AMNYTT Nr. 6 – 2014 | Page 43

43 /125 AMNYTT #6 2014 Industrielle brannmurer og OPC Classic Phoenix Contact har gjennom datterselskapet Innominate Security Technologies utviklet industrielle brannmurløsninger siden 2001 under produktnavnet mGuard. Ved oppstarten var industriell nettverkssikkerhet et relativt neglisjert tema, men behovet for pålitelige løsninger for fjerntilgang ga også rom for å utvikle robuste industrielle rutere. M ed de siste års stigende antall eksempler på målrettede dataangrep og virus som har satt store og små industrisystemer helt eller delvis ut av spill har flere og flere sett behovet for slagkraftige løsninger. En sentral akilleshæl frem til i dag har likevel vært behovet for standardisert overføring av data mellom systemer. Anerkjent standard OPC er en av de mest anerkjente standardene for å møte kravene om universell datatilgang innen industriell automatisering. Standarden ble opprinnelig utviklet som OLE for Process Control, men refereres nå som regel til som OPC Classic. Den støttes av et bredt spekter av industrielleog forretningsapplikasjoner, for eksempel HMIarbeidsstasjoner, PLS- og SCADA-systemer, men også av bedriftsdatabaser og andre forretningsorienterte systemer. For OPC Classic-kommunikasjon benyttes ikke faste TCP-portnumre, men i stedet forhandles porttallet ved hver tilkobling. Dette betyr at eventuelle brannmurer mellom server og klient bare kan brukes med alle porter åpne, hvilket betyr at de er praktisk talt uten virkning. I tillegg medfører dette at konvensjonell NAT- (Network Address Translation) ruting ikke kan benyttes. Ved å introdusere funksjonen OPC Inspector på m Guard er dette problemet løst ved hjelp en dypere pakkeinspeksjon av OPC Classic-kommunikasjon. Dyp datapakkeinspeksjon for OPC CLASSIC Under prosessen med å lese datapakkene ser mGuard bokstavelig dypt inn i de overførte datapakkene for å analysere og om nødvendig modifisere dem. Ulike alternativer kan konfigureres, for eksempel om bare OPC-pakkene kan overføres via OPC-port 135. TCP-portene forhandlet innenfor den første åpne tilkoblingen kan også registreres som pålitelig og åpnes g