Skip to main content

Avis de sécurité pour la Edge Gateway

Important

Pour des raisons de sécurité, il faut faire attention lors de l'utilisation du CODESYS Edge Gateway que la fonctionnalité qu'elle contient peut entraîner des attaques inattendues. En tant que lien central entre le CODESYS Automation Server et un réseau CPL existant, la passerelle Edge représente un risque potentiel pour de telles attaques. Par conséquent, l'opérateur doit prendre les mesures appropriées pour le protéger contre tout accès non autorisé.

Pour une protection efficace, il est nécessaire que les mesures de sécurité suivantes soient prises avant l'activation de la fonctionnalité (et donc avant le démarrage de la passerelle Edge).

Astuce

Pour plus d'informations sur la sécurité et 0_Global : Produkt CAS, voir : Sécurité pour le serveur d'automatisation CODESYS

La passerelle Edge permet au CODESYS Automation Server et tous les clients qui établissent une connexion via le CODESYS Automation Server (CODESYS, visualisation Web/navigateur), pour avoir un accès complet à tous les services que le système d'exécution fournit via des interfaces de communication.

Pare-feu

  • La passerelle Edge doit être exploitée dans un réseau CPL uniquement. La passerelle Edge doit pouvoir accéder aux automates de ce réseau. Cependant, une protection efficace (pare-feu) est requise pour l'accès à distance (Internet) aux automates et à la passerelle Edge.

  • Le port passerelle de la passerelle Edge (paramètre par défaut : 1217) ne doit pas être accessible à distance (Internet).

Configuration

  • La passerelle Edge doit être configurée dans un environnement sécurisé uniquement. le CODESYS Automation Server Connector utilisé à cette fin doit se trouver dans un environnement réseau de confiance.

  • Pendant le fonctionnement, vous devez vous assurer qu'aucune configuration non autorisée de la passerelle Edge n'est possible.

Les paramètres suivants facilitent la création d'un environnement sécurisé pour la passerelle Edge. Les deux paramètres sont spécifiés dans le fichier de configuration Gateway.cfg, également en combinaison les uns avec les autres.

  • Restreindre l'accessibilité de la passerelle : Normalement, la passerelle est accessible sur toutes les adresses IP de l'ordinateur. Pour activer une configuration sécurisée, il peut être nécessaire que la passerelle ne soit accessible que sous une adresse IP spécifique. Cela peut être fait au moyen du réglage suivant dans Gateway.cfg:

    [CmpGwCommDrvTcp]

    LocalAddress=<IP address>

    Exemple pour IP address: 127.0.0.1

  • Restreindre l'accessibilité de la passerelle à des pairs de communication spécifiques : Normalement, la passerelle accepte toutes les demandes de connexion. Pour activer une configuration sécurisée, il est logique que la passerelle n'autorise que les connexions de clients spécifiques, en fonction de la configuration du réseau. Cela peut être fait au moyen du paramètre suivant :

    [CmpGwCommDrvTcp]

    PeerAddress=<IP address or network base address>

    Il existe trois options de configuration différentes pour cela :

    • Le paramètre n'est pas disponible : la passerelle autorise les connexions de tous les clients.

    • Le paramètre est attribué à une adresse IP spécifique : la passerelle n'autorise que les connexions du client qui possède cette adresse IP.

    • Le paramètre est attribué à une adresse de base réseau : la passerelle autorise les connexions de tous les clients de ce réseau. L'adresse de base du réseau est la plus petite adresse possible dans le réseau local. L'adresse peut être calculée comme suit :

      <local IP address> AND <subnet mask> = <network base address>

Accès au périphérique Edge Gateway

Le système de fichiers sur l'appareil sur lequel la passerelle Edge s'exécute doit être protégé contre tout accès non autorisé. Des informations confidentielles (configuration, certificats, données d'accès, etc.), qui ne doivent pas être lues ou modifiées par des personnes non autorisées, y sont stockées.

Connexion à la CODESYS Automation Server

Après une connexion réussie au CODESYS Automation Server, le serveur obtient un accès complet via un tunnel chiffré à tous les automates disponibles dans le réseau Edge Gateway. Si cela entraîne des menaces supplémentaires pour la sécurité du fonctionnement de l'installation, celles-ci doivent être évaluées et traitées spécifiquement.

Pour plus d'informations, consultez : Connexion d'une Edge Gateway au serveur et saisie des automates

Dans cette section​: