Background Image
Table of Contents Table of Contents
Previous Page  64 / 100 Next Page
Information
Show Menu
Previous Page 64 / 100 Next Page
Page Background

SECURITY

approfondimenti

Giugno 2015

Automazione e Strumentazione

64

razione. Una volta che siano state prese queste

misure fondamentali, il modo migliore per pro-

teggere dispositivi di rete è

utilizzare livelli

variabili di accesso

alla rete per questi disposi-

tivi. Non tutte le persone, macchine o altri ele-

menti di apparecchiature dovrebbero avere gli

stessi livelli di accesso.

Questo lo si può ottenere con l’uso di liste di

controllo di accesso, o tramite database locali

su un dispositivo, con un server Radius inte-

grato o con un server esterno, oppure, ancora,

utilizzando Tacacs + autenticazione e autoriz-

zazione.

La rete è protetta da dispositivi mal configurati

e da comportamenti maligni?

Che cosa si intende per dispositivi mal confi-

gurati o comportamenti maligni? Un dispo-

sitivo mal configurato può essere qualsiasi

componente della rete:

un controllore logico pro-

grammabile (PLC), un

drive, un access point, un

computer ecc. Può essere

necessario

riconfigurare

un dispositivo e intro-

durre così un errore

,

come il caricamento di

una versione vecchia con

un indirizzo IP impostato

erroneamente o modifi-

che involontarie dell’in-

dirizzamento del traffico

o delle impostazioni di

sicurezza. Invece di cer-

care di comunicare come

in precedenza, ora il

dispositivo è stato errone-

amente configurato e sta

introducendo comporta-

menti scorretti, cercando

di accedere a una por-

zione della rete a cui non

dovrebbe avere permesso

di accedere o di colle-

garsi a una rete wireless

non consentita. Analoga-

mente, un dispositivo può essere stato

infettato

da un virus

e, invece di comunicare con la

macchina più prossima, cerca di connettersi ad

internet. Questo scenario è stato recentemente

discusso a causa della quantità di dispositivi

sotto Windows XP e della recente fine del suo

supporto. In tutti questi scenari vi è la necessità

di impedire a dispositivi o utenti “canaglia” di

danneggiare la rete. Per coloro che utilizzano

EtherNet/IP, Modbus, Profinet UDP o altri

protocolli industriali, la soluzione migliore è di

implementare firewall di Livello 2 o Livello 3

che sono inclusi negli access point. Essi dovreb-

bero essere utilizzati per

limitare il traffico di

rete

soltanto a quello atteso ed accettato. Si può

aggiungere un grado ulteriore di autenticazione,

attraverso l’impiego di

certificati sui disposi-

tivi

.

Gli utenti o i dispositivi autenticati, autorizzati

(apparecchi di automazione) sono al sicuro da

altri utenti (apparecchiature)?

Occorre una protezione dagli utenti o dalle

macchine che non dovrebbero trovarsi nella

rete o in una specifica porzione della rete. Ci

ricordiamo i punti fondamentali? Prima cosa,

inseriamo la

criptazione

per tenere lontano gli

occhi indiscreti. Quindi, prendiamo in conside-

razione la possibilità di

“man-in-the-middle”

– uno scenario in cui un dispositivo intercetta

le comunicazioni tra due controparti autoriz-

zate e quindi si maschera in modo da intercet-

tare frame di dati e setacciare le credenziali e

i dati che gli interessano. Il

Man-in-the-middle

funziona spesso trasmettendo frame di

address

resolution protocol

(ARP) finti o falsificati, per

associare l’indirizzo MAC dell’aggressore con

l’indirizzo IP di un altro dispositivo di rete. Il

pacchetto ARP

è il pacchetto di scoperta per

individuare a chi si riferisce quel determinato

indirizzo IP.

Per prevenire la modifica e proteggere l’or-

ganizzazione può essere considerata la prote-

zione contro la falsificazione dell’IP. Infine,

si può considerare l’utilizzo della funzionalità

802.11w, per la protezione dei frame di gestione

per proteggere ulteriormente i dispositivi e gli

utenti wireless.

Se si usa un controller WLAN , la rete è protetta

tra l’access point e il controller?

È buona norma

segmentare il traffico wireless

dal resto della rete, utilizzando un

controller

Wlan

. In questi casi, si può prendere in consi-

derazione l’inserimento di una funzionalità di

un tunnel di

Control And Provisioning of Wire-

less Access Points

(CAPWAP) - un metodo

molto semplice di tunneling, disponibile sulla

maggior parte degli access points e controller

wireless. In alternativa, va considerato l’uti-

lizzo di una

virtual private network

(VPN) per

incapsulare

e

criptare

i dati tra gli access point

e il concentratore VPN centrale.

Le misure di sicurezza riconosceranno il

rischio potenziale di Denial of Service (DoS),

l’interferenza via aria, o il presentarsi di altra

Una sicurezza efficace deve

comprendere dei sistemi di

monitoraggio della rete con

avvisi automatici