2013-01-02
Vid utformandet av en fullständigt automatiserad fabrik är användningen av IT en avgörande faktor för att kunna bli konkurrenskraftig på dagens globala marknad. I detta sammanhang spelar hela företagsnätverket en grundläggande roll som hela företagets nervsystem. Därför måste det skyddas ordentligt mot alla eventuella hot, såväl oavsiktliga som avsiktliga, menar Hans Englesson, Nordenchef på IT-bolaget Allied Telesis, som här tar upp ämnet i en debattartikel.
Alla förstår att säkerhet inte kan begränsas till att bara installera enheter som brandväggar eller UTM:er , vilka bara skyddar nätverket vid dess yttre gränser. Nätverket måste vara motståndskraftigt och kunna återhämta sig vid avsiktliga och oavsiktliga problem, även de som orsakas av användarna själva på grund av bristande uppmärksamhet, dålig kännedom om driftprocedurer eller, vilket är än värre, på grund av komplexa och röriga procedurer för åtkomstkontroll.
Under dörrmattan
Tänk till exempel på lösenord. Ju mer komplicerade åtkomstprocedurer och lösenordsregler man har, desto större är risken för att användare skriver ner lösenord på papperslappar eller sparar dem i sin mobiltelefon. Det är jämförbart med att lämna hemnycklarna under dörrmattan, eller i blomkrukan bredvid dörren – det spelar inte längre någon roll hur kraftig och tålig dörr du har.
Därför går det inte att förlita sig enbart på en program- eller maskinvaruprodukt eller en uppsättning produkter i syfte att uppnå en ordentlig säkerhetsnivå. Det handlar inte om hur sofistikerade och välutvecklade produkterna är. Säkerhet är en attityd och en egenskap som måste genomsyra hela nätverket i en serie av enhetliga mekanismer som behöver vara enkla att installera, underhålla, testa och använda.
Enkelhet, klarhet och omedelbarhet – dessa är hörnstenarna i en stark och långsiktigt säker nätverksinfrastruktur. Låt oss börja med återhämtningsförmågan vid fel. Redundant nätverksinfrastruktur som i stor utsträckning utnyttjar flera lager och kombinerar Ethernet och IP-protokoll såsom spanning tree (i dess olika former) och VRRP/HSRP med något routerprotokoll (OSPF, RIP, ISIS och så vidare) kräver koordinerad planering och en extremt komplex konfiguration av de olika mekanismerna. I en sådan komplicerad installation blir felsökning också mycket komplext och tidskrävande. Situationen blir nästan ohållbar om VLAN eller VPN:er kommer in i bilden.
Flera vägar
En infrastruktur som i stället kan arbeta i lager två genom hela fabriken, med återhämtningsmekanismer baserade på länkaggregering och EPSR, kombinerar en enkel och tydlig arkitektur med enkel konfiguration och felupptäckt. Det finns inget protokoll att koordinera. Trafiken flödar längs två eller fler parallella vägar genom nätverket på ett balanserat sätt, och virtualisering uppnås enkelt med hjälp av VLAN som sedan kan aggregeras på stamnätsnivån genom att aktivera VLAN i VLAN-mekanismer. Alltihop har en felåterställningstid på mindre än 50 millisekunder, typiskt för EPSR, samt den skalbarhet som länkaggregering ger, vilken möjliggör ökningar av den tillgängliga bandbredden genom att helt enkelt lägga till fler fysiska länkar. Inverkan på konfigurationen är minimal, lägg bara till de nya portarnas ID till de befintliga aggregeringskommandona.
Genom att denna funktion kompletteras med ett par LAN-switchar i VCStack-läge kan nätverket till och med överleva en brand om de två delarna är separerade med en fysisk brandvägg. Denna lösning är inte möjlig med chassin, även om de är redundanta.
Loop-skydd
En motståndskraftig arkitektur räcker inte för att säkerställa att nätverket fungerar om inte grundläggande kritiska protokoll skyddas mot enkla avsiktliga eller oavsiktliga handlingar som användare kan begå. För det första är det nödvändigt att alla åtkomst-switchar har kapacitet för upptäckt av och skydd mot loopar, så att en kabel, en liten switch eller en konsumentrouter som ansluts mellan två portar inte kan ge upphov till en acceleration av paket, som skulle kunna få hela nätverket att krascha. Likadant skulle en konsumentrouter (till exempel en ADSL-router) som ansluts till företagets nätverk via en av dess LAN-portar kunna svara på DHCP-begäran från någon PC genom att dela ut en IP-adress som inte är kompatibla med nätverket, och på så vis hindra kommunikationen. Alla åtkomst-switchar måste därför ha DHCP-skydd och verifiering av IP-adresser, så att endast officiellt tilldelade IP-adresser kan användas på porten.
Det skyddande ramverket fullbordas av en trefaldig autentisering. Denna funktion är aktiv på varje port och tillåter inte åtkomst till nätverket förrän den anslutna utrustningen framgångsrikt har genomgått en autentiseringsprocess med en av tre metoder: IEEE 802.1x, webb-autentisering eller igenkänning av MAC-adress.
Denna mekanism måste integreras med företagets infrastruktur för säkerhet och åtkomstkontroll, baserat antingen på en RADIUS-server eller på något av branschens vanliga Network Access Control/Protectionsystem från Symantec eller Microsoft. Efter att ha klarat av autentiseringsproceduren förknippas utrustningen automatiskt med ett relevant VLAN så fort användaren loggar in som vanligt.
Enkelt, motståndskraftigt och samtidigt mycket skalbart.
Hans Englesson, Nordenchef, Allied Telesis
2020-12-31
Samhälle
Väktare ska stoppa otillåtna raketer
I Sölvesborg är det enligt kommunens nya regler endast... Läs mer »
2020-12-31
Samhälle
Nyår: Peak för misshandel
Nyår är enligt Brå den tid på året då det polisanmäls... Läs mer »
2020-12-31
Tema
ID- och passerkontroll - Del 2 av 7
Fransk koncerntillhörighet har lyft det svenska IAM-företaget Nexus
IAM-marknaden (Identity and Access Management) växer... Läs mer »
2020-12-30
Företag & affärer
Thorengruppen i avtal med Cosafe för ökad skolsäkerhet
Thorengruppen har tecknat avtal med Cosafe Technology... Läs mer »
2020-12-30
Samhälle
Politiker i Finland utsatta för cyberattack
Finlands riksdag har utsatts för en cyberattack, där... Läs mer »
2020-12-30
Företag & affärer
Han vann SSF Polisstipendium 2020
Rino Carlsson, Nationell samordnare för sjöpolisverksamheten... Läs mer »
2020-12-30
Företag & affärer
Sigtuna kommun tecknar avtal med Cosafe Technology
Sigtuna kommun har tecknat avtal med Cosafe Technology... Läs mer »
2020-12-30
Samhälle
Högre säkerhet och färre incidenter i tingsrätten
Malmö tingsrätts säkerhetskontroll har stoppat 18 föremål... Läs mer »
2020-12-30
Tema
ID- och passerkontroll - Del 1 av 7
”IAM-marknaden ligger rätt i tiden”
Covid-19 påskyndar digitaliseringen inom alla möjliga... Läs mer »
2020-12-29
Samhälle
Göteborg vill ha ordningsvakter vid Järntorget
Göteborgs stad vill ha patrullerade ordningsvakter... Läs mer »
2020-12-29
Samhälle
Ransomware – en osynlig brottsvåg som tilltar i styrka
Digital utpressning via internet – ransomware – är... Läs mer »
2020-12-28
Samhälle
"Data nya hårdvalutan för finanssektorn"
Att kunna hantera data på ett begripligt, ekonomiskt... Läs mer »
2020-12-28
Samhälle
30 procent ökning av inbrott i källar- och vindsförråd
Enligt Brå har de anmälda inbrotten i källare och vind... Läs mer »
2020-12-27
Samhälle
"Regeringen intensifierar arbetet mot kriminella nätverk"
”Vi ska vara kompromisslösa mot gängen, bryta deras... Läs mer »
2020-12-27
Samhälle
Västra Götalandsregionen utsatt för cyberattack
Attacken mot regionen har pågått i två veckor.– Vi... Läs mer »
2020-12-26
Samhälle
MSB ska bedöma civila försvarets förmåga
Riksdagen har fattat beslut om inriktningen för det... Läs mer »
2020-12-26
Samhälle
Gps och väktare för att bevaka vaccinet
I dag ska de första doserna av vaccinet mot covid-19... Läs mer »
2020-12-25
Samhälle
Ökad polisnärvaro i Laholm
I årets trygghetsenkät seglade Knäred upp som en plats... Läs mer »
2020-12-25
Samhälle
Region Halland sätter in väktare på sjukhusen
Region Halland upplever att säkerhetsföreskrifterna... Läs mer »
2020-12-24
Samhälle
710 preliminärt antagna till polisutbildningen våren 2021
710 sökanden har preliminärt antagits till vårens utbildning... Läs mer »
Leverantörer