EcoStruxure Panel Server – Guida alla sicurezza informatica PDF
DOCA0211IT-11

Sicurezza di rete

Introduzione

EcoStruxure Panel Server non è progettato per resistere all'esposizione diretta a Internet. Deve essere installato almeno dietro NAT (Network Address Translation) o preferibilmente dietro più firewall. Per ulteriori informazioni, consultare i seguenti siti Web:

Segmentazione della rete

EcoStruxure Panel Server è un gateway e crea un bridge tra reti diverse. La segmentazione della rete contribuisce ad assicurare la difesa dagli attacchi informatici. Per migliorare la segmentazione della rete, Panel Server Universal e Advanced dispongono di due porte Ethernet che possono essere sfruttate in modalità separata per avere una porta dedicata al settore IT (Information Technology) e una porta dedicata alla tecnologia operativa (OT). La segmentazione della rete consente di mantenere segmentate le reti OT e IT, poiché i pacchetti di rete non vengono inoltrati da una all'altra.

Si consiglia di configurare la rete in modalità separata (per ulteriori informazioni sulle impostazioni di rete, vedere DOCA0172•• EcoStruxure Panel Server - Guida utente).

In questo modo è possibile collegare Panel Server a:

  • Dispositivi OT a valle tramite Modbus TCP su una porta Ethernet.

  • PC IT a monte con SCADA e applicazioni software di messa in servizio sull'altra porta Ethernet.

HTTPS e Modbus sono disponibili su Wi-Fi e interfacce Ethernet Panel Server (ETH1, ETH2).

La tabella seguente presenta l'impostazione predefinita per ogni interfaccia:

Interfaccia

Modbus

Ethernet in topologia commutata

Attivato

Ethernet in topologia separata

Porta ETH1

Attivato

Porta ETH2

Disattivato

Infrastruttura Wi-Fi

Disattivato

Punto di accesso Wi-Fi

Non disponibile

Si consiglia di disattivare il servizio Modbus sulle reti in cui non è utilizzato. Per ulteriori informazioni sull'attivazione del servizio, vedere DOCA0172•• EcoStruxure Panel Server - Guida utente.

Certificato server Web del prodotto

Per supportare le comunicazioni protette HTTP, EcoStruxure Panel Server è dotato di un certificato X.509v3 predefinito. Questo certificato garantisce l'integrità e la riservatezza per impostare la comunicazione HTTPS.

I browser Web riconoscono solo i certificati per i siti Web pubblici. Poiché Panel Server è installato in una rete LAN (Local Area Network), i browser Web non sono in grado di distinguere un Panel Server da un altro. Perciò, quando ci si collega a Panel Server, viene visualizzato un messaggio di sicurezza sul browser Web.

Una connessione cablata diretta consente di proteggere il percorso di comunicazione con il Panel Server. Per ulteriori informazioni sul primo accesso alle pagine Web di EcoStruxure Panel Server tramite PC, vedere DOCA0172•• EcoStruxure Panel Server - Guida utente.

Impronta della chiave del server SFTP

Se si pubblicano i dati su un server SFTP, assicurarsi che l'impronta della chiave, visualizzata durante la configurazione dell'indirizzo del server, corrisponda alla chiave SFTP del server.

Se si rinnova la chiave SFTP sul server, Panel Server non sarà più in grado di inviare i file, poiché la connessione non verrà autenticata. È necessario riconfigurare la pubblicazione per Panel Server registrare la nuova impronta della chiave SFTP.

Rete wireless

I protocolli radio sono vulnerabili alle violazioni di sicurezza fisica. Ad esempio, un attacco Denial of Service può bloccare il segnale radio con un potente emettitore radio situato nelle vicinanze.

Si consiglia pertanto di adattare la propria sicurezza fisica alla criticità delle informazioni che si basano sui protocolli radio. A questo scopo, le reti wireless (Wi-Fi e IEEE 802.15.4) possono essere disattivate in modo permanente in Panel Server. Se si è certi che non saranno mai necessarie le reti wireless (Wi-Fi e IEEE 802.15.4), e solo in questo caso, è possibile disattivarle definitivamente. Per ulteriori informazioni sulla disattivazione permanente e simultanea delle reti wireless, vedere DOCA0172•• EcoStruxure Panel Server - Guida utente.

NOTA: I modelli Wired by Design (WD) di Panel Server consentono di rispettare i criteri wireless in quanto non contengono chipset wireless.

Si consiglia di eseguire la messa in servizio dei dispositivi wireless IEEE 802.15.4 in un luogo protetto da trasmettitori radio non autorizzati, ad esempio una sala di amministrazione.

Per la rete Wi-Fi, si consiglia di utilizzare WPA2 (Wi-Fi Protected Access versione 2).

NOTA: TKIP (Temporal Key Integrity Protocol) non supportato.

Accesso remoto (VPN)

Panel Server fornisce una funzione di accesso remoto che consente di collegare il Centro assistenza clienti (CCC) Schneider Electric alle pagine Web Panel Server.

Per impostazione predefinita, l'accesso non è attivato e richiede il firewall per attivare la connessione. Per ulteriori informazioni, vedere Endpoint previsti.

La funzione di accesso remoto si basa su una VPN di livello 3 che, per progettazione, non fornisce accesso alla rete, ma solo a Panel Server. Inoltre, solo HTTPS è autorizzato per il tunneling tramite questa VPN.

Dispositivi collegati

Si consiglia di controllare regolarmente l'elenco dei dispositivi collegati alla rete IEEE 802.15.4 del Panel Server. Nel caso di un dispositivo collegato sconosciuto, individuarlo e rimuoverlo. È inoltre possibile ricostruire la rete e riconnettere solo i dispositivi identificati.

QR Code is a registered trademark of DENSO WAVE INCORPORATED in Japan and other countries.

Le informazioni sono state utili?

Informazioni sui contatti
Informazioni di carattere legale
Privacy Policy
Change your cookie settings