Skip to main content

Avvisi di sicurezza per Edge Gateway

Importante

Per motivi di sicurezza, è necessario tenerne conto durante il funzionamento del CODESYS Edge Gateway che la funzionalità che contiene può causare attacchi imprevisti. Come collegamento centrale tra il CODESYS Automation Server e una rete PLC esistente, l'Edge Gateway rappresenta un potenziale rischio per tali attacchi. Pertanto, l'operatore deve adottare misure adeguate per proteggerlo da accessi non autorizzati.

Per una protezione efficace, è necessario che vengano adottate le seguenti misure di sicurezza prima dell'attivazione della funzionalità (e quindi prima dell'avvio dell'Edge Gateway).

Suggerimento

Per ulteriori informazioni sulla sicurezza e su 0_Global: Produkt CAS, vedere: Security für den CODESYS Automation Server

L'Edge Gateway consente il CODESYS Automation Server e tutti i client, che stabiliscono una connessione tramite il CODESYS Automation Server (CODESYS, visualizzazione web/browser), per avere pieno accesso a tutti i servizi che il sistema runtime fornisce tramite le interfacce di comunicazione.

Firewall

  • L'Edge Gateway deve essere utilizzato solo in una rete PLC. L'Edge Gateway deve essere in grado di accedere ai PLC in questa rete. Tuttavia, è necessaria una protezione efficace (firewall) per l'accesso remoto (Internet) ai PLC e all'Edge Gateway.

  • La porta gateway di Edge Gateway (impostazione predefinita: 1217) non deve essere accessibile in remoto (Internet).

Configurazione

  • L'Edge Gateway deve essere configurato solo in un ambiente sicuro. Il CODESYS Automation Server Connector utilizzato per questo deve trovarsi in un ambiente di rete affidabile.

  • Durante il funzionamento, è necessario assicurarsi che non sia possibile alcuna configurazione non autorizzata di Edge Gateway.

Le impostazioni seguenti semplificano la creazione di un ambiente sicuro per Edge Gateway. Entrambe le impostazioni sono specificate nel file di configurazione Gateway.cfg, anche in combinazione tra loro.

  • Limitare l'accessibilità del gateway: Normalmente, il gateway è accessibile su ogni indirizzo IP del computer. Per abilitare una configurazione sicura, potrebbe essere necessario che il gateway sia accessibile solo con un indirizzo IP specifico. Questo può essere fatto per mezzo della seguente impostazione in Gateway.cfg:

    [CmpGwCommDrvTcp]

    LocalAddress=<IP address>

    Esempio per IP address: 127.0.0.1

  • Limitare l'accessibilità del gateway a specifici peer di comunicazione: normalmente, il gateway accetta tutte le richieste di connessione. Per abilitare una configurazione sicura, è logico che il gateway consenta solo connessioni da client specifici, a seconda della configurazione di rete. Questo può essere fatto per mezzo della seguente impostazione:

    [CmpGwCommDrvTcp]

    PeerAddress=<IP address or network base address>

    Ci sono tre diverse opzioni di configurazione per questo:

    • L'impostazione non è disponibile: il gateway consente connessioni da tutti i client.

    • L'impostazione è assegnata a un indirizzo IP specifico: il gateway consente solo connessioni dal client che dispone di questo indirizzo IP.

    • L'impostazione è assegnata a un indirizzo di base di rete: il gateway consente le connessioni da tutti i client in questa rete. L'indirizzo di base della rete è l'indirizzo più piccolo possibile nella rete locale. L'indirizzo può essere calcolato come segue:

      <local IP address> AND <subnet mask> = <network base address>

Accesso al dispositivo Edge Gateway

Il file system sul dispositivo su cui è in esecuzione Edge Gateway deve essere protetto da accessi non autorizzati. Vi sono archiviate informazioni riservate (configurazione, certificati, dati di accesso, ecc.), che non devono essere lette o modificate da persone non autorizzate.

Collegamento al CODESYS Automation Server

Dopo una corretta connessione al CODESYS Automation Server, il server ottiene l'accesso completo tramite un tunnel crittografato a tutti i PLC disponibili nella rete Edge Gateway. Se ciò dovesse comportare ulteriori minacce alla sicurezza per il funzionamento della struttura, queste devono essere valutate e affrontate in modo specifico.

Per ulteriori informazioni, vedere: Collega il Edge Gateway al server e inserisci i controlli

In questa sezione: