Byres en MTL beveiligen Modbus TCP voor Scada-systemen

Nieke Roos
4 november 2008

Byres Security en MTL Instruments introduceren de Tofino Modbus TCP Enforcer Loadable Security Module (LSM). De door gebruikers- en leveranciersvereniging Modbus-IDA gecertificeerde module voert gedetailleerde analyses en filtering uit van alle Modbus TCP-berichten. Eigenaars van regel- en Scada-systemen kunnen het Modbus-netwerkverkeer nu op gedetailleerd niveau in goede banen leiden. De betrouwbaarheid, netwerkbeveiliging en prestaties van bedrijfskritieke systemen nemen hierdoor toe.

Al een aantal jaar maken IT-firewalls content- of pakketinspectie mogelijk voor internetverkeer en webmail. Voor procesbeheersing en de Scada-wereld was tot op heden niets beschikbaar. Door een standaard firewall kon Modbus-verkeer óf worden toegestaan, óf worden geblokkeerd. Fijnmazig beheer was niet mogelijk. Omdat de soepele doorstroming van Modbus TCP-verkeer voor de meeste industriële faciliteiten van essentieel belang is, kozen technici er gewoonlijk voor alles door te laten en het beveiligingsrisico maar voor lief te nemen. Industriedeskundigen hebben al vaker dringend opgeroepen tot betere controle van Scada-protocollen. Dit voorjaar waarschuwde ook de Amerikaanse overheid voor de kwetsbaarheid van daarop gebaseerde systemen.

Twee grote energiemaatschappijen en een grote transportonderneming hebben de Tofino Enforcer uitgeprobeerd. Allebei tonen zij zich erg enthousiast over het feit dat ze dankzij de module de richtlijn van de overheid kunnen volgen en zowel de beveiliging als de stabiliteit van hun systemen kunnen verbeteren. Ze hebben Modbus-functies weten te beperken door alle firmware-upgrades te blokkeren, met behoud van normaal HMI-verkeer, door benodigde toestemmingen op maat te maken voor Modbus-toegang tot PLC‘s voor verschillende stations, door de toestemming tot specifieke geheugenlocaties in een controller te beperken, door de bescherming en beveiliging van elk Modbus TCP-apparaat te verbeteren en door alleen-lezen-toegang op te leggen voor meer isolatie en veiligheid.

De volledige industriële Tofino-beveiligingsoplossing bestaat uit drie onderdelen. Vóór individuele DCS-, HMI-, PLC- of RTU-regelsystemen of zones daarvan wordt een beveiligingsapparaat geïnstalleerd. Daarin worden de LSM-softwaremodules gedownload die voorzien in (aanpasbare) beveiligingsservices zoals firewall, veilig asset-management en VPN-versleuteling. Het centrale managementplatform (CMP) met centrale database verzorgt de bewaking, configuratie en supervisie van elk beveiligingsapparaat, ongeacht de fysieke locatie ervan. Een CMP kan een of meerdere beveiligingsapparaten en LSM‘s beheren.