Przemysłowy firewall MTL Tofino

Firewall Tofino

>> Katalog 9202-ETS.pdf
>> Katalog modułów rozszerzeń LSM.pdf
>> Aplikacja Tofino Configurator.pdf

Współczesne systemy sterowania i kontroli (DCS, PLC, SCADA) coraz częściej wykorzystują komunikację opartą o standardy otwarte jak Ethernet TCP/IP, co czyni je wrażliwymi na cyber-ataki ze strony hakerów i złośliwego oprogramowania, czy też awarie spowodowane niewłaściwą konfiguracją, przeciążeniem sieci, błędem ludzkim, itp. Tradycyjne firewall’e rozwiązują część tych problemów, jednak ich skomplikowana konfiguracja nie jest optymalnym rozwiązaniem do zastosowania z przemysłowymi systemami sterowania.
System bezpieczeństwa MTL Tofino™  drugiej generacji to znacznie więcej niż zwykłym firewall. Zawiera dedykowane moduły bezpieczeństwa dla większości protokołów komunikacji stosowanych w przemysłowych systemach sterowania, dotyczy to zarówno standardów otwartych jak i protokołów specyficznych dla konkretnych producentów sterowników. W połączeniu z klasycznym interfejsem „okienkowym” czyni to konfigurację systemu bardzo łatwą, także dla inżynierów i specjalistów w zakresie systemów automatyki przemysłowej.
System MTL Tofino™ pozwala na budowę systemu cyberbezpieczeństwa zgodnie z normą IEC 62443 (z podziałem na strefy bezpieczeństwa) i jest oparty na trzech komponentach:

  • moduł sprzętowy 9202-ETS, instalowany w szafie sterowniczej (np. obok chronionego PLC), zapewniający podstawowy moduł ochrony klasy firewall, oraz rejestrator zdarzeń
  • ładowalne moduły bezpieczeństwa (Loadable Security Module – LSM), znacznie rozszerzające funkcjonalność podstawową, przez dodanie funkcji dedykowanych dla konkretnych aplikacji, np. dla komunikacji OPC, Modbus TCP, czy Ethernet/IP
  • Darmowa centralna platforma Tofino Configurator, pozwalająca na zdalną konfigurację, zarządzanie i obsługę poszczególnych modułów sprzętowych w sieci, z wykorzystaniem szyfrowanej komunikacji.

Implementacja cyberbezpieczeństwa opartego na MTL Tofino jest niezwykle łatwa, zarówno w nowych jak i istniejących systemach. Instalacja Plug-n-Protect nie wymaga wstępnej konfiguracji, żadnych zmian w sieci ani zakłóceń w pracy systemie sterowania. Moduł 9202-ETS po podłączeniu i uruchomieniu przez pewien czas analizuje ruch sieciowy i dokonuje wstępnej auto-konfiguracji w oparciu o domyślne ustawienia, które oczywiście mogą być później modyfikowane przez użytkownika. Unikalny tryb „Test” umożliwia także testowanie konfiguracji zapory, co jest szczególnie przydatne w przypadku wyszukiwania przyczyn problemów, czy weryfikacji prawidłowej komunikacji z krytycznymi zasobami (np. systemów ESD – SIS) po dodaniu zapory.
Moduł 9202-ETS posiada fabrycznie zainstalowane moduły LSM zapory ogniowej, rejestratora zdarzeń i NetConnect, odpowiadający za komunikację z platformą Tofino Configurator.

Dostępne są warianty modułów 9202-ETS dla kabli miedzianych RJ45 i światłowodowych.

Moduły hardware’owe MTL Tofino

Nr katalogowy Opis
9202-ETS Urządzenie MTL Tofino 2 porty miedziane
9202-ETS-MC-SC Urządzenie MTL Tofino 1 port światłowód wielomodowy i 1 port miedziany
9202-ETS-MM-SC Urządzenie MTL Tofino 2 wielomodowe porty światłowodowe
9202-ETS-SC-SC Urządzenie MTL Tofino 1 port światłowód jednomodowy i 1 port miedziany
9202-ETS-HN1 Urządzenie MTL Tofino prekonfigurowane dla DCS Honeywell (Modbus TCP)
9202-ETS-HN3 Urządzenie MTL Tofino prekonfigurowane dla ESD Honeywell (Modbus read-only)

 

Moduły software’owe rozszerzeń (LSM – Loadable Security Modules) dla MTL Tofino

Nr katalogowy Opis
9522-MBT MTL Tofino Modbus TCP Enforcer LSM
9522-OPC MTL Tofino OPC Enforcer LSM
9522-EIP MTL Tofino Ethernet IP Enforcer LSM
9522-DNP3 MTL Tofino DNP3 Enforcer LSM
9522-IEC104 MTL Tofino IEC 104 Enforcer LSM
9522-GOOSE MTL Tofino IEC 61850 GOOSE Enforcer LSM

 

Dodatkowa dokumentacja dostępna jest na stronie producenta:
https://www.eaton.com/us/en-us/catalog/intrinsic-safety/mtl-9202-ets-tofino-industrial-security-solution.html

schemat działania firewall MTL Tofino