Protezioni Per Le Nostre Vlan - Consigli dai softwaristi

[rob10kg]

Lavoro presso una azienda che sta puntando molto del suo business sulla teleassistenza di apparecchiature in rete installate presso gli stabilimenti dei propri clienti.Naturalmente mi sto riferendo al monitoraggio dei dispositivi grazie all'appoggio di un sito dedicato sul WEB aperto apposta per fornire un servizio di questo tipo al cliente.

Noi dalla nostra postazione in ufficio vediamo su un diagramma stilizzato certi parametri fisici tipici delle nostre apparecchiature potendo fare valutazioni sul loro malfunzionamento con un ritardo rispetto al verificarsi del guasto di 1 min (a patto di piantarsi davanti al monitor tutto il giorno eh eh!).

Il nostro limite è legato alla impossibilità di inviare comandi alle macchine (quindi il termine teleassistenza non è corretto,purtroppo ci limitiamo al solo monitoraggio).Se dovessimo decidere di implementare anche questa funzione qual'è il rischio reale che qualcuno scavalchi le nostre protezioni e invi qualsivogli tipo di comando alle nostre macchine? Purtroppo si parla di telegrammi quindi siamo già nel domino del software e io che sono un hardwarista non ho già più voce in capitolo.Fatemi sapere.Qualsiasi considerazione in merito è come sempre ben accetta.Ciao!

[del_user_56966]

Direi un "dirottamento di sessione" potrebbe essere un attacco abbastanza comune

meglio ancora se il violato è un computer e da questo si possa accedere a molti altri (quelli in assistenza)

senza battere ciglio!

Che tipo di protocollo avete intenzione di usare!

Io normalmente uso protocolli a livello socket bypassando le protezioni utente a livello applicazione!

potresti fare un dedicato, magari rendi l'accesso un pò più complesso da scavalcare, comunque ricorda

un computer quasi sicuro è un computer sconnesso dalla rete, ma un computer sicuro e solo un computer spento!

Alen

[rob10kg]

Ciao Alen.Che tipo di protocollo intendo usare? Che significa? Le VLAN del cliente sono tutte Ethernet e usano l'IP.I nostri dispositivi utilizzano il CAN.Con un gateway esegui la conversione di formato.Non so se conosci le reti utilizzate nell'industria.Il CAN è stato inventato dalla Bosch per mettere in comunicazione sensori e attuatori con la centralina negli autoveicoli.E' stato studiato per poter gestire tanti nodi (64 senza repeater) e con velocità di comunicazione basse (1Mbps).Il meccanismo di accesso è quello di una rete peer to peer (nodi o client che ascoltano in parallelo il messaggio e parlano quando hanno qualcosa da dire) ma il sistema di risoluzione delle collisioni è di tipo non distruttivo nel senso che nelle tue reti Ethernet quando due telegrammi collidono li perdi tutti e due,nel CAN ne perdi uno solo.Praticamente Il telegramma del nodo con ID più alto sovrascrive il telegramma del nodo con ID più basso.

Ciao.

[del_user_56966]

Scusa ma faccio fatica a seguirti...

Cosa centra il CAN BUS con la protezione degli accessi, il sistema che utilizza CAN e visto come una parte terminale

della rete, tra la rete e il CAN devi mettere un gateway perchè gli standard sono completamente diversi!

Io sto parlando dello Stack TCP/IP, tu per protocollo di rete cosa intendi

Altrimenti parliamo con due lingue diverse!

Alen

[del_user_56966]

nel senso che nelle tue reti Ethernet quando due telegrammi collidono li perdi tutti e due

non mi risulta che il TCP lavori cosi, altrimenti non avremmo Internet, secondo me fai miscele tra Ethernet (supporto fisico)

e protocolli (supporto software)

Ps: il CAN non fa parte dello Stack TCP/IP

Alen

[rob10kg]

Scusa Alen.Questo è il tipico caso di incontro tra una persona che sa (tu) e una che non sa.Ti spiego la struttura dei nostri sistemi.I nostri dispositivi sono in rete CAN gestiti da un PLC sempre in rete CAN.Questo PLC si può interfacciare con il WEB tramite un modem analogico (acccontentiamoci di un aggiornamento dei dati di monitoraggio ogni ora per via del costo della telefonata che appunto viene fatto ogni ora) oppure si può connettere alla VLAN del cliente tramite una 10/100 integrata.Da qui poi tramite router (ma pensa che alcuni nostri clienti accedono al WEB via satellite a 11Gbs per evitare colli di bottiglia) accedi al WEB.Noi dalla nostra postazione in uffico vediamo (monitoriamo) lo stato dei sistemi.La scelta dei nostri progettisti è stata quella di adibire il sistema al solo monitoraggio dei parametri dei nostri dispositivi (vediamo valori di pressione e temperatura dell'aria) e non di comando dei dispositivi a distanza (potremmo accenderli,spegnerli o metterli in STAND-BY o addirittura intervenire su certi loro settaggi) proprio perchè si teme questa scelta.Se qualcuno,più probabile un esterno ma vai a sapere,anche un dipendente incavolato,decide grazie al nostro software dedicato di spegnerci i dispositivi quando lo stabilimento li usa per la sua produzione,beh mi sa che la mia azienda chiude ed è meglio che mi organizzi di conseguenza.

Che ne dici?

[del_user_56966]

Dico che la tua azienda dovrebbe rientrare nello spirito di Internet ovvero che i dati

devono essere bidirezionali lettura e comando e magari instaurare delle procedure per

cui il software non possa essere cosi facilmente utilizzabile dal primo "incavolato" del caso!

Potreste cominciare con l'accesso con firma digitale, fino a customizzare il protocollo per la gestione,

e utilizzare particolari sensori combinati RFID-Biometrici (cosi evitate anche i problemi con la Privacy) che

permettano solo agli addetti autorizzati ed effettivi in ruolo di svolgere le attività suddette.

Alen

[del_user_56966]

Se ti può confortare un azienda a me molto vicina sviluppa sistemi per la logistica

di un importante trasportatore Internazionale, quelo che fate voi lo fanno in realtime dai TIR

in viaggio e da ogni ufficio d'europa, e non mi sembra che si siano problemi del genere...

Alen

[rob10kg]

Grazie

[ifratta]

Ciao,

non ho ben capito se il collegamento tra la sede centrale e le periferie sono collegamenti dedicati (non passano su internet) o sono connessi tramite rete pubblica. Mi sembra di capire che dalla sede centrale c'e' un server che attraverso modem/rete telefonica chiama la periferia e su quella linea effettua il monitoreaggio. Se cosi' fosse non riesco a capire come riuscite a raggiungere velocita' di 1Mb. Comunque resettando le idee il mio consiglio e' (in regime di costi ridotto) avere una connessione veloce ma da rendere sicura:

Periferia1

|

INTERNET---Periferia2

|

Sede centrale

Dove davanti ad ogni sede e davanti alla sede centrale c'e' il router di accesso alla linea ADSL.

Sul router della sede centrale configuri una VPN (Virtual private network) con criptaggio dei dati (tipo ISAKMP) verso tutte le sedi periferiche e su ogni periferia la relativa VPN verso la sede centrale. In questo modo otterrai il criptaggio dei dati ed una connessione sicura e veloce con costi ridotti. Per la protezione dell'accesso alle macchine di "comando" puoi seguire i consigli del post sopra.

Qui trovi un po' di consigli pratici http://www.cisco.com/en/US/products/ps6350....html#wp1049732

Ciao

Igor

[rob10kg]

Grazie ifratta.Passano su INTERNET.Lo stato delle loro macchine è visibile grazie a INTERNET.Danno un certificato solo ad alcuni operatori e al responsabile (per vedere lo stato delle macchine sui loro PC) e poi loro possono vederlo dalla loro sede.Può vedere tale stato chiunque abbia il certificato da qualsiasi parte del mondo grazie a INTERNET.