TXOne Networks | EdgeIPS Pro 216
Next-generation industrial IPS system for the small and medium-sized manufacturing sector to support the continuity of the production line
- Centralized and distributed management with dual-power input for a cabinet and IT rackmount installation
- Certified industrial-grade hardware with compact size, power consumption, and a wide thermal operation range
- Gen3 hardware bypass
- Signature-based virtual patching to shield vulnerable unpatched devices and legacy systems
- Risk mitigation by network segmentation based on business intention
- Network trust listing based on protocol and identity
- Operate with a high level of asset visibility using passive asset identification and IT/OT traffic communication within OT networks
- Minimize downtime for patching or maintenance
- Increase visibility, eliminate the shadow OT
- Works stand-alone or synergizes well with ODC
Безплатна доставка от €100
Promocja cenowa na model HDR-15-5
Продукт, предназначен само за професионална употребаTXOne Networks | EdgeIPS Pro 216
Описание
EdgeIPS 216 to szesnastoportowe urządzenie IPS/IDS, które jest częścią rodziny EdgeIPS od firmy TXone Networks (TXOne Networks to firma która powstała w ramach współpracy firm Moxa oraz Trend Micro). Porty Ethernet w modelu EdgeIPS 216 pracują w parach – urządzenie nie obsługuje 16 niezależnych interfejsów, lecz 8 logicznych połączeń (par portów).
Implementacja urządzenia
Pod kątem adresacji IP urządzenie jest w pełni transparentne. EdgeIPS to rodzina produktów dedykowana do mikrosegmentacji, monitorowania i inspekcji ruchu sieciowego typu wschód-zachód (do segmentacji sieci dedykowany jest EdgeFire).
EdgeIPS może być skonfigurowany w jednym z dwóch trybów:
Inline Mode - czyli urządzenie wpięte jest bezpośrednio w linię. W tym trybie możliwa jest ochrona kilku urządzeń końcowych. EdgeIPS może być również wpięty w linię między dwa przełączniki zarządzalne na interfejsach typu trunk (wspierana jest inspekcja ruchu i tworzenie polityk bezpieczeństwa w uwzględnieniem znacznika VLAN ID). Tryb inline pozwala na wybranie dodatkowo jednego z dwóch trybów pracy firewalla:
- Monitor Mode - w tym trybie wszystkie naruszenia polityk bezpieczeństwa (reguł firewalla) są tylko logowane.
- Prevention Mode - w tym trybie urządzenie realnie zaczyna blokować wszelkie naruszena reguł bezpieczeństwa. Urządzenie nie będzie blokować ruchu bez wyraźnej zgody administratora systemu.
W przypadku awarii EdgeIPS, w trybie inline, automatycznie zadziała funkcja Fail Safe w postaci sprzętowego bypassu - ruch między wybraną parą portów zostanie automatycznie wznowiony (w EdgeIPS 216 możliwe jest skonfigurowanie trybu pracy funkcji bypass).
Offline mode - urządzenie zasilane jest kopią ruchu sieciowego - np. ze SPAN portu. W tym trybie możliwa jest inspekcja ruchu sieciowego na bazie polityk bezpieczeństwa. Naruszenia reguł mogą być jedynie raportowane (realne blokowanie pakietów może być zaimplementowane tylko w trybie inline mode).
Wersje sprzętowe
Urządzenie dostępne jest w dwóch wariantach: serwerowym oraz przemysłowym.
Wersja serwerowa ma wbudowane aktywne chłodzenie i jest przystosowana jest do pracy w standardowych warunkach, w zakresie temperatur 0 – 40°C (32 – 104°F).
Z kolei wersja przemysłowa została zaprojektowana z myślą o wymagających środowiskach i charakteryzuje się rozszerzonym zakresem temperatur pracy: od -40 do 75°C (-40 – 167°F).
Virtual patching
EdgeIPS zasilany jest bazą sygnatur (w ramach organizacji Zero Day Initiative (ZDI)). Daje to ochronę przez znanymi podatnościami (znanymi zagrożeniami) przede wszystkim urządzeniom starszego typu, które nie są wspierane i aktualizowane przez producenta. Dodatkowo silnik sygnaturowy może być wykorzystany do wirtualnej aktualizacji urządzeń, które mogą być zaktualizowane dopiero w kolejnym oknie serwisowym (np. za pół roku) oferując w ten sposób szybką ochronę przed znanymi zagrożeniami. Aktualizacja bazy sygnatur może być w pełni zautomatyzowana (z wykorzystaniem konsoli EdgeOne) oraz nie wymaga restartu urządzenia.
DPI (Głęboka Inspekcja Pakietów) dla protokołów OT
Większość protokołów komunikacyjnych w OT jest nieszyfrowana. Aby "dobezpieczyć" komunikację przemysłową można wykorzystać EdgeIPS jako whitelisting komend/rozkazów dla protokołów przemysłowych. Na przykład system SCADA komunikujący się po protokole Modbus TCP może korzystać z komend Modbus Read Only, natomiast dyspozytornia możne wykorzystywać komendy również Write. Tworząc odpowiednie polityki bezpieczeństwa na EdgeIPS możemy takie zadanie zrealizować. Firewall aplikacyjny zadba o to, aby poszczególne funkcje, komendy dla danego protokołu komunikacyjnego byłu dopuszczane lub blokowane.
W EdgeIPS wspierana jest większość otwartych protokołów OT m.in. Modbus TCP, BACNet, CIP, FINS, MELSOFT, Profinet, S7Comm, DNP3, SLMP, IEC 61850 (GOOSE, MMS), IEC 104 i inne.
Przykład tworzenia profilu DPI dla protokołu Modbus TCP.
Tryb nauki - ułatwienie w tworzeniu reguł firewalla
Tworzenie polityk bezpieczeństwa może być czasochłonnym zajęciem. Zwłaszcza z uwzględnieniem polityk DPI, których poprawne utworzenie wymaga szczegółowej znajomości systemu - kto z kim się komunikuje i na jakich zasadach. Aby ten proces uprościć w EdgeIPS dostępna jest funkcja Policy Rule Auto-Learning.
- EdgeIPS posiada funkcję Policy Rule-Autolearning, której zadaniem jest przygotowanie reguł Policy Enforcement dla ruchu sieciowego
- EdgeIPS możemy włączyć w tryb nauki – na przykład na 1h lub 1 tydzień
- Ruch sieciowy, który w trybie nauki przez urządzenie będzie transferowany zostanie wykorzystany do wygenerowania reguł.
- Po etapie nauki użytkownik może wybrać które reguły chce, aby zostały wykorzystane (jest możliwość edycji reguł jako wynik nauki lub później).
- Policy Rule Auto-Learning jest w stanie rozpoznać protokoły OT i utworzyć dla nich odpowiedni profil DPI
- Proces nauki można powtarzać – np. w przypadku zmian w systemie EdgeIPS może nauczyć się nowego ruchu.
- W czasie nauki silnik sygnaturowy jest wykorzystywany do wykrywania znanych zagrożeń (użytkownik może wybrać tryb pracy - monitor lub prevention nawet w trybie nauki).
Przykład reguł wygenerowanych przez funkcję Policy Rule Auto-Learning
Konfigurowalny bypass
EdgeIPS 216 posiada mechanizm fail safe. Odpowiadające sobie pary portów LAN posiadają bypass, które można skonfigurować w jednym z trzech trybów:
- W trybie FAIL OPEN – w przypadku wystąpienia awarii, ruch sieciowy między portami w danej parze (np. P1 i P2) zostanie bardzo szybko wznowiony
- W trybie FAIL CLOSE – w przypadku wystąpienia awarii, ruch sieciowy miedzy portami w danej parze jest blokowany. Możesz utracić dostęp do urządzeń OT
- W trybie FORCE OPEN EdgeIPS przekazuje ruch miedzy portami w parze bez skanowania.
Tryb FORCE OPEN można włączyć gdy port zarządzający wybrany jest jako port MGMT
LFPT – Link Fault Pass Through – przekazywanie stanu połączenia na drugi port. Na przykład w przypadku odłączenia urządzenia podłączonego do P2, Port P1 automatycznie przechodzi w status DOWN
EdgeIPS - porównanie funkcjonalności produktów z całej rodziny
Техническа спецификация
Model |
IPSP-216-COMMERCIAL-BP-TM |
IPSP-216-RUGGED-BP-TM |
Threat Prevention Throughput / Firewall Throughput* |
1.8 Gbps+ (IMIX) / 12 Gbps+ ( UDP 1518 bytes) |
|
Latency |
<500 microseconds |
|
Concurrent Connections (TCP) |
200,000 |
|
Intrusion Prevention / Antivirus |
Yes / Yes |
|
Supported ICS Protocol |
Modbus / EtherNet IP / CIP / FINS / S7Comm / S7Comm+ / SECS/GEM / IEC61850-MMS / IEC-104, with more being added regularly |
|
Policy Enforcement Rules |
8000 Rules |
|
ICS Protocol Filter Profiles |
256 Profiles |
|
Form Factor |
DIN-Rail mounting, Server Rack Mount and Wall mounting (with optional kit) |
|
Weight (Stand-Alone Device) |
2000g (114.4092 lb) without accessory kits |
3200g (7.0547 lb) without accessory kits |
Dimension (W x D x H) |
250mm x 260mm X 42mm (9.84 X 10.23 X 1.65 in) |
250mm x 240mm X 38mm (9.84 X 9.44 X 1.5 in) |
Network Interface Type |
10/100/1000 BASE-TX (RJ-45) x 16 ports |
|
Hardware Failover |
8 x Segments with configurable Hardware bypass |
|
USB Interface / Serial Console |
1x USB Interface (Type-A) / 1x USB Interface (Type-C) for serial console |
|
MGMT Interface / Mirror Interface |
1 x 1GE RJ-45(MGMT) / 1 x 1GE RJ-45(Mirror) |
|
HA Port |
1 x 10/100/1GE RJ-45 for HA Port |
|
Power Supply |
Dual Power input, 1x Terminal Block / 1 X 12V DC in Jack |
|
Power Input |
12/24/48 VDC, Dual Redundant Inputs (1 x 3 Pin Terminal Block, Shall Locate in front panel); Reverse Polarity Protection Supported. (* 12V VDC Recommended) and 1 X DC-IN Jack (12V) |
|
Operating Temperature |
0 to 40 ˚C (32 to 104 °F) |
-40 to 75 ˚C (-40 to 167 °F) (Wide Temperature) |
Ambient Relative Humidity |
5 to 95% (non-condensing) |
|
Storage Temp. |
-40 - 85°C (-40 - 185°F) |
|
Vibration |
2 Gems @ UEC 60068-2-64, random wave, 5-500HZ, 1hr per axis (without any USB devices attached) |
|
Mean Time Between Failure (MTBF) |
700,000 hours + |
|
Safety Certification |
CE ,UL, EN60950-1, IEC60950-1,UL60950-1 |
|
Electromagnetic Compatibility |
EMI: CISPR 32, FCC Part 15B Class A / EMC: EN 55032/35, VCCI Class A |
|
Green product |
RoHS, RoHS2, CRoHS, WEEE |
|
Centralized management Console |
Supported OT Defense Console, ODC |
Download
Препоръчани продукти
Препоръчван
Transparent Security Box Protects Mission-Critical Machines & Supports Continuous Production Line Operation