Table of Contents Table of Contents
Previous Page  94 / 182 Next Page
Information
Show Menu
Previous Page 94 / 182 Next Page
Page Background

APRILE 2016

94

MESSAGGIO PROMOZIONALE

ITALIA

Leader nel settore della tecnologia di

connessione elettrica ed elettronica,

nelle soluzioni per la conversione e il

trattamento dei segnali e per l’auto-

mazione industriale, Phoenix Contact

(pad. 2, stand E037-F038) propone

soluzioni altamente performanti per

rispondere alle crescenti necessità

connesse alla Cyber Security. La cre-

scente domanda di sicurezza IT a livello

industriale è frutto dell’attuale tendenza

verso una proliferazione delle componenti Ethernet

nelle reti industriali. L’interconnessione tra sistemi di

produzione e reti office ha migliorato di molto l’effi-

cienza e l’integrazione tra le macchine e i PC usati per

la supervisione ma comporta anche il rischio di una

veloce proliferazione di software dannoso in tutte le

aree aziendali se tale interconnessione non ha preso

in conto la creazione di ‘isole’ che possano ridurre il

problema. Alla luce di ciò, computer e sistemi di con-

trollo utilizzati nelle reti industriali necessitano di una

difesa efficiente contro attacchi, malware e accessi

non autorizzati. Tuttavia, i concetti di sicurezza IT in

uso per gli uffici non sono generalmente efficaci per

i sistemi industriali, date le diverse caratteristiche dei

sistemi IT di produzione.

Mancanza

di patch

Mentre nei PC da

ufficio si installano

regolarmente pro-

grammi antivirus o

aggiornamenti di

sicurezza, spesso

i produttori non

offrono aggiorna-

menti di sicurezza

per i sistemi ope-

rativi e gli applica-

tivi industriali. In

aggiunta, prima di

ogni aggiornamento

software, nei PC industriali si rendono necessarie mi-

sure di prova onerose dal punto di vista tecnico. Questi

sistemi possono essere protetti comunque da attacchi

provenienti dalla rete collegando a monte dei dispo-

sitivi firewall basati su hardware. L’esternalizzazione

della funzione di sicurezza su hardware esterno offre

inoltre il vantaggio di non impiegare le risorse dei

sistemi da proteggere per compiti di sicurezza.

Impiego di protocolli specifici

L’utente ha la possibilità di configurare nei firewall

i protocolli e le porte che daranno

accesso ai sistemi da proteggere, per

limitare i rischi di aggressioni alla

rete attraverso porte non sicure. In

questo contesto è opportuno men-

zionare l’utilizzo di firewall di tipo

‘stateful packet inspection’, che uti-

lizzano regole per filtrare la comu-

nicazione in ingresso e in uscita in

modo bidirezionale. Sulla base dei

protocolli, degli indirizzi delle porte

di partenza e di destinazione, la co-

municazione di rete viene limitata a

quella necessaria per la produzione.

La funzione di ‘connection tracking’

riconosce i pacchetti di risposta ai collegamenti con-

sentiti, autorizzandoli. Il firewall da adottare deve rico-

noscere i protocolli utilizzati nello specifico ambiente

industriale per garantire una protezione affidabile.

Generalmente, i firewall previsti per uso ufficio non

supportano protocolli industriali quali OPC classic e

non riescono a proteggere il traffico dati attraverso

essi. Una soluzione può essere fornita dalle varianti in-

dustriali - ad esempio con una licenza per OPC Inspec-

tor. Sulla base della ‘deep packet inspection’ il firewall

controlla i pacchetti di dati della comunicazione OPC

classic, filtrandoli in modo preciso. A questo scopo,

il principio della ’stateful inspection’ viene applicato

anche ai dati OPC classic. OPC Inspector abilita questa

funzione specificatamente per il protocollo OPC clas-

sic, distinguendosi così sia dai classici firewall office

che dagli altri firewall industriali.

Mappatura univoca su reti virtuali esterne

I processi di produzione molto complessi vengono

tipicamente strutturati in celle indipendenti collegate

in rete che utilizzano indirizzi IP identici per tutti i

sistemi dello stesso tipo. Inizializzando l’intera co-

municazione a partire dalle reti interne delle celle,

più sistemi identici possono essere collegati alla rete

di produzione del gestore attraverso semplici router

con la funzionalità di NAT (Network Address Transla-

tion). I singoli nodi delle celle non sono indirizzabili

dall’esterno, quindi l’utente necessita di un router in

grado di mappare intere reti di macchinari univoche

in modo universale o selettivo su reti virtuali esterne

utilizzando NAT 1:1. Per soddisfare tale requisito,

un firewall industriale offre - oltre al routing vero e

proprio - la cosiddetta funzione di routing NAT 1:1.

I requisiti richiesti a un firewall in aree produttive

sono diversi da quelli del mondo office. Per questo

motivo, un firewall industriale con funzione NAT sup-

porta una segmentazione semplice e individuale delle

reti. Ciò permette di attuare il concetto della ‘difesa in

profondità’ (defense-in-depth) basato sugli standard

internazionali ISA-99 e CEI EN 62443 anche in impianti

che utilizzano il protocollo OPC classic.

Attivazione di regole firewall su evento

Regole firewall diverse rappresentano spesso un van-

taggio in situazioni operative diverse; nella prassi,

questi singoli requisiti vengono uniti in un insieme

di regole, con un conseguente abbassamento del li-

vello di sicurezza reale rispetto a quello possibile dato

che in tal modo si autorizzano tutti i collegamenti

necessari per i diversi stati operativi, anche se non

richiesti per i compiti del momento. Un firewall indu-

striale risolve questa problematica implementando

un cosiddetto ‘conditional firewall’, che consente di

attivare o disattivare le regole firewall su evento at-

traverso un comando esterno, una riga di codice o la

connessione/disconnessione di un collegamento VPN

(Virtual Private Network).

Phoenix Contact Italia

Via Bellini, 39/41

20095 Cusano Milanino (MI)

Tel. +39 02 660591

Fax +39 02 66059500

info_it@phoenixcontact.com www.phoenixcontact.it
1 89 90 91 92 93 94 95 96 97 98 99 100 182  FlippingBook