Table of Contents Table of Contents
Previous Page  87 / 100 Next Page
Information
Show Menu
Previous Page 87 / 100 Next Page
Page Background

CYBER SECURITY

tecnica

Automazione e Strumentazione

Maggio 2016

87

attraverso tale porta corrisponde al protocollo OPC, assi-

curando, con ciò, un’elevata sicurezza di accesso.

Mappatura univoca

su reti virtuali esterne

I processi di produzione molto complessi vengono tipica-

mente strutturati in celle collegate in rete per lo più indipen-

denti. Per una gestione efficace della progettazione, della

documentazione e dell’operatività delle celle si è dimostrato

vantaggioso utilizzare indirizzi IP identici per tutti i sistemi

dello stesso tipo. Inizializzando l’intera comunicazione

a partire dalle reti interne delle celle, più sistemi identici

possono essere collegati alla rete di produzione del gestore

attraverso semplici router con la funzionalità di masche-

ramento IP Masquerading. Se la rete di livello superiore

deve creare un collegamento con i singoli nodi delle celle,

questa soluzione non è sufficiente poiché i nodi delle celle

non sono indirizzabili dall’esterno. In questo caso, l’utente

necessita di un router in grado di

mappare intere reti di

macchinari univoche

in modo universale o selettivo su

reti virtuali esterne utilizzando NAT 1:1. Per soddisfare

tale requisito, un firewall industriale offre - oltre al routing

NAT vero e proprio - la cosiddetta funzione di routing NAT

1:1. OPC Inspector abilita questa funzione specificatamente

per il protocollo OPC classic. Questo aspetto lo distingue

rispetto ai classici firewall office ma anche rispetto agli altri

firewall industriali.

(Dis-)attivazione di regole firewall su evento

Regole firewall diverse rappresentano spesso un vantaggio

in situazioni operative diverse, ad esempio per autorizzare o

inibire collegamenti specifici durante l’attività produttiva e

durante la manutenzione locale o remota dell’impianto. Nella

prassi tale compito viene per lo più risolto unendo i singoli

requisiti posti al firewall in un insieme di regole. Questo pro-

cesso porta necessariamente ad un abbassamento del livello

di sicurezza rispetto al livello possibile: infatti, in questo caso

le regole firewall autorizzano tutti i collegamenti necessari

per i diversi stati operativi, quindi anche quelli non richiesti

per i compiti del momento. Un firewall industriale risolve

questa problematica implementando un cosiddetto ‘conditio-

nal firewall’ che consente di

attivare o disattivare le regole

firewall ‘su evento’

. La selezione di determinate regole

firewall può essere attivata attraverso un pulsante esterno,

un interruttore, un pulsante su un’interfaccia web, una riga

di comando o durante la connessione/disconnessione di un

collegamento VPN (Virtual Private Network).

Conclusione

I requisiti richiesti ad un firewall in aree produttive sono

diversi da quelli del mondo office. Per questo motivo, un

firewall industriale con funzione Nat supporta una seg-

mentazione semplice ed individuale delle reti. Ciò per-

mette di attuare il concetto della ‘difesa in profondità’

(defense-in-depth) basato sugli standard internazionali

ISA-99 e Cei EN 62443 anche in impianti che utilizzano il

protocollo OPC classic.