Il poter accedere ai sistemi da Internet permette di gestire le operazioni di manutenzione sul software da remoto, ma la pubblicazione di dispositivi su Internet pone problemi di sicurezza. La soluzione più sicura è realizzare una connessione in VPN che garantisce oltre al meccanismo di autenticazione anche la crittografia sui dati scambiati.
Se sull'impianto è presente un pannello operatore Weintek, la soluzione VPN ci viene offerta dal pannello grazie all'utilizzo di EasyAccess. Se l'impianto è connesso con un router cellulare WLink anch'esso può gestire VPN in IPSec o OpenVPN.
Servizi attivi su moduli SlimLine/Netsyst
I moduli SlimLine/Netsyst hanno attivi alcuni servizi:
- Telnet su porta 23, vi si accede con autenticazione.
- FTP su porta 21, vi si accede con autenticazione.
- HTTP su porta 80, vi si accede con autenticazione.
- Modbus standard su porta 502 (Non è prevista autenticazione).
Se si usa una connessione VPN non vi sono problemi, tutta la sicurezza è gestita dalla VPN, Se invece si desidera pubblicare direttamente alcuni servizi su Internet occorre eseguire un port-forwarding delle porte relative al servizio da pubblicare.
Per i servizi che prevedono una autenticazione il problema della sicurezza è gestito dal meccanismo di autenticazione, il problema maggiore è per il protocollo Modbus utilizzato da LogicLab per la programmazione. Modbus non prevede autenticazione, inoltre viene utilizzato (Sulla rete locale) per lo scambio dati con pannelli operatore e/o altri dispositivi, quindi non è possibile pensare ad un meccanismo di autenticazione.
Come proteggere l'accesso da Modbus
Qundi se proprio si vuole pubblicare la porta di programmazione Modbus per accedere da remoto al sistema le operazioni per avere un livello superiore di sicurezza sono:
- Attivare un server Modbus su di una porta diversa dalla 502.
- Pubblicare la porta su cui si è attivato il server.
- Accedendo alla pagina Web, abilitare il server solo quando si desidera operare sul sistema, disabilitandolo appena terminato.
Nell'immagine successiva riportiamo lo screenshot delle operazioni. Come si vede si potrà accedere da remoto al web server web e dopo l'autenticazione è possibile abilitare/disabilitare il server Modbus.
