Gli ambienti OT (tecnologia operativa) e CPS (sistemi cyber-fisici), tra cui l'automazione industriale, l'energia e le infrastrutture critiche, richiedono elevati livelli di sicurezza, scalabilità ed efficienza nelle comunicazioni di rete. Una delle principali sfide consiste nel garantire un flusso di traffico isolato, controllato e strutturato tra i diversi segmenti di rete, consentendo al contempo una comunicazione continua tra più VLAN. Il doppio tagging VLAN, noto anche come Q-in-Q, 802.1ad o tunneling Q-in-Q, fornisce una soluzione efficace incapsulando le VLAN dei clienti all'interno di una VLAN del service provider. In questo modo si mantiene la segmentazione e si garantisce una trasmissione affidabile dei dati.
Comprendere il doppio tagging VLAN (Q-in-Q)
La doppia VLAN incapsula un tag VLAN all'interno di un altro, consentendo alle organizzazioni di estendere le VLAN oltre i confini della rete senza interferire con le configurazioni VLAN interne. Questa tecnica è particolarmente utile nelle configurazioni industriali, dove la segmentazione della rete è necessaria per isolare sistemi di controllo, PLC, ambienti SCADA e dati operativi.
Componenti chiave del doppio tagging VLAN:
- VLAN esterna (VLAN di servizio): Gestita dal fornitore di servizi, questa VLAN facilita il trasporto del traffico attraverso l'infrastruttura di rete condivisa, garantendo che i dati dei clienti rimangano incapsulati e isolati.
- VLAN interna (VLAN cliente): Il tag VLAN originale assegnato dall'azienda. Rimane intatto e viene ripristinato a destinazione.
Sfruttando Q-in-Q, le imprese industriali possono scalare le proprie reti in modo efficiente, preservando l'integrità delle VLAN e riducendo la complessità operativa.
Come funziona il doppio tagging VLAN nelle installazioni Industrial
Questo flusso di traffico strutturato consente alle reti industriali di estendere le VLAN su più sedi, mantenendo ogni segmento gestibile.
Vantaggi della doppia VLAN (Q-in-Q) nelle reti OT
Segregazione del traffico
La doppia VLAN consente la segregazione del traffico tra le diverse parti di una rete OT. Ciò garantisce che il traffico di controllo critico proveniente dai PLC rimanga isolato da altro traffico non essenziale, migliorando l'affidabilità e riducendo al minimo le interferenze.
Scalabilità
Con l'espansione delle reti OT, Q-in-Q offre una soluzione per gestire in modo efficiente un numero crescente di VLAN. Impedisce l'esaurimento dell'ID VLAN, il che è particolarmente vantaggioso per i grandi impianti industriali con più PLC e sistemi di controllo.
Sicurezza
Isolando diverse VLAN all'interno di una rete industriale, Q-in-Q può migliorare e semplificare alcuni controlli di sicurezza della rete. Tuttavia, le VLAN non sono una soluzione di sicurezza completa. Sono relativamente facili da aggirare con tecniche come il VLAN hopping.
Gestione semplificata della rete
Q-in-Q consente di creare una gerarchia VLAN strutturata nelle reti industriali. Ciò semplifica la configurazione della rete, riduce la complessità operativa e rende più efficiente la risoluzione dei problemi.
Indipendenza del fornitore
Come parte dello standard IEEE 802.1Q (2011), ampiamente adottato, Q-in-Q è supportato da diversi fornitori di reti. Ciò consente agli operatori industriali di integrare hardware diversi, mantenendo comunque una segmentazione e una gestione del traffico uniformi.
Casi d'uso del doppio tagging VLAN (Q-n-Q) in ambienti OT
- Bridging dei service provider: Q-in-Q consente la comunicazione tra diversi siti industriali estendendo le VPN Layer 2 alle reti OT su larga scala.
- AutomazioneIndustrial : Gli impianti di produzione e le reti energetiche utilizzano Q-in-Q per segregare il traffico tra i dispositivi di automazione e i sistemi di controllo, garantendo un funzionamento senza interruzioni.
- Griglie intelligenti: Q-in-Q aiuta a gestire il traffico tra le sottostazioni e i centri di controllo, mantenendo una comunicazione efficiente nelle reti intelligenti.
- BMS (Sistemi di gestione degli edifici): I campus Industrial utilizzano Q-in-Q per isolare il traffico dei sistemi HVAC, di illuminazione e di sicurezza, assicurandone il corretto funzionamento.
- Sistemi di trasporto: Q-in-Q supporta la trasmissione di dati attraverso varie reti di trasporto, compresi i sistemi di controllo ferroviario, garantendo operazioni ininterrotte.
Esempio di topologia di rete
Consideriamo una fabbrica con la seguente configurazione:
1. Dispositivi: PLC (server),Firewall Industrial e client sulla rete B.
2. Segmentazione della rete:
- Rete A: VLAN 100 (il PLC risiede qui) - 192.168.10.0/24
- Rete B: VLAN 200.100 (HMI o dispositivo esterno) - 10.10.10.0/24
- FirewallIndustrial : Interfacce in entrambe le reti, che traducono il traffico tra di esse.
3. Flusso del traffico:
- I dispositivi della rete B inviano il traffico taggato con la VLAN 100.
- Il firewall o lo switch del service provider aggiunge un tag VLAN esterno (VLAN 200).
- Il pacchetto attraversa la rete mantenendo intatta la separazione delle VLAN.
- Quando si raggiunge la rete A, il tag VLAN esterno viene rimosso, ripristinando la VLAN 100.
- Il PLC può ora comunicare con dispositivi esterni senza modifiche alla VLAN interna.
Conclusione
Il doppio tagging VLAN è una tecnica potente per le organizzazioni che necessitano di scalabilità VLAN, isolamento e trasferimento di dati su infrastrutture condivise. Negli ambienti industriali e OT, Q-in-Q garantisce una gestione VLAN efficiente e senza interruzioni, consentendo soluzioni di rete flessibili ed economiche.
Industrial Firewall™
Sbloccate la comunicazione OT/ICS sicura e segmentata con Q-in-Q, senza sacrificare le prestazioni. Scoprite come MetaDefender Industrial Firewall può rafforzare la vostra rete industriale.
Domande frequenti (FAQ)
Q:Che cos'è il doppio tagging VLAN (Q-n-Q)?
R: Il doppio tagging VLAN, noto anche come Q-in-Q, incapsula un tag VLAN all'interno di un altro per estendere le VLAN tra le reti preservando la segmentazione. È particolarmente utile negli ambienti industriali, dove la segmentazione della rete è fondamentale per isolare sistemi di controllo, PLC, ambienti SCADA e dati operativi.
Q:Quanto sono Secure i VLAN?
R: Le VLAN possono migliorare la sicurezza della rete segmentando logicamente il traffico e limitando i domini di trasmissione, riducendo così il rischio di accesso non autorizzato tra i segmenti. Tuttavia, le VLAN non sono intrinsecamente sicure. Richiedono un'attenta configurazione per prevenire efficacemente attacchi come il VLAN hopping o l'accesso non autorizzato.
Q:Che cos'è il VLAN hopping?
R: Il VLAN hopping è una vulnerabilità della sicurezza di rete in cui un aggressore sfrutta i punti deboli per ottenere l'accesso non autorizzato a una VLAN e poi passare ad altre all'interno della stessa rete. Le VLAN hanno lo scopo di migliorare la sicurezza e le prestazioni isolando il traffico tra segmenti diversi. Il salto di VLAN mina questa separazione, consentendo agli aggressori di aggirare i controlli e di accedere potenzialmente a sistemi e dati sensibili che dovrebbero rimanere protetti e isolati.
