1 12 Table of Contents 14 52

FN_100

SETTEMBRE 2019 FIELDBUS & NETWORKS 13 Cover story Phoenix Contact in ingresso attraverso Internet. La soluzione al problema è arrivata dalla gestione delle con- nessioni VPN attraverso il servizio cloud di Phoenix Con- tact. La soluzione mGuard Se- cure Cloud si è dimostrata vincente, in quanto produce traffico solo in uscita ed è incapsulata nella sola porta https, che transita sotto il controllo del proxy aziendale. Inoltre, l’azienda era alla ricerca di una soluzione di accesso remoto per i fornitori esterni, produttori dei macchinari installati sulla rete aziendale. In questo caso, la criticità da superare era legata al fatto che lemacchine dei fornitori esterni potevano trovarsi nella stessa sottorete dei macchinari del cliente, il cui know-how andava pro- tetto. In questo caso, grazie ai dispositivi mGuard è stato possibile inserire delle regole di firewall sugli host da raggiungere via VPN, regole che non risiedono all’interno del cloud ma nei router stessi. Vi era infine la necessità di dare riscontro alle richieste del reparto IT, come quelle relative alla possibilità di tracciare i nodi oggetto di tele- assistenza da parte dei forni- tori esterni, op- pure di applicare regole di firewall specifiche, delineate in base ai diritti riservati ai singoli utenti presenti in Active Directory. Le risposte a queste esigenze sono giunte grazie alle User Firewall Rule applicate ai rou- ter, con interfacciamento verso Radius Server Microsoft che fa da ponte verso i server Active Directory. Il cliente, opportunamente supportato nelle singole fasi di configurazione dei router, ha potuto così ristrutturare le reti di impianto dei vari stabili- menti del gruppo seguendo quanto indicato dallo standard IEC62443, con le regole di firewall WAN-LAN e il supporto della gestione del traffico taggato richiesti dallo standard. Phoenix Contact www.phoenixcontact.it À security richiede una cooperazione organizzata di persone e tecnologie S empre più spesso all’interno delle macchi- ne e dei quadri in generale è presente un PC industriale dotato di porte USB che posso- no essere utilizzate da eventuali manutentori e, suc- cessivamente, trasferite anche su altri PC collegati a Internet. Quindi, nel momento in cui il dispositivo di massa viene infettato da un virus, il concetto di sicurez- za viene completamente by-passato. Inoltre, non sono terminate le criticità legate ai PC indu- striali. Quando si costruisce una macchina si presume che questa abbia un’aspettativa di vita di circa 10 anni, di conseguenza si è portati a pensare che questo valga anche per un PC industriale. I sistemi operativi non hanno però la stessa aspettativa di supporto, pertanto eventuali falle alla sicurezza da essi dipendenti potreb- bero non venire più sanate. Basti pensare, per esem- pio, a Windows XP, a oggi ancora presente in maniera predominante nelle linee produttive, caratterizzato da ben 727 vulnerabilità, quindi da altrettanti 727 punti di possibile attacco alla macchina. Un ultimo rischio è legato alla teleassistenza. Tutti pre- sentano questa soluzione come un sistema impenetra- bile perché crea un collegamento virtualmente protetto attraverso la VPN, ma nessuno pone attenzione al fatto che, se è presente qualche tipo di malware sul PC del manutentore, questo malware avrà senza dubbio la strada già spianata per raggiungere l’impianto creando così una via diretta e un by-pass di tutte le sicurezze. FONTI DI RISCHIO

RkJQdWJsaXNoZXIy MTg0NzE=