SECURITY
approfondimenti
Giugno 2015
■
Automazione e Strumentazione
64
razione. Una volta che siano state prese queste
misure fondamentali, il modo migliore per pro-
teggere dispositivi di rete è
utilizzare livelli
variabili di accesso
alla rete per questi disposi-
tivi. Non tutte le persone, macchine o altri ele-
menti di apparecchiature dovrebbero avere gli
stessi livelli di accesso.
Questo lo si può ottenere con l’uso di liste di
controllo di accesso, o tramite database locali
su un dispositivo, con un server Radius inte-
grato o con un server esterno, oppure, ancora,
utilizzando Tacacs + autenticazione e autoriz-
zazione.
La rete è protetta da dispositivi mal configurati
e da comportamenti maligni?
Che cosa si intende per dispositivi mal confi-
gurati o comportamenti maligni? Un dispo-
sitivo mal configurato può essere qualsiasi
componente della rete:
un controllore logico pro-
grammabile (PLC), un
drive, un access point, un
computer ecc. Può essere
necessario
riconfigurare
un dispositivo e intro-
durre così un errore
,
come il caricamento di
una versione vecchia con
un indirizzo IP impostato
erroneamente o modifi-
che involontarie dell’in-
dirizzamento del traffico
o delle impostazioni di
sicurezza. Invece di cer-
care di comunicare come
in precedenza, ora il
dispositivo è stato errone-
amente configurato e sta
introducendo comporta-
menti scorretti, cercando
di accedere a una por-
zione della rete a cui non
dovrebbe avere permesso
di accedere o di colle-
garsi a una rete wireless
non consentita. Analoga-
mente, un dispositivo può essere stato
infettato
da un virus
e, invece di comunicare con la
macchina più prossima, cerca di connettersi ad
internet. Questo scenario è stato recentemente
discusso a causa della quantità di dispositivi
sotto Windows XP e della recente fine del suo
supporto. In tutti questi scenari vi è la necessità
di impedire a dispositivi o utenti “canaglia” di
danneggiare la rete. Per coloro che utilizzano
EtherNet/IP, Modbus, Profinet UDP o altri
protocolli industriali, la soluzione migliore è di
implementare firewall di Livello 2 o Livello 3
che sono inclusi negli access point. Essi dovreb-
bero essere utilizzati per
limitare il traffico di
rete
soltanto a quello atteso ed accettato. Si può
aggiungere un grado ulteriore di autenticazione,
attraverso l’impiego di
certificati sui disposi-
tivi
.
Gli utenti o i dispositivi autenticati, autorizzati
(apparecchi di automazione) sono al sicuro da
altri utenti (apparecchiature)?
Occorre una protezione dagli utenti o dalle
macchine che non dovrebbero trovarsi nella
rete o in una specifica porzione della rete. Ci
ricordiamo i punti fondamentali? Prima cosa,
inseriamo la
criptazione
per tenere lontano gli
occhi indiscreti. Quindi, prendiamo in conside-
razione la possibilità di
“man-in-the-middle”
– uno scenario in cui un dispositivo intercetta
le comunicazioni tra due controparti autoriz-
zate e quindi si maschera in modo da intercet-
tare frame di dati e setacciare le credenziali e
i dati che gli interessano. Il
Man-in-the-middle
funziona spesso trasmettendo frame di
address
resolution protocol
(ARP) finti o falsificati, per
associare l’indirizzo MAC dell’aggressore con
l’indirizzo IP di un altro dispositivo di rete. Il
pacchetto ARP
è il pacchetto di scoperta per
individuare a chi si riferisce quel determinato
indirizzo IP.
Per prevenire la modifica e proteggere l’or-
ganizzazione può essere considerata la prote-
zione contro la falsificazione dell’IP. Infine,
si può considerare l’utilizzo della funzionalità
802.11w, per la protezione dei frame di gestione
per proteggere ulteriormente i dispositivi e gli
utenti wireless.
Se si usa un controller WLAN , la rete è protetta
tra l’access point e il controller?
È buona norma
segmentare il traffico wireless
dal resto della rete, utilizzando un
controller
Wlan
. In questi casi, si può prendere in consi-
derazione l’inserimento di una funzionalità di
un tunnel di
Control And Provisioning of Wire-
less Access Points
(CAPWAP) - un metodo
molto semplice di tunneling, disponibile sulla
maggior parte degli access points e controller
wireless. In alternativa, va considerato l’uti-
lizzo di una
virtual private network
(VPN) per
incapsulare
e
criptare
i dati tra gli access point
e il concentratore VPN centrale.
Le misure di sicurezza riconosceranno il
rischio potenziale di Denial of Service (DoS),
l’interferenza via aria, o il presentarsi di altra
Una sicurezza efficace deve
comprendere dei sistemi di
monitoraggio della rete con
avvisi automatici