1 52 Table of Contents 54 102

EO 517

Fig. 3 – Esempi di configurazioni TSN decentralizzata (in alto) e ibrida (in basso) (Fonte: Belden) COMM INDUSTRIAL IOT ficati IEC 62443-4-2 sono stati valutati in modo indipen- dente e sono “sicuri by design”, il che assicura anche che sono state adottate le migliori procedure (best practice) per la sicurezza informatica. Due tool importanti per la sicurezza di un sistema IACS sono le liste ACL (per il controllo degli accessi) e la protezione dagli attacchi DoS (Denial-of-Service). In entrambi i casi, i progettisti coin- volti nello sviluppo della rete hanno a disposizione di- versi approcci. Le ACL sono utilizzate per consentire o vietare il traffi- co in entrata o in uscita dalle interfacce di rete. Un van- taggio dell’uso delle ACL è il funzionamento alla velocità della rete, per cui non incidono sul throughput dei dati, un aspetto importante nelle implementazioni TSN. Il software HiOS (sistema operativo di Hirschmann) divide le ACL in tre categorie. Le ACL di base per il traffico TCP/IP hanno poche opzioni di configurazione per impostare regole di autorizzazione del tipo “il dispositivo A può comunicare solo con que- sto gruppo di dispositivi” o “il dispositivo A può inviare solo tipi specifici di informazioni al dispositivo B” o “il dispositivo A non può comunicare con il dispositivo B”. L’uso delle ACL di base può semplificare e velocizzare le implementazioni. Sono disponibili anche ACL avanzate per il traffico TCP/ IP, per un controllo più granulare. Il traffico può essere consentito o vietato in base alla priorità, ai flag imposta- ti nelle intestazioni e ad altri criteri. Alcune regole pos- sono essere applicate solo in determinati momenti della giornata. È anche possibile eseguire il “mirroring” del traffico su un’altra porta per il monitoraggio o l’analisi. È possibile forzare specifici tipi di traffico verso una porta definita, indipendentemente dalla destinazione origina- le. Alcuni dispositivi IACS non utilizzano TCP/IP; HiOS consente anche di impostare le ACL a livello di frame Ethernet in base all’indirizzamento MAC (Media Access Control). Queste ACL a livello MAC possono consentire il filtraggio in base a una serie di criteri, tra cui il tipo di traffico, l’ora del giorno, l’indirizzo MAC di origine o di destinazione e così via (Fig. 4). Mentre le ACL devono essere configurate, la prevenzio- ne di attacchi DoS è spesso integrata nei dispositivi e viene implementata automaticamente. È in grado di ge- ELETTRONICA OGGI 517 - APRILE 2024 53

RkJQdWJsaXNoZXIy Mzg4NjYz