Gestione Plc Con Eth In Rete Aziendale = Sicurezza / Dramma

[ETR]

Ciao a tutti, volevo chiedervi un parere visto l'ormai onnipresenza della connessione ethernet su qualsiasi dispositivo e l'innumerevole proliferare di tutti i servizi annessi (VNC, Webserver, FTP ecc...).

Limitandoci al ns. lavoro di automazione, ovviamente, mettiamo a disposizione del cliente i vari servizi citati, per la gestione della macchina, solo che poi la gestione di questa risorsa è assolutamente banalizzata nel più dei casi. Tanto per capirci, IP medesimo di qualsiasi componente della rete aziendale.

Il problema risiede, che coloro che sono predisposti a questo lavoro, cioè i ns. interlocutori lato cliente (IT Manager), sono i primi a non volere realizzare le più banali regole base per uno straccio di coordinamento e sicurezza.

Senza arrivare al cyber terrorismo, basta che in FTP, cancellino componenti di sistema ed il gioco è fatto. Da questa banalità in avanti poi, si possono fare cose che non serve la banale password per tutelare l'impianto. Solo che poi ad impianto fermo (magari di produzione continua), chi deve correre è poi chi l'ha realizzato.

Ovvia risposta è il tutelarsi, con apparecchiature idonee, ma dopo l'ennesima litigata con il sistemista di turno e presa in valutazione una soluzione router eth/eth industriale (siamo nell'ordine di 15 volte il prezzo di un router medio per telecomunicazioni e 10 volte per un router, sempre medio ma con banda passante capace di sostenere un ufficio di 10 PC e noi dobbiamo farne funzionare 1), alla fine il problema è quello di inserire questo costo, completamente sotto valutato dal cliente.

A mio parere la sicurezza industriale non è al momento al passo con l'espansione del prodotto ethernet collegabile e nemmeno i costi sono compatibili. Avere un hardware con gestione di un routing "decente" con NAT, accessibili economicamente, sarebbe il primo obbiettivo per un azienda. Non sto parlando di accessi 3G/4G, Wifi, VPN su router esterni ecc.. di prodotti ce ne sono. Servirebbe qualcosa che sia idoneo al mondo industriale ma che non abbia questi servizi "accessori" per taluni (come me) e che non sia improponibile commercialmente.

In questo momento, l'idea è quella di cominciare ad utilizzare oggetti Mikrotik (come potrebbero essere anche altri prodotti, giusto per far capire di cosa stiamo parlando in generale), ma comunque di quell'ambito, perché comparativamente un simile prodotto Weidmuller lo trovo a più di 10 volte il prezzo del primo.

Voi avete adottato o pensate di adottare altre contromisure per la gestione della sicurezza della Vs automazione (ribadisco che si parla di esigenze primarie, non siamo in settori dove l'eccellenza di prodotti industriali serve per forza. Come diceva qualcuno, non mi serve la limuosine per andare a fare la spesa).

Cordiali saluti e buone feste.

[radiation74]

Ciao,

perdonami ma non ho ben capito se il tuo problema è proteggere le risorse della macchina (PC, PLC, ecc) oppure avere la possibilità di gestirla da remoto.

In entrambi i casi anche io prima utilizzavo sistemi "industriali" tipo i Moxa....ma come hai ben detto con un prezzo spropositiato che non sempre era giustificato.

Io da qualche anno quando lavoro su macchine che devono poi essere gestite all'interno di una LAN aziendale installo solo solo Mikrotik (solitamente RB2011 ) oppure una scheda Alix con PfSense installato.

In questo modo mi creo autonomamente tutte le mie policy di routing ecc per proteggere accessi non autorizzati e contemporanemanete se il cliente lo acconsente l'accesso remoto per me tramite loro IP pubblico, altrimenti con una chiavetta 3G inserita.

Anche discorso port-forwarding (nel caso sono connesso alla rete del cliente) lo evito creandomi una VPN direttamente sul mio apparato; oltretutto Mikrotik dalla versione firmware 6.23 implementa un servizio VPN gratuito su un cloud e quindi basta che mi collego quando mi serve a quel determinato nome host.

Altrimenti se il cliente ha esigenze particolari e devo avere sempre sotto controllo il processo preferisco creare una VPN dalla macchina alla mia azienda e avere delle VLAN dedicate ai clienti.

[ETR]

Ciao radiation, proprio prima di scrivere il post avevo letto un tuo commetto facendo una ricerca router.

La principale esigenza è la sicurezza, poi se richiesta, viene la gestione da remoto.

Sembra una risposta fatta ad hoc la tua, in quanto stiamo "osservando" da qualche settimana dei Mikrotik RB2011 per vedere se giocarci un po' in ditta e vedere di usarli sulle macchine. A maggior ragione mi sa che punteremo su questo oggetto per sviluppare il minimo indispensabile e poi lo testeremo da qualche cliente nelle vicinanze.

Con l'espansione di opensource, raspberry ecc... mi sembra assurdo il divario esistente ancora tra oggetti industriali e quello che potrebbe richiedere il mercato se si rendesse conto di cosa voglia dire sicurezza.

L'interesse è ancora vago per sinergie tra Schnaider e Mcfee (mi sembra) oppure Trend Micro si occupi di BacNet. Solamente in settori che richiedono competenze specifiche si affronta questo annoso problema.

Ribadisco che al momento il mercato mi sembra sia sprovvisto del concetto sicurezza, ma non solo nel ns. comparto, ma addirittura in quello che dovrebbe seguirci o gestire le ns. richieste. Quindi per tutelarci è più facile che si impari noi il port fowarding che un IT manager a programmare in ladder.

Ciao a grazie delle dritte.

[radiation74]

Io uso il 2011 in diversi ambiti e ti assicuro che nemmeno nelle installazioni più impervie (pozzi acquedotto con altissimo livello umidità ecc) ha mai dato problemi. Il case in "ferro" poi lo rende davvero adatto a tutti gli ambienti. Insomma per me è un piccolo "mulo"!!

Ciaaoooo!!!!!!