SECURITY
approfondimenti
47
Automazione e Strumentazione
■
Gennaio/Febbraio 2014
Vi sono molti software
open source
che permettono di
implementare una VPN sfruttando appunto i certificati e
dando quindi la possibilità di creare soluzioni personaliz-
zate estremamente flessibili alle funzionalità richieste e
libere da ogni royalty.
I certificati vengono creati da un’autorità virtuale che è
l’unico ente abilitato a rilasciarli con le relative chiavi di
codifica criptatura dati.
Ad oggi
i router per uso industriale hanno a bordo le
funzionalità per gestire i protocolli VPN
e la gestione
dei relativi certificati.
Firewall e Nat
Un altro componente fondamentale e necessario a bordo
dei router industriali è la funzione di
firewall
, cioè la
possibilità di
decidere le regole di transito dati
. Ven-
gono lasciati passare i dati provenienti da fonti stabilite
ad esempio un indirizzo IP ritenuto affidabile e vengono
bloccati tutti gli altri dati non compresi nelle suddette
regole.
Altro esempio è il blocco di protocolli particolari quali
i Ping di test provenienti da indirizzi IP esterni. Questo
sistema è anche chiamato
firewall hardware
, aumenta la
sicurezza e rafforza le azioni dei firewall software resi-
denti nei server o PC end point. In ambito industriale
spesso gli end point di collegamento sono PLC o HMI
che non hanno a bordo un firewall software: ecco che il
firewall hardware del router assume un’importanza vitale.
Altra funzione molto importante del router è la fun-
zione
Nat Network Address Translation
: in pratica si
nasconde l’indirizzo IP privato
cioè interno della rete
Lan locale, presentando alla rete Wan esterna un altro
indirizzo IP stabilito.
In pratica chi riceve il pacchetto dati pensa che siano pro-
venienti dall’ indirizzo IP Wan pubblico.
Gli IP interni con la funzione Nat rimangono raggiungi-
bili se si conoscono o da comunicazioni broadcast indiriz-
zate a tutti gli IP.
Anche in quest’ultimo caso è necessario combinare la
funzione Nat alla protezione offerta dal firewall har-
dware.
Soluzioni diversificate
In conclusione, per avere una rete aziendale veramente
conforme ai criteri di sicurezza imposti dalla cyber secu-
rity, bisogna
implementare più sistemi di sicurezza
distribuiti
. La frammentazione e la personalizzazione
delle misure di sicurezza, aumentano le probabilità di
inviolabilità della rete.
Ogni ramo della rete deve avere una protezione speci-
fica e personalizzata
.
A questo scopo i
router industriali distribuiti
con tutte
le loro funzioni di sicurezza assolvono il compito di pro-
teggere ogni segmento di rete.
La combinazione con protezione software nei server e nei
PC quali firewall software e antivirus completano il qua-
dro di protezioni attuate.
■
