43 /125
AMNYTT #6
2014
Industrielle brannmurer
og OPC Classic
Phoenix Contact har gjennom datterselskapet Innominate Security Technologies
utviklet industrielle brannmurløsninger siden 2001 under produktnavnet mGuard.
Ved oppstarten var industriell nettverkssikkerhet et relativt neglisjert tema, men
behovet for pålitelige løsninger for fjerntilgang ga også rom for å utvikle robuste
industrielle rutere.
M
ed de siste års stigende antall eksempler
på målrettede dataangrep og virus som
har satt store og små industrisystemer helt eller
delvis ut av spill har flere og flere sett behovet
for slagkraftige løsninger. En sentral akilleshæl
frem til i dag har likevel vært behovet for standardisert overføring av data mellom systemer.
Anerkjent standard
OPC er en av de mest anerkjente standardene for
å møte kravene om universell datatilgang innen
industriell automatisering. Standarden ble opprinnelig utviklet som OLE for Process Control,
men refereres nå som regel til som OPC Classic.
Den støttes av et bredt spekter av industrielleog forretningsapplikasjoner, for eksempel HMIarbeidsstasjoner, PLS- og SCADA-systemer, men
også av bedriftsdatabaser og andre forretningsorienterte systemer. For OPC Classic-kommunikasjon benyttes ikke faste TCP-portnumre, men i
stedet forhandles porttallet ved hver tilkobling.
Dette betyr at eventuelle brannmurer mellom
server og klient bare kan brukes med alle porter åpne, hvilket betyr at de er praktisk talt uten
virkning. I tillegg medfører dette at konvensjonell NAT- (Network Address Translation) ruting
ikke kan benyttes. Ved å introdusere funksjonen
OPC Inspector på m Guard er dette problemet
løst ved hjelp en dypere pakkeinspeksjon av OPC
Classic-kommunikasjon.
Dyp datapakkeinspeksjon for OPC CLASSIC
Under prosessen med å lese datapakkene ser
mGuard bokstavelig dypt inn i de overførte
datapakkene for å analysere og om nødvendig
modifisere dem. Ulike alternativer kan konfigureres, for eksempel om bare OPC-pakkene
kan overføres via OPC-port 135. TCP-portene
forhandlet innenfor den første åpne tilkoblingen kan også registreres som pålitelig og åpnes g