Skip to main content

エッジゲートウェイのセキュリティに関する通知

重要

セキュリティ上の理由から、 CODESYS Edge Gateway そこに含まれる機能が予期しない攻撃を引き起こす可能性があること。間の中心的なリンクとして CODESYS Automation Server また、既存のPLCネットワークでは、EdgeGatewayはそのような攻撃の潜在的なリスクを表しています。したがって、オペレーターは、不正アクセスから保護するために適切な対策を講じる必要があります。

効果的な保護を行うには、機能を有効にする前(つまり、Edge Gatewayを起動する前)に次のセキュリティ対策を講じる必要があります。

ヒント

セキュリティと 0_Global: Product CAS の詳細については、以下を参照してください。 CODESYS オートメーションサーバーのセキュリティ

エッジゲートウェイにより、 CODESYS Automation Server およびすべてのクライアントは、 CODESYS Automation Server ((CODESYS、Web視覚化/ブラウザ)、ランタイムシステムが通信インターフェイスを介して提供するすべてのサービスに完全にアクセスできるようにします。

ファイアウォール

  • エッジゲートウェイは、PLCネットワークでのみ動作します。 Edge Gatewayは、このネットワーク内のPLCにアクセスできる必要があります。ただし、PLCおよびエッジゲートウェイへのリモートアクセス(インターネット)には、効果的な保護(ファイアウォール)が必要です。

  • エッジゲートウェイのゲートウェイポート(デフォルト設定:1217)は、リモート(インターネット)からアクセスできないようにする必要があります。

構成

  • エッジゲートウェイは、安全な環境でのみ構成する必要があります。 The CODESYS Automation Server Connector これに使用されるのは、信頼できるネットワーク環境に配置する必要があります。

  • 操作中は、EdgeGatewayの不正な構成が不可能であることを確認する必要があります。

次の設定により、EdgeGatewayの安全な環境を簡単に作成できます。両方の設定が構成ファイルで指定されています Gateway.cfg、また互いに組み合わせて。

  • ゲートウェイのアクセスを制限する:通常、ゲートウェイはコンピューターのすべてのIPアドレスでアクセスできます。安全な構成を有効にするには、ゲートウェイが1つの特定のIPアドレスでのみアクセス可能である必要がある場合があります。これは、次の設定を使用して実行できます。 Gateway.cfg

    [CmpGwCommDrvTcp]

    LocalAddress=<IP address>

    の例 IP address127.0.0.1

  • ゲートウェイのアクセス可能性を特定の通信ピアに制限します。通常、ゲートウェイはすべての接続要求を受け入れます。安全な構成を有効にするには、ネットワーク構成に応じて、ゲートウェイが特定のクライアントからの接続のみを許可することが理にかなっています。これは、次の設定を使用して実行できます。

    [CmpGwCommDrvTcp]

    PeerAddress=<IP address or network base address>

    これには、次の3つの異なる構成オプションがあります。

    • 設定は使用できません:ゲートウェイはすべてのクライアントからの接続を許可します。

    • 設定は特定のIPアドレスに割り当てられます。ゲートウェイは、このIPアドレスを持つクライアントからの接続のみを許可します。

    • 設定はネットワークベースアドレスに割り当てられます。ゲートウェイは、このネットワーク内のすべてのクライアントからの接続を許可します。ネットワークベースアドレスは、ローカルネットワークで可能な最小のアドレスです。アドレスは次のように計算できます。

      <local IP address> AND <subnet mask> = <network base address>

EdgeGatewayデバイスへのアクセス

Edge Gatewayが実行されているデバイス上のファイルシステムは、不正アクセスから保護する必要があります。許可されていない人が読み取ったり変更したりしてはならない機密情報(構成、証明書、アクセスデータなど)がそこに保存されます。

への接続 CODESYS Automation Server

に正常に接続した後 CODESYS Automation Server、サーバーは、暗号化されたトンネルを介して、EdgeGatewayネットワークで使用可能なすべてのPLCへのフルアクセスを取得します。これにより施設の運用に追加のセキュリティ上の脅威が生じる場合は、これらを具体的に評価して対処する必要があります。

詳細については、以下を参照してください。 エッジゲートウェイをサーバーに接続してPLCに入る

このセクションの内容: