VLAN som separationsmetod för industriella styrsystemsnät

Författare:

  • Arne Vidström
  • Tommy Gustafsson

Publiceringsdatum: 2015-06-23

Rapportnummer: FOI-R--4070--SE

Sidor: 15

Skriven på: Svenska

Nyckelord:

  • VLAN
  • SCADA
  • säkerhet
  • industriella styrsystem
  • switchar

Sammanfattning

Industriella styrsystem separeras ibland från kontorsnät med hjälp av VLAN (Virtual Local Area Networks). Förfarandet gör det möjligt att ha ett fysiskt nätverk med flera logiskt separerade delar. Här finns potentiellt en risk, om separationen mellan de logiska näten inte är tillräckligt robust. I dagsläget råder delade meningar om användningen av VLAN som separationsteknik för säkerhetsändamål. I denna studie undersökte vi frågan om hur tillförlitlig separationen mellan olika VLAN egentligen är. Vi kunde inte påvisa några risker för läckage mellan korrekt uppsatta VLAN. Det bör dock poängteras att en korrekt konfiguration är av största vikt för att uppnå detta resultat. Vissa switchmodeller visade sig dessutom ha egenheter som det är mycket viktigt att vara medveten om. Slutligen vill vi betona att den teoretiskt sett allra högsta säkerhetsnivån uppnås med hjälp av fysiskt separerade nätverk. I anläggningar där maximal säkerhet eftersträvas bör alltså fysisk separation användas istället för logisk separation med hjälp av VLAN.