Cada vez mais fabricantes de máquinas oferecem serviços de manutenção à distância para os seus clientes, através de dispositivos de acesso remoto.

Como garantir a segurança cibernética das redes de automação da fábrica (TO) quando há máquinas equipadas com sistemas de acesso remoto operados por terceiros?

Com o Firewall mbNETFIX instalado antes do roteador de acesso remoto, a fábrica cria uma zona desmilitarizada que protege a sua rede interna, independentemente da configuração do roteador da máquina.

Desenvolvido especificamente para o mercado de automação industrial, cada vez mais dominado pelas redes PROFINET e Ethernet Industrial, o mbNETFIX pode ser configurado facilmente por profissionais com pouco conhecimento de TI, através de uns poucos cliques de mouse.

Suas várias funcionalidades NAT podem ser configuradas para conectar o Firewall a diferentes redes, mesmo que tenham ranges de IP distintos. Dentre as várias funções disponíveis, destacam-se: Simple NAT, Network NAT, DNAT (Port Forwarding), SNAT e Static Routes.

O Firewall Industrial mbNETFIX pode operar no modo Gateway ou Bridge:

No modo Bridge, o mbNETFIX protege, via filtro de pacotes, a troca de dados entre WAN e LAN que estão num mesmo segmento de rede. A integração é totalmente transparente e não necessita de endereço IP.

No modo Gateway, as portas WAN e LAN recebem endereços de IP diferentes, criando, assim, segmentos distintos de rede. Nesse modo, pode-se usar as funções NAT e Forwarding para roteamento do tráfego de dados para redes secundárias. O filtro de pacotes também pode ser usado nesse modo para bloquear ou permitir a troca de dados entre WAN e LAN.

Através do exclusivo recurso de Learning Function (função de aprendizagem), o mbNETFIX lê o tráfego de dados e aprende a reconhecer determinados pacotes de dados, compilando-os na forma de uma tabela. O usuário poderá, seletivamente, bloquear ou permitir a passagem dos dados dessa tabela. Esse recurso simplifica o processo de comissionamento e não demanda conhecimentos específicos de TI.

Security by Design

O Firewall Industrial mbNETFIX foi desenvolvido seguindo o conceito “Security by Design”, que assegura que potenciais brechas de segurança e fontes de invasão sejam eliminadas desde o início do projeto. Para reduzir ao mínimo os vetores de ataque, optou-se por omitir a interface Web para configuração, que é realizada por meio de um software aplicativo via porta USB.

O software de configuração gera um par de chaves RSA durante o comissionamento do produto. O sistema de autenticação via chave RSA (RSA key authentication) substitui a clássica senha de acesso, proporcionando proteção em elevado grau contra ataques cibernéticos massivos.

Vantagens e benefícios do uso de um firewall industrial para segmentar as redes de TO

Fácil acesso a dispositivos em um segmento de rede isolado

O principal pilar da Indústria 4.0 é o fluxo contínuo de dados das máquinas para a nuvem. Uma fábrica pode ter várias linhas de produção com diversos grupos de máquinas, que podem gerar um grande volume de tráfego de dados.

O Firewall mantém esse tráfego de dados das máquinas segregado do restante das redes de TO. Além disso, ao segmentar a rede e introduzir regras para controle de acesso, o Firewall previne que ameaças cibernéticas se espalhem pelas redes da fábrica.

Também ajuda a evitar conflitos de endereço quando novas máquinas são instaladas. A função Simple NAT faz o roteamento dos endereços IP entre WAN e LAN, através de uma simples tabela de mapeamento.

Segregação de redes evitando conflitos de endereços

Sistemas de controle de máquinas precisam integrar-se e comunicar-se com outros equipamentos da produção. Por essa razão, é importante isolar (segregar) a rede interna da máquina das demais redes de TO da fábrica e, ao mesmo tempo, oferecer acesso controlado aos seus dispositivos e serviços.

Proteger a rede interna da máquina com um Firewall é, também, uma forma de evitar conflitos de IP quando diversas máquinas estão presentes numa mesma rede de TO.

Proteção de CLPs e outros componentes críticos das redes

Para garantir um nível decente de segurança cibernética, seria preciso efetuar atualizações constantes no CLP. No entanto, essa é uma intervenção delicada, que geralmente demanda uma parada da produção para que possa ser executada. O mbNETFIX aumenta notavelmente a segurança cibernética do sistema sem que haja a necessidade de efetuar correções e atualizações frequentes nos dispositivos de automação.