĉen broj redova posluživanja, nemogućnost oblikovanja prometa i sl. S druge strane IP usmjerivaĉa posjeduju puno širi skup QoS funkcionalnosti i veću fleksibilnost pri definiranju QoS modela.
IV. DIZAJN SIGURNOSNIH MEHANIZAMA
UvoĊenje mrežnih tehnologija komunikacije s mogućnošću usmjeravanja prometa logiĉan je nastavak na tradicionalni prijenos i distribuciju elektriĉne energije s ciljem prilagoĊavanja digitalnoj komunikaciji, odnosno omogućavanja brzog, a istovremeno ekonomiĉnijeg naĉina razmjene potrebnih informacija. Kako su osnova industrijskog procesnog sustava njegova dugovjeĉnost i pouzdanost, oĉekivanja njegova besprekidnog rada mjere se u godinama, dok se cjelokupno oĉekivano vrijeme trajanja implementiranog sustava može mjeriti u desetljećima.
U vrijeme implementacije većine postojećih SCADA sustava, sigurnost se u tolikoj mjeri nije temeljila na informatiĉkoj koliko na fiziĉkoj sigurnosti (toĉnije – izdvojenosti od ostalih sustava, kao što je prikazano na slici 5), pa se povećanjem dostupnosti korištenjem mrežnih tehnologija uvelike povećao rizik od mogućeg neautoriziranog pristupa, a time i utjecaja na pouzdan rad cjelokupnog sustava.
INTERNET
www aplikac.SERVERI
RADNE STANICE
POSLOVNA MREŽA
SCADA
HIST.
BAZARADNE STANICE
PROCESNA MREŽA
RTU/PLC
HMI
SENZORI & AKTUATORI
Slika 5. Tradicionalni dizajn industrijske mreže
Iako SCADA sustavi imaju svoje specifiĉnosti, oni se u osnovi sastoje od poslužitelja i radnih stanica s uobiĉajenim operativnim sustavom te su kao takvi već podložni sigurnosnim ranjivostima. Dodatno, kao što je
72 MIPRO 2012/HEP
prikazana na slici 6, ranjivosti samih aplikacija industrijskih procesnih sustava iz godine u godinu rastu gotovo eksponencijalno.
Slika 6. Prikaz broja ranjivosti SCADA sustava
Kako smo već spomenuli, osnovna oĉekivana funkcionalnost SCADA sustava jest njegova besprekidnost i dugovjeĉnost, koja za posljedicu ima onemogućavanje pravovremenog ažuriranja sigurnosnih zakrpi bilo aplikacija bilo operativnog sustava procesnih radnih stanica, a pogotovo poslužitelja, koji tako u relativno kratkom vremenu postaju sigurnosno zastarjeli.
S obzirom na navedeno, spajanje poslovne mreže s do tada izdvojenom procesnom mrežom industrijskog sustava, kao što je prikazano na slici 7, povećava dostupnost, ali time i realnu ranjivost te ukazuje na važnost pravilnog dizajna i implementacije sigurnosti na razini mrežne infrastrukture.
INTERNET
www aplikac.SERVERI
RADNE STANICE
POSLOVNA MREŽA
SCADA
HIST.
BAZARADNE STANICE
PROCESNA MREŽA
RTU/PLC
HMI
SENZORI & AKTUATORI
Slika 7. Spajanje poslovne i procesne mreže industrijskog sustav
A. MOGUĆI UTJECAJ USPJEŠNOG CYBER-
NAPADA NA INDUSTRIJSKI PROCESNI SUSTAV
Šteta nastala od uspješno izvedenog cyber-napada na SCADA sustave u ovisnosti je od vrste incidenta, a može utjecati na pravilan prikaz procesnih informacija, te u konaĉnosti i na sam proizvodni sustav EE objekata. Ovisnost uspješnog cyber napada i incidenta dan je u nastavku.
Promjena u sustavu, operativnom sustavu ili samoj aplikaciji može utjecati na:
izbjegavanje iniciranja alarma te zaobilaženje
zapisa u izvještaju kako bi se sakrila zlonamjerna
aktivnost
promjena oĉekivanog ponašanja kako bi se
proizveli neželjeni i neoĉekivani rezultati
Promjena u programabilnoj logici PLC, RTU i/ili
ostalih kontrolera može utjecati na:
štetu na opremi i/ili objektima
smetnje/gašenje procesa
onemogućavanje kontrole nad procesom
Davanje pogrešnih informacija nadzornim inženjerima
može utjecati na:
uzrokovanje neodgovarajućih radnji koje kao
rezultat daju promjenu u programabilnoj logici
sakrivanje ili zaobilaženje zlonamjerne radnje
(npr. umetanje rootkit-a; zlonamjernog koda)
Manipulacije sigurnosnim sustavima ili ostalim
kontrolama može utjecati na:
spreĉavanje oĉekivanih operacija (npr. fail-safe),
ali i ostalih sigurnosnih mehanizama s vrlo
štetnim posljedicama Zaraženost malicioznim programima (engl. malware)
može utjecati na:
pojavljivanje dodatnih incidentnih situacija
produktivnost gašenjem ureĊaja i odnošenje istog
na forenziĉku analizu, ĉišćenje i/ili zamjenu
otvaranje ureĊaja za dodatne napade, kraĊu
informacija, njegovu promjenu ili infekciju
KraĊa informacija može utjecati na:
tajnost povjerljivih informacija (recepti ili
kemijske formule)
Mijenjanje informacija može utjecati na:
vjerodostojnost informacija (recepti ili kemijske
formule promijenjene su kako bi se negativno
utjecalo na proizvod)
U nastavku je opisano nekoliko stvarnih incidenata
nastalih iskorištavanjem ranjivosti procesnih sustava:
CRV SLAMMER (2003) uzrokovao je pad sigurnosnog procesnog sustava Davis-Besse nuklearne elektrane (Ohio, SAD) na pet sati. S obzirom da je postrojenje bilo izvan pogona već gotovo godinu dana, incident nije predstavljao sigurnosni rizik za okoliš, ali je ukazao na opasnost spajanja poslovne i procesne mreže. Naknadnom istragom utvrĊeno je da je zagušenje procesne mreže uzrokovano spajanjem zaraženog raĉunala poslovne mreže na procesni sustav.
AURORA PROJECT (2007) – INL (Idaho National Laboratories) uspješno je izvršio kontrolirani eksperiment kojim se pokazalo da upravljaĉki sklop može biti uništen cyber-napadom. Ranjivost je dopustila napadaĉu uspješnu
MIPRO 2012/HEP 73
manipulaciju prekidaĉem ĉime je izbacio diesel-generator iz sinkronizacije te kao krajnji rezultat i uništenje generatora.
Slika 8. Aurora project - snimka uspješno izvedenog napada
CRV STUXNET (2009) širi se preko Microsoft Windows operativnog sustava, a primarna mu je namjena napad na Siemens SCADA sustave. Otkriven je u lipnju 2010. godine, da bi razliĉite varijante Stuxneta naknadno zarazilo nekoliko iranskih nuklearnih postrojenja te se kasnije proširilo i po svijetu. Iako je Siemens izjavio da crv nije prouzroĉio nikakvu štetu njegovim klijentima, iranski nuklearni program, koji je opremu zbog embarga nabavljao u tajnosti, jest. Stuxnet crv prvotno traži Siemens SIAMATIC WinCC i PCS 7 aplikacije te koristeći standardna korisniĉka imena i lozinke vrši zarazu PLC-ova ubacujući rootkit preko Profibus protokola i sabotirajući kontroler rada industrijskih motora.
Slika 9. Stuxnet - Prikaz zaraze
NIGHT DRAGON (2009) kao cilj napada nema sabotažu u smislu stabilnosti rada industrijskog sustava, već kraĊu informacija – industrijsku špijunažu. Iskorištavajući ranjivosti SQL sustava, napadaĉi su pristupali Internet poslužiteljima te koristeći standardne alate dolazili do korisniĉkih imena i pripadajućih lozinki koje su potom koristili za pristup unutrašnjim radnim stanicama i poslužiteljima te arhivi elektronske pošte.
B. OSNOVNI DIZAJN SIGURNOSNE POLITIKE
Možemo reći da je sigurnost proces kojim se predmet sigurnosti štiti od raznih oblika prijetnji. Imamo više, što regionalnih, što globalnih organizacija koje kroz svoje preporuke pokušavaju definirati metode zaštite industrijskog sustava (HSPD-7, NIST Special Publications (800 Series), NERC CIP, Nuclear Regulatory Commission, ISA-99, ISO 27002, …), ali u osnovi dolazimo do definiranja sigurnosne politike kroz pet osnovnih koraka u dizajniranju industrijske mrežne sigurnosti:
1. korak - identifikacija sredstva koja se žele zaštititi
2. korak - sustav razdvojiti u logiĉki funkcionalne grupe
3. korak - implementirati (financijski prihvatljive) mjere zaštite navedenih funkcionalnih grupa
4. korak - kontrolirati pristup u/izmeĊu svake funkcionalne grupe
5. korak - neprestano revidirati proces te ga nadograĊivati sukladno pronalasku slabosti
Identifikacija sredstva koje se želi zaštititi podrazumjeva procjenu ranjivosti i njegove važnosti za nesmetan rad cjelokupnog sustava te se na temelju dobivene vrijednosti odreĊuje zahtjevana razina zaštite za predmetno sredstvo. Na temelju identifikacije razine zaštite pojedinog sredstva, cjelokupni sustav razdvajamo u logiĉki funkcionalne grupe nad kojima individualno, za svaku grupu zasebno, odreĊujemo i implementiramo (financijski prihvatljive) mjere zaštite. Toĉke doticaja novodefiniranih funkcionalnih grupa ukazuju nam moguće toĉke pozicioniranja sigurnosnih mrežnih ureĊaja kao što su vatrozid, IDS/IPS (engl. Intrusion Detection System/Intrusion Prevention System) ali i drugih koji nam omogućavaju osiguravanje kontroliranog pristupa u/izmeĊu svake funkcionalne grupe. Vrlo je važno napomenuti da realizacija sigurnosne politike ne završava po fiziĉkoj integraciji sigurnosnih ureĊaja u mrežnu infrastrukturu industrijskog okruženja. Kritiĉno je kontinuirano nadgledati i analizirati provoĊenje sigurnosne politike na dnevnoj bazi kako bi se u najkraćem mogućem roku pravovremeno reagiralo na pronaĊene ranjivosti u sustavu. TakoĊer, važnu ulogu ima i periodiĉno provoĊenje kontrole (engl. audit) sigurnosti koja korisnike sustava drži svjesnima sigurnosnog rizika i njegovih implikacija na rad cjelokupnog procesnog sustava.
C. IMPLEMENTACIJA ELEMENATA MREŽNE
KOTROLE PRISTUPA
Osiguravanje pristupa poslovnoj i procesnoj mreži industrijskog sustava možemo provoditi kroz korištenje dizajna sigurnosti u slojevima kojim osiguravamo da ranjivost jednog djela mreže ne utjeĉe direktno i na sigurnost drugog djela mreže. Dodatno, pojam sigurnosti u slojevima odnosi se i na korištenje zaštitnih tehnologija koje djeluju na razliĉitim slojevima OSI (engl. Open System Interconnection) modela. Svaki sloj OSI modela odgovoran je za specifiĉne funkcije mrežne komunikacije , a kako razliĉiti servisi (aplikacije, hardver, …) djeluju
74 MIPRO 2012/HEP
na razliĉitim slojevima, tako se razliĉite vrste napada mogu pojaviti na svakoj razini OSI modela. Ukoliko je kompromitiran bilo koji od sedam slojeva, svi ostali slojevi OSI referentnog modela komunikacije su ugroženi.
Slika 10. OSI model
Implementacija zaštite fiziĉkog sloja OSI referentnog modela provodi se samom fiziĉkom zaštitom pristupa mreži, odnosno administrativnim gašenjem nekorištenih suĉelja mrežnih preklopnika.
Implementacija zaštite podatkovnog sloja OSI referentnog modela provodi se korištenjem virtualnih lokalnih mreža (u nastavku teksta – VLAN, engl. Virtual Local Area Network), tehnologije koja omogućava logiĉko grupiranje mrežnih korisnika spojenih na suĉelja mrežnog preklopnika. Svaki VLAN zasebna je logiĉka mreža, odnosno, zasebna broadcast domena. Iako se isti VLAN može rasprostirati preko više mrežnih preklopnika, promet izmeĊu razliĉitih VLAN-ova ostaje odvojen.
Kako bi se osigurao pristup u skladu sa sigurnosnom politikom industrijske mreže koristi se integracija dvije tehnologije– IEEE 802.1x i NAC (engl. Network Access Control).
IEEE 802.1x omogućava pristup mreži samo za to autoriziranim korisnicima kroz korištenje tri standardizirana elementa:
802.1x klijent – ureĊaj koji zahtjeva korisniĉki
pristup na mrežu
Autentikator - ureĊaj koji kontrolira mrežni
pristup 802.1x klijenta
Autentikacijski poslužitelj (RADIUS) – izvršava
autentikaciju 802.1x ureĊaja i korisnika U ovisnosti o uspješnoj autentikaciji, NAC omogućava
dodatnu usklaĊenost sa sigurnosnom politikom - provjeru verzije operativnog sustava i potrebnih ažuriranja te postojanje i pravilno ažuriranje antivirusnih aplikacija. Tek po uspješnoj identifikaciji, autentikaciji i provjeri ažuriranja, poslužitelj pridjeljuje korisniku predefinirana prava pristupa, odnosno VLAN. S obzirom da je meĊusobna komunikacija korisnika razliĉitih VLAN-ova moguća tek korištenjem ureĊaja mrežne razine komunikacije navedenu kontrolu provodimo implementacijom zaštite na mrežnoj i transportnoj razini OSI referentnog modela.
Implementacija zaštite mrežnog i transportnog sloja OSI referentnog modela provodi se korištenjem vatrozida pozicioniranog na dodirnim toĉkama logiĉki odvojenih funkcionalnih grupa. Toĉke smještaja odreĊene su tako da je sav inicirani promet izmeĊu navedenih segmenata primoran na prolazak kroz vatrozid omogućavajući tako provjeru sesije te svakog ulaznog i izlaznog paketa. Na osnovu predefiniranih pravila (izvorišna/odredišna IP adresa, izvorišni/odredišni servis, izvorišni/odredišni port), a sve u skladu sa sigurnosnom politikom industrijskog sustava, vatrozid odluĉuje da li će predmetni paket propustiti ili neće. Vatrozid održava tablicu stanja svih sesija – uspostavljenih komunikaciji tokova, te na temelju njih provjerava stanje veze kroz slijedeće korake
ukoliko je paket dio novo uspostavljene veze,
paket se usporeĊuje s pravilima definiranima kroz
njegovu kontrolnu listu, a sve na temelju IP
adrese, servisa i pripadajućeg porta, te odluĉuje o
tome da li paket prihvaća ili odbija
ukoliko je paket dio već uspostavljene veze, paket
se samo propušta. Vatrozidi imaju mogućnost dubinske provjere paketa,
tj. provjere paketa do njegove aplikacijske razine OSI modela, što znaĉi da imaju mogućnost provjere da je rad aplikacijskih operacija u skladu sa za njih predviĊenim standardom.
Implementacija zaštite aplikacijskog sloja OSI referentnog modela provodi kroz korištenje slijedećih elemenata:
Sustav zaštite od neautoriziranog upada (IPS) u
osnovi vrši detekciju prometa na temelju lokalne
baze potpisa. Potpis napada najĉešće se sastoji od
kombinacije izvorišne i odredišne adrese
,protokola i kombinacije izvorišnog i odredišnog
porta, ĉime se omogućava vrlo precizno
definiranje moguće grupe napada. Daljnja
detekcija vrši se na razini jednog IP paketa
usporeĊujući njegov sadržaj sa sadržajem svakog
pojedinog potpisa u lokalnoj bazi ureĊaja, te u
sluĉaju pojavljivanja uzorka prometa koji
odgovara nekom od potpisa napada lokalne baze
detektira se napad i pokreće alarm predefiniran za
toĉno taj napad. Lokalnu bazu potpisa potrebno je
ažurirati u skladu za to predviĊenim vremenom od
strane proizvoĊaĉa.
Sustav za kontrolu Web prometa je servis koji
kontrolira sadržaje dohvaćane s Interneta
primjenom odgovarajuće politike sustava. Ovakvo
rješenje kategorizacijom web stranica a time i
zaštitom od malicioznog sadržaja, štiti
organizacije i zaposlenike od rastućeg broja
prijetnji na Internetu te sukladno sigurnosnoj
politici dopušta ili zabranjuje pristup traženim
stranicama. Sustav daje informacije u realnom
vremenu što omogućuje brzu reakciju, a sve je
popraćeno detaljnim analizama i izvješćima.
Sustav za kontrolu elektroniĉke pošte pruža
antivirusnu zaštitu mail gatewaya, anti-spam
zaštitu te filtriranje sadržaja poruka u prijenosu.
Sustav je moguće prilagoditi svakoj mail
MIPRO 2012/HEP 75
platformi i korisniĉkim zahtjevima kroz više
nivoa fleksibilnih pravila. Sustav vrši ulogu
SMTP gateway-a izmeĊu Interneta i korisnikovog
internog mail sustava. Sa visoko skalabilnom
platformom i centraliziranim upravljanjem za laku
administraciju, blokira se na gateway-u cijela
paleta napada.
Implementacija sigurnog spajanja udaljenih klijenata provodi kroz integraciju više ureĊaja - ureĊaja za sigurnu terminiranje udaljenog spajanja korištenjem IPsec i/ili SSL tehnologije što može biti vatrozid ili zaseban VPN koncentrator, autentikacijskog poslužitelja te NAC-a. Autentikacijski poslužitelj, najĉešće RADIUS sever, na temelju certifikata i korisniĉkih informacija (korisniĉko ime, lozinka) omogućava potvrdu identiteta udaljenog klijenta. U ovisnosti o uspješnoj autentikaciji, NAC omogućava dodatnu usklaĊenost sa sigurnosnom politikom - provjeru verzije operativnog sustava i potrebnih ažuriranja te postojanje i pravilno ažuriranje antivirusnih aplikacija. Tek po uspješnoj identifikaciji, autentikaciji i provjeri potrebnih ažuriranja, korisniku se pridjeljuju predefinirana prava pristupa. Dodatan nazor komunikacije pružaju vatrozidi i ureĊaji zaštite od malicioznosti.
U nastavku je dan shematski prikaz dizajna sigurnosti implementacijom elemenata kontrole pristupa:
INTERNET
WWW APLIK,
RADNE STANICE
POSLOVNA MREŽA
SCADA
HIST.
BAZARADNE STANICE
PROCESNA MREŽA
RTU/PLC
HMI
SENZORI & AKTUATORI
RADIUS
ISE
IEEE 802.1X
IEEE 802.1X
NAC
ISE
RADIUS NAC
WWW
EMAILVATROZID
+ IPS+ VPN
EMAIL SIGURNOST
WEB SIGURNOST
VATROZID + IPSNADZOR
MREŽE
Slika 11. Primjer dizajna sigurnosti implementacijom elemenata
kontrole pristupa
V. DIZAJN MEHANIZAMA ZA NADZOR I UPRAVLJANJE
Za ispravno i pouzdano funkcioniranje mrežne infrastrukture, osim dobrog dizajna, potrebno je vršiti
kontinuirani nadzor mreže. Njime se omogućuje uvid u stanje i performanse mreže, rano otkrivanje potencijalnih problema, upozoravanje na sigurnosne incidente, pružanje uvida u aktivnosti unutar mreže i itd.
Iz navedenog je vidljivo da adekvatan nadzor bitno utjeĉe na brzinu otkrivanja i otklanjanja problema, omogućuje pravovremeno prepoznavanja potencijalnih problema te njihovo uklanjanje prije nego što mogu utjecati na rad servisa. Time se bitno smanjuje srednje vrijeme popravka (MTTR) i osigurava ĉim veća raspoloživost sustava.
Mrežni nadzor moguće je vršiti korištenjem više nadzornih sustava koji se dijele u sljedeće kategorije prema FCAPS modelu definiranom od strane ITU-T :
Nadzor grešaka (Fault management) ĉija je uloga otkrivanje, obavještavanje, izolacija i otklanjanje kvarova unutar mreže. Ova funkcionalnost postiže se aktivnim i pasivnim nadzorom mrežnih ureĊaja. U sluĉaju pasivnog nadzora, mrežni ureĊaji posjeduju inteligenciju slanja obavijesti nadzornom sustav u sluĉaju kvara. Ova funkcionalnost najĉešće se postiže generiranjem SNMP Trap poruka s mrežnih ureĊaja i njihovim primanjem od strane nadzornog alata. Da bi se otkrili kvarovi u kojima sam ureĊaj nije u mogućnosti generirati odgovarajući alarm, npr. nestanak napajanja, koriste se tehnike aktivnog nadzora. Ove tehnike ukljuĉuju aktivan nadzor nad ureĊajima korištenjem razliĉitih alata, poput „pinga“ kako bi se otkrili kvarovi unutar mreže.
Nadzor performansi (Performacne management) ĉija je uloga kontinuirano praćenje performansi mreže, u smislu praćenja razliĉitih mrežnih parametara, poput gubitka paketa, kašnjenja ili raspoložive propusnosti Nadzor performansi sastoji se od sljedećih komponenti:
Nadzor performansi kroz prikupljanje podataka
vezanih uz performanse mrežnih ureĊaja i veza
Praćenje performansi kroz definiranje pragova za
pojedine parametre te algoritama za analizu
prikupljenih podataka
Analiza performansi kroz dodatno procesiranje
prikupljenih podataka Nazorom performansi omogućuje se rano otkrivanje
potencijalnih problema i njihovo otklanjanje prije nego što oni poĉinu utjecati na stabilnost rada mreže i mrežnih servisa. TakoĊer, ovi alati mogu poslužiti za identificiranje pod-kapacitiranih ĉvorova i veza unutar mreže te omogućiti pravovremeno proširenje kapaciteta. Donja slika prikazuje izvještaj o gubitku paketa na suĉelju iz alata za nadzor performansi.
Slika 12. Primjer izvještaja o gubitku paketa na suĉelju
76 MIPRO 2012/HEP
U ovom sluĉaju sam gubitak paketa na suĉelju može biti toliko mali da trenutno ne utjeĉe na rad servisa, no može ukazivati potencijalni problem unutar mreže. Konkretno u ovom sluĉaju može se raditi o greškama na fiziĉkom sloju koje u budućnosti mogu dovesti do ispada same veze. U sluĉaju korištenja samo fault management alata za nadzor ne bi bilo moguće detektirati gubitak paketa i time sprijeĉiti ispad veze, već je moguće samo detektirati ispad veze kada se on dogodi.
Nadzor konfiguracija (Configuration management) kojim se osigurava nazor nad hardverskim i softverskim karakteristikama ureĊaja unutar mreže. Pod time se smatra; definiranje hardverskog i softverskog inventara mrežnih ureĊaja, prikupljanje i pohrana konfiguracija mrežnih ureĊaja, praćenje promjena konfiguracija ureĊaja i sl. Korištenjem ovih alata omogućuje se:
Pojednostavljenje procesa održavanja,
konfiguracije i nadogradnje mreže
Minimizira mogućnost pojave grešaka u
konfiguraciji ureĊaja
Centralizirana pohrana i praćenje promjena u
konfiguracijama ureĊaja
Osiguravanje konzistentnost hardverskih i
softverskih konfiguracija ureĊaja
Smanjuje mogućnost pojave softverskih grešaka
zbog neujednaĉenosti korištenih verzija
operacijskih sustava na mrežnim ureĊajima
Nadzor pristupa (Accounting management) kojim se
omogućuju praćenje korisniĉkih aktivnosti unutar mreže u smislu mjerenja korištenja mrežnih servisa od strane korisnika, tarifiranje i sl.
Nadzor sigurnosti (Security management) ĉiji je cilj pružiti sveobuhvatni nadzor nad sigurnosti sustava. Njime se omogućuje:
Prevencija sigurnosnih incidenata
Detekcija sigurnosnih dogaĊaja
Ograniĉavanje i oporavak od sigurnosnih
incidenata
Osiguravanje sigurne administracije
Nadzor sigurnosti se sastoji od dvije komponente:
Osiguravanje servisa u smislu autentikacije i
kontrole pristupa pojedinim servisima. Jedan od
primjera je AAA (Authentication Autorization
Accounting) administratorskog pristupa mrežnim
ureĊajima kojim se omogućuje definiranje
korisniĉkih raĉuna mrežnih administratora,
pridjeljivanje razine pristupa svakom od njih,
njihovu centralnu autentikaciju, te detaljno
praćenje njihovih aktivnosti na svakom pojedinom
ureĊaju u mreži, u smislu naredbi koje su unijeli
za vrijeme administracije samih ureĊaja.
Detekcija sigurnosnih dogaĊaja u smislu
prepoznavanja i izvještavanja o sigurnosnim
dogaĊajima unutar mreže. Npr. detektiranje i
obavještavanje o pokušajima ne-autoriziranog
pristupa ili prepoznavanje aktivnosti unutar mreže
koje upućuju na zlonamjeran softver poput crva ili
trojanaca i sl.
Korištenjem navedenih nadzornih sustava omogućuje
se sveobuhvatan nadzor na mrežom i mrežnim servisima. Da bi se olakšao korištenje skupa nadzornih sustava u praksi se ĉesto koriste središnji nadzorni sustavi. Njihova uloga je prikupljanje informacija s nadzornih alata, te njihovo filtriranje i prezentacija kroz zajedniĉko suĉelje. Ovime se bitno olakšava paralelno korištenje više alata budući da se izvještavanje o dogaĊajima unutar mreže vrši kroz zajedniĉko suĉelje. Donja slika prikazuje koncept središnjeg nadzornog sustava.
Slika 13. Središnji nadzorni sustav
VI. ZAKLJUĈAK
U dokumentu je dan pregled svih graĊevnih elemenata koji osiguravaju skalabilnu, pouzdanu i sigurnu komunikacijsku infrastrukturu za povezivanje EE objekata. U njenoj izgradnji posebnu pažnju je potrebno posvetiti dizajnu svih njenih elemenata budući da stabilnost i pouzdanost mreže ovisi o najslabijoj karici.
Iz odvajanje lokalnih mreža EE objekata i njihovo povezivanje putem IP veza nameće se kao logiĉan izbor. Razlog tome je ĉinjenica da je ovakav dizajn sustava bitno robusniji i pouzdaniji u donosu na dizajn sustava povezivanjem EE objekata putem Ethernet mreže.
Dodatno, da bi se osigurao ispravan i neometan rad više sustava putem zajedniĉke mrežne infrastrukture pozornost je potrebno obratiti odgovarajućem dizajnu sigurnosti sustava i garanciji kvalitete servisa. Garancijom kvalitete servisa omogućuje se ispravan rad kritiĉnih sustava u sluĉaju zagušenja veza unutar mreže, dok se kvalitetnim dizajnom sigurnosti štite kritiĉni sustavi od ostalih sustava koji koriste istu mrežnu infrastrukturu.
Na kraju, da bi se osigurao pouzdan rad mrežne infrastrukture potrebno je vršiti kontinuirani nadzor nad mrežnim sustavom. Pri tome je potrebno pokriti sve aspekte nadzora, kako bi se osigurao uvid u stanje mreže, omogućilo pravovremeno unapreĊenje mreže, povećala sigurnost unutar mreže te omogućila detekcija i prevencija sigurnosnih incidenata.
LITERATURA
[1] Benoit Claise, Network Management: Accounting and Performance Strategies,Cisco press, 2007
MIPRO 2012/HEP 77
[2] John Tiso., Designing Cisco Network Service Architectures,Cisco press,2011
[3] Eric Knapp, Industrial Network Security, Syngress 2011
[4] www.cisco.com
78 MIPRO 2012/HEP
