Introduction

L'objectif de la communication chiffrée est de protéger les canaux de communication qui permettent d'accéder à distance aux ressources critiques du système (telles que l'application intégrée PAC, le micrologiciel). IPsec (acronyme d'Internet Protocol Security) est un standard ouvert défini par l'IETF, qui assure des communications privées et protégées sur des réseaux IP en combinant des protocoles de sécurité et des mécanismes de chiffrement. Notre implémentation de la protection IPsec inclut l'anti-relecture, la vérification de l'intégrité des messages et l'authentification de l'origine des messages.

Le protocole IPsec est pris en charge sur Microsoft Windows versions 7 et 10. Il est mis en œuvre à partir du système d'exploitation du PC.

Description

La fonction IPsec permet de sécuriser :

  • l'accès Modbus de la salle de contrôle à la CPU PAC via le module BMENOC0301/11 ;

  • l'accès de la salle de contrôle aux services de communication exécutés à l'intérieur du module BMENOC0301/11 en mode serveur (Modbus, EtherNet/IP, HTTP, FTP, SNMP).

NOTE : IPsec vise à sécuriser les services qui s'exécutent en mode serveur dans le PAC. Ce manuel n'aborde pas les services clients sécurisés, lancés par le PAC.

Connexion sans fil : Lorsqu'un module sans fil PMXNOW0300 est utilisé pour configurer une connexion sans fil, configurez celui-ci avec les paramètres de sécurité maximum disponibles (WPA2-PSK).

Exemple d'architecture

La figure suivante montre, à travers un exemple, les différents protocoles ou services impliqués dans une communication chiffrée entre la salle de contrôle et un PAC Modicon M580.

Communication chiffrée (IPsec).

Communication non IPsec.

Flux de données avec fonction de communication chiffrée

Utilisez ces services pour faciliter les communications lorsque le protocole IPsec est activé :

Service Ethernet

Sécurité des flux de données

Serveur EIP de classe 3

Ces services sont pris en charge par le biais de connexions chiffrées.

Serveur FTP, serveur TFTP

HTTP

ICMP (ping, etc.)

Serveur Modbus (port 502)

ARP

Ces services sont pris en charge par le biais de connexions chiffrées et non chiffrées.

NOTE : ce trafic contourne le traitement du protocole IPsec dans le BMENOC et n'utilise donc pas IPsec.

LLDP

Protocole de vérification de boucle

Scrutateur Modbus

RSTP

DHCP, client BootP

Ces services ne sont pas pris en charge lorsque IPSec est activé.

NOTE : avant que l'homologue (PC) n'initie IKE/IPsec, IPSec ne sécurise pas ce trafic. Une fois IKE/IPSec établi, ce trafic est chiffré par IPsec. Le protocole n'est pris en charge que si le destinataire des paquets est un PC sur lequel IPSec est configuré et activé.

DHCP, serveur BootP

EIP classe 1, TCP (requête Forward Open)

EIP classe 1, UDP (échange de données)

Client Modbus

Client NTP

Agent SNMP

Interruptions SNMP

Client Syslog (UDP)
NOTE :

  • IPsec est une protection OSI de couche 3. Les protocoles OSI de couche 2 (ARP, RSTP, LLDP, protocole de vérification en boucle) ne sont pas protégés par IPsec.

  • IPsec ne peut pas sécuriser le flux de communication Global data (à l'aide de modules BMXNGD0100). Utilisez cette configuration sur un réseau isolé.

Limitations

Limitations d'IPsec dans l'architecture : BMENOC0301/11 ne prend pas en charge le transfert IP vers le réseau d'équipements.

Si la transparence est requise entre le réseau de contrôle et le réseau d'équipements, un routeur/VPN externe est nécessaire pour fournir chiffrer la communication entre le réseau de contrôle et le réseau d'équipements (comme indiqué dans l'exemple d'architecture précédent).

La transparence est requise pour exécuter les opérations suivantes à partir du réseau de contrôle :

  • Mettez à jour le micrologiciel de la CPU Modicon M580 depuis le Automation Device Maintenance via le service HTTPS ou depuis le logiciel Unity Loader via le service FTP.

  • réalisation d'un diagnostic réseau de la CPU Modicon M580 à partir d'un outil de gestion de réseau via le service SNMP ;

  • diagnostic d'une CPU Modicon M580 à partir d'un DTM via le service EIP ;

  • diagnostic d'une CPU Modicon M580 à partir d'un navigateur Web via le service HTTP ;

  • consignation des événements de cybersécurité d'une CPU Modicon M580 dans un serveur syslog via le service syslog ;

  • synchronisation de l'heure de la CPU Modicon M580 à partir d'un serveur de temps global via le service NTP.

Configuration de la communication IPsec dans l'architecture du système

Pour configurer la communication IPsec, procédez comme suit :

  • Dans la salle de contrôle, identifiez les applications clientes autorisées qui doivent communiquer avec le PAC à l'aide de Modbus (Control Expert, Automation Device Maintenance, Unity Loader, OFS, applications client telles que SGBackup, ...).

    Configurez IPsec sur chaque PC prenant en charge ces applications autorisées.

  • Dans la salle de contrôle, identifiez les applications clientes autorisées qui doivent communiquer avec chaque module BMENOC0301/11 configuré dans le rack local (Control Expert DTM, Automation Device Maintenance, Unity Loader, gestionnaire SNMP, navigateur Web, concepteur Web pour module FactoryCast BMENOC0301/11).

    Configurez IPsec sur chaque PC prenant en charge ces applications autorisées.

  • Intégrez un module BMENOC0301/11 avec fonction IPsec dans l'embase de chaque PAC connecté au réseau de contrôle.

    Pour configurer la fonction IPsec sur un module BMENOC0301/11, procédez en deux étapes :

    • Activez la fonction IPsec.

    • Configurez une clé pré-partagée. Une clé pré-partagée permet de créer un secret partagé autorisant deux équipements à s'authentifier l'un l'autre.

      NOTE : reposant sur ce secret partagé, IPsec est un élément clé de la stratégie de sécurité gérée par l'administrateur de sécurité. Pour renforcer la sécurité de la clé pré-partagée, nous vous recommandons d'utiliser un outil externe tel que KeePass pour générer une chaîne de caractères appropriée.

Le module BMENOC0301/11 est configuré avec Control Expert. Initialement, l'application est téléchargée via le lien USB. Les téléchargements ultérieurs sont effectués par Ethernet avec fonction IPsec si IPsec est activé.

Chaque PC prenant en charge IPsec doit être conforme aux exigences suivantes pour la configuration IPsec :

  • Utiliser le système d'exploitation Microsoft Windows 10.

  • Détenir les droits d'administrateur permettant de configurer IPsec.

    Une fois la configuration IPsec effectuée, définissez le compte Windows comme un compte utilisateur normal sans droits d'administrateur.

  • Renforcez la protection du PC en procédant comme indiqué dans la rubrique Sécurisation renforcée du PC.

Pour plus d'informations sur la configuration, consultez la rubrique Configuration des communications IP sécurisées .

Générer des clés pré-partagées les plus sécurisées possible

La sécurité des communications IPsec repose sur la complexité de la clé pré-partagée. Nous recommandons l'utilisation d'outils spécialisés pour générer des clés pré-partagées d'une sécurité optimale.

Notamment KeePass, que vous pouvez télécharger gratuitement à partir d'Internet. Téléchargez KeePass, installez-le sur votre PC et lancez-le.

Configurez KeePass v2.34 et utilisez-le pour générer des mots de passe utilisables comme clés pré-partagées :

Étape

Action

1

Créez un dossier de base de données de clés (File > New).

2

Dans la boîte de dialogue Create New Password Database, entrez un nom de dossier dans le champ File name et enregistrez vos modifications.

3

Dans la boîte de dialogue Create Composite Master Key, renseignez le champ Master password . Saisissez à nouveau le mot de passe dans le champ Repeat.

4

Appuyez sur OK pour ouvrir l' étape 2, puis appuyez à nouveau sur OK.

5

Dans la boîte de dialogue de la nouvelle base de données, développez New Database.

6

Sélectionnez Network et ajoutez une entrée (Edit > Add Entry ).

7

Dans le champ Title, indiquez le nom de votre module (par exemple, eNOC).

8

Dans le champ User name, indiquez un nom d'utilisateur.

9

Cliquez sur l'icône Generate a password.

10

Sélectionnez Open password generator.

11

Appuyez sur OK pour renseigner les champs Password et Repeat password.

12

Ouvrez la boîte de dialogue Password Generation Options ( Tools > Generate Password ).

13

Effectuez les sélections suivantes dans Generate using character set  :

  • Upper-case (A, B, C, …)

  • Lower-case (a, b, c, …)

  • Digits (0, 1, 2, …)

  • Minus (-)

  • Underline (_)

  • Special (!, $, %, &, …)

  • Brackets ([, ], [, (, ), <, >)

NOTE : Les caractères suivants ne sont pas autorisés dans la clé pré-partagée :

  • {

  • }

  • ;

  • #

14

Cliquez sur OK.

15

Cliquez avec le bouton droit de la souris sur votre équipement dans la liste Database et faites défiler jusqu'à Copy Password .

16

Ouvrez l'écran de configuration de la sécurité dans Control Expert.

17

Collez la clé dans l'écran de configuration du protocole IPsec.

Diagnostic de la communication IPsec dans l'architecture du système

Pour plus d'informations sur le diagnostic IPsec dans l'architecture du système, consultez la rubrique Configuration des communications IP sécurisées.