Versione HTML di base
SETTEMBRE 2012
FIELDBUS & NETWORKS
59
Un vasto ‘ombrello’
Il layer 1 del modello OSI, quello fisico, definisce tutte le specifiche
elettriche e fisiche dei dispositivi, in particolare la relazione tra un di-
spositivo e il mezzo fisico. Il layer 2, o ‘data link’, garantisce invece i
mezzi funzionali e procedurali per trasferire i dati tra entità di rete e
rilevare ed eventualmente correggere gli errori che possono verificarsi
sul layer fisico. È a questo livello che Ethernet è definito come proto-
collo di rete in base allo standard Ieee 802.3. Negli anni Ethernet è
diventato sinonimo della suite TCP/IP, ma una cosa non implica neces-
sariamente l’altra. IP è definito sul layer 3 di rete del
modello OSI e offre i mezzi funzionali e procedurali
per il trasferimento di sequenze di dati di lunghezza
variabile da una fonte a un destinatario tramite
una o più reti. Il layer 4 di trasporto garantisce il
trasferimento trasparente dei dati tra utenti finali e
definisce TCP e UDP; il layer 5 di sessione controlla
le connessioni tra PC, mentre il layer 6 di presenta-
zione trasforma i dati in modo da fornire un’inter-
faccia standard per il layer 7 di applicazione, che
si pone in cima al modello. È a questo livello che
troviamo applicazioni tipiche come FTP, http, RTP,
Smtp, Snmp e altre. In breve, non tutti i protocolli
Ethernet industriali implementano lo stack Ethernet
nello stesso modo. Sul layer di applicazione le di-
verse organizzazioni che si occupano di Ethernet in-
dustriale implementano i propri kernel e protocolli,
che definiscono gran parte dei vantaggi funzionali
delle relative tecnologie. Dal punto di vista della
sicurezza quello che è veramente interessante
sono i layer inferiori, più vulnerabili. In base al mo-
dello OSI basta che un layer ceda a un attacco per
compromettere l’intero sistema di comunicazione,
potenzialmente anche senza che gli altri layer si
rendano conto dell’esistenza di un problema. La sicurezza è solida solo
quanto l’anello più debole della catena.
Come proteggersi?
Sono disponibili diversi prodotti e sistemi di sicurezza discreti, ma
uno dei problemi maggiori nell’arena industriale è l’implementazione
di tali sistemi senza incorrere in costi eccessivi, né imporre livelli di
complessità che rendano gli apparati difficili da manutenere e compli-
cati in termini di assistenza. Inoltre, le soluzioni di sicurezza standard
commercialmente disponibili sono raramente adatte ai rigori degli am-
bienti industriali. In termini di tecnologia di rete è stato fatto molto per
rendere il layer 2 più sicuro, ma nelle implementazioni più classiche di
Ethernet industriale è stato fatto poco per affrontare le debolezze del
layer 3 di rete e del layer 4 di trasporto. Come per l’implementazione
di Ethernet in ambito d’ufficio, la gran parte delle tecnologie Ethernet
industriali sono centrate su IP al layer 3 e TCP/UDP al livello 4. Gran
parte degli impianti che impiegano Ethernet industriale implementano
la sicurezza perimetrale (servizi firewall) nei punti di collegamento ad
altre reti, per garantire la protezione su questi layer più vulnerabili. I
firewall filtrano gli indirizzi IP sorgente e di destinazione e i numeri di
porta del protocollo, per esempio le porte TCP e UDP, per limitare il
traffico che può accedere alla rete Ethernet. Filtrare i pacchetti in alcuni
casi ha a che vedere con indirizzi dei dispositivi e porte di applicazioni
molto specifiche, in modo da garantire un layer di sicurezza all’accesso
univoco per un dispositivo e un’applicazione collegati. Nonostante
questo, nelle implementazioni classiche di Ethernet industriale i layer
3 e 4 sono sempre molto vulnerabili agli attacchi. I requisiti di sicurezza
per le reti Ethernet industriali continuano a evolversi divenendo più
sofisticati. Ovunque si trovino installazioni di rete le aziende devono
verificare la possibilità di attacchi, nonché il rischio associato a ogni
attacco. In qualsiasi caso, al crescere dell’importanza della sicurezza le
aziende devono cercare di mitigare, ridurre o eliminare i rischi secondo
quanto richiesto in ciascun ramo della topologia di rete. Grazie al suo
approccio aperto agli standard e alla tecnologia di comunicazione
proprietaria, CC-Link IE rappresenta un’opzione di Ethernet industriale
molto interessante nella spinta alla massimizzazione e ottimizzazione
della sicurezza di rete.
L’offerta di Clpa
Il discorso è diverso se si passa a CC-Link. CC-Link IE (Control and
Communication Link Industrial Ethernet) è stato sviluppato da Clpa
come rete Gigabit Ethernet completamente integrata per l’auto-
mazione industriale. Lo standard combina il meglio delle diverse
tecnologie esistenti per applicarlo a un sistema di rete industriale
ottico oppure in rame con architettura ridondante, che consente di
trasferire i dati in maniera veloce e affidabile tra i dispositivi di
campo e altri controller tramite collegamenti Ethernet. La velocità
di 1 Gbps è più che sufficiente per soddisfare le attuali necessità di
comunicazione in tempo reale del settore manifatturiero.
Esistono delle varianti di CC-Link in grado di affrontare i requisiti
di controllo necessari a tutti i livelli della rete di automazione: a
livello di controllo vi è CC-Link IE Control, a livello dei dispositivi
invece CC-Link IE Field e CC-Link IE Motion; ovviamente vi è una
stretta integrazione con il fieldbus CC-Link. La differenza fonda-
mentale tra CC-Link IE e le implementazioni convenzionali sta nella
definizione di un ‘protocollo in tempo reale’ aperto all’interno dei
layer dello stack. Grazie a questo approccio nell’implementazione
dei layer nello stack Ethernet, CC-Link IE utilizza connettori Ethernet
standard, è facile da configurare ed è molto robusto. Inoltre è uno
standard aperto, quindi gli utenti godono di libertà di scelta nella se-
lezione delle migliori tecnologie per la componentistica. Dal punto
di vista della sicurezza offre per sua natura tutte le garanzie ed è
meno suscettibile agli attacchi. Questi sono vantaggi significativi
rispetto ad altre implementazioni di Ethernet industriale.
Clpa
Le reti Industrial Ethernet si stanno sempre più diffondendo a livello di impianto e di
processo, ma occorre tenere presenti i problemi di sicurezza connessi