CYBER SECURITY
tecnica
Automazione e Strumentazione
Maggio 2016
87
attraverso tale porta corrisponde al protocollo OPC, assi-
curando, con ciò, un’elevata sicurezza di accesso.
Mappatura univoca
su reti virtuali esterne
I processi di produzione molto complessi vengono tipica-
mente strutturati in celle collegate in rete per lo più indipen-
denti. Per una gestione efficace della progettazione, della
documentazione e dell’operatività delle celle si è dimostrato
vantaggioso utilizzare indirizzi IP identici per tutti i sistemi
dello stesso tipo. Inizializzando l’intera comunicazione
a partire dalle reti interne delle celle, più sistemi identici
possono essere collegati alla rete di produzione del gestore
attraverso semplici router con la funzionalità di masche-
ramento IP Masquerading. Se la rete di livello superiore
deve creare un collegamento con i singoli nodi delle celle,
questa soluzione non è sufficiente poiché i nodi delle celle
non sono indirizzabili dall’esterno. In questo caso, l’utente
necessita di un router in grado di
mappare intere reti di
macchinari univoche
in modo universale o selettivo su
reti virtuali esterne utilizzando NAT 1:1. Per soddisfare
tale requisito, un firewall industriale offre - oltre al routing
NAT vero e proprio - la cosiddetta funzione di routing NAT
1:1. OPC Inspector abilita questa funzione specificatamente
per il protocollo OPC classic. Questo aspetto lo distingue
rispetto ai classici firewall office ma anche rispetto agli altri
firewall industriali.
(Dis-)attivazione di regole firewall su evento
Regole firewall diverse rappresentano spesso un vantaggio
in situazioni operative diverse, ad esempio per autorizzare o
inibire collegamenti specifici durante l’attività produttiva e
durante la manutenzione locale o remota dell’impianto. Nella
prassi tale compito viene per lo più risolto unendo i singoli
requisiti posti al firewall in un insieme di regole. Questo pro-
cesso porta necessariamente ad un abbassamento del livello
di sicurezza rispetto al livello possibile: infatti, in questo caso
le regole firewall autorizzano tutti i collegamenti necessari
per i diversi stati operativi, quindi anche quelli non richiesti
per i compiti del momento. Un firewall industriale risolve
questa problematica implementando un cosiddetto ‘conditio-
nal firewall’ che consente di
attivare o disattivare le regole
firewall ‘su evento’
. La selezione di determinate regole
firewall può essere attivata attraverso un pulsante esterno,
un interruttore, un pulsante su un’interfaccia web, una riga
di comando o durante la connessione/disconnessione di un
collegamento VPN (Virtual Private Network).
Conclusione
I requisiti richiesti ad un firewall in aree produttive sono
diversi da quelli del mondo office. Per questo motivo, un
firewall industriale con funzione Nat supporta una seg-
mentazione semplice ed individuale delle reti. Ciò per-
mette di attuare il concetto della ‘difesa in profondità’
(defense-in-depth) basato sugli standard internazionali
ISA-99 e Cei EN 62443 anche in impianti che utilizzano il
protocollo OPC classic.