Capcanele accesului web; Tehnologie de control al automatizării; Electronicsnet

12 mai 2006, ora 13:00 | Klaus-D. Walter

Pentru sarcina de „operare și monitorizare” există acum din ce în ce mai multe componente în automatizare care utilizează sisteme de operare standard cu browsere de internet din mediul IT - de la terminalul mic operator cu afișaj QVGA LC de 5 inci până la cel industrial PC cu monitor TFT-XGA de 15 inci până la computerul de birou. Cu toate acestea, accesul prin web nu este lipsit de capcanele sale.

Numeroase concepte O&M în automatizare folosesc deja avantajele unei rețele Ethernet continue și a tehnologiilor Internet (TCP/IP protocol stack, HTTP, Java, .NET). Serverele web (încorporate) încorporate în componentele de automatizare sunt adesea accesate printr-un browser web printr-un cablu Ethernet.

Cu toate acestea, funcționarea și monitorizarea bazate pe web a mașinilor și sistemelor nu sunt legate în mod fundamental de o rețea LAN (Local Area Network) bazată pe Ethernet. Accesul browserului la un server web încorporat prin HTTP (HyperText Transfer Protocol) se poate face și printr-o conexiune radio Bluetooth sau WLAN la distanță apropiată sau - dacă este necesar acces la distanță - chiar și cu GPRS (General Packet Radio Service) prin rețele celulare GSM respectiv. PDA-urile (Personal Digital Assistants) cu Windows CE, Palm OS sau Linux sunt potrivite în mod deosebit ca unități mobile de tip B&B. Aceste computere de buzunar au un browser web și - ca opțiuni pentru unele modele - interfețele radio necesare. Dar: Dar securitatea datelor cu aceste proceduri și ceea ce trebuie luat în considerare la stabilirea unei conexiuni la Internet?

Nu există secrete în rețelele radio?

În ceea ce privește domeniul apropiat, Bluetooth și WLAN-urile 802.11 concurează în special în ceea ce privește controlul și monitorizarea fără fir, deși niciuna dintre tehnologii nu a fost inițial concepută ca un concurent. Ambele metode sunt ușor potrivite pentru transmiterea pachetelor HTTP între browserul web și server. Driverele speciale sunt necesare numai pentru straturile inferioare (transmisia de biți și stratul de securitate) ale unui teanc TCP/IP, dar acestea sunt disponibile ca accesorii pentru un PDA cu interfață WLAN, de exemplu (Fig. 1).

Datorită puterii reduse de transmisie (aprox. 1 mW), Bluetooth este deosebit de potrivit pentru dispozitivele mobile, deoarece o necesitate redusă de energie joacă un rol important aici. O siguranță minimă împotriva ascultării este oferită deja cu Bluetooth prin saltul rapid de frecvență. Bluetooth continuă să utilizeze o metodă destul de sigură de criptare a datelor. O cheie pe 128 de biți, care nu este transmisă niciodată prin legătura radio, servește drept bază. Cu toate acestea: Bluetooth 1.2 (2-3 Mbps) și Bluetooth 2 (4, 8 și 12 Mbps) sunt planificate ca dezvoltări ulterioare ale actualului standard Bluetooth 1.1 cu 1 Mbps. Bluetooth 2 dispune de salt de frecvență și nu mai este compatibil în jos cu 1.1 și 1.2 și este cu siguranță puțin mai predispus la interferențe.

WLAN-urile bazate pe standardele actuale 802.11b sau 802.11g sunt concepute ca conexiuni wireless de viteză medie pentru construirea rețelelor. Se transmit 11 sau 54 Mbps (brut) cu maximum 100 mW.

WLAN-urile sunt de obicei proiectate ca extensii LAN. Schimbul de date în rețele LAN Ethernet bazat pe protocolul TCP/IP este relativ ușor de interceptat și manipulat. „Provocarea” pentru potențialul atacator este adesea pur și simplu să pătrundă în cablarea rețelei în locurile potrivite sau să instaleze un agent pentru a înregistra traficul de date sau pentru a importa pachete de date manipulate. Datorită cablării Ethernet în formă de stea predominantă și a utilizării cuplajelor stelare (comutatoare Ethernet), pachetele de date Ethernet sunt răspândite numai prin anumite căi (domenii de coliziune). Aceasta înseamnă că nu pot fi „auzite” în întreaga rețea LAN.

Această problemă nu există pentru atacator în rețelele WLAN. Din moment ce undele radio se propagă dincolo de granițele clădirilor și proprietăților, este, de asemenea, posibil să ascultați și să înregistrați comunicarea pe web între browserul operatorului de sistem și serverul web al unei componente de automatizare din parcarea companiei. Un notebook cu o interfață WLAN este suficient pentru aceasta.

Figura 1. Legăturile radio TCP/IP prin WLAN necesită doar drivere speciale.

Figura 2 arată înregistrarea comunicării WLAN necriptate a unui browser web PDA cu serverul web al unei componente de automatizare care este conectată la rețeaua fără fir printr-un punct de acces încorporat.

Un program numit Ethereal a servit ca instrument de ascultare. Este disponibil pe internet gratuit pentru computerele Windows și Linux, iar codul sursă poate fi chiar descărcat. Ethereal este inerent un așa-numit program sniffer. Înregistrează fiecare pachet de date al unei conexiuni LAN sau WLAN și permite examinarea detaliată a protocolului TCP/IP și a nivelului de octeți. Toate secretele, cum ar fi adresele MAC și IP, precum și parolele devin vizibile.

Pentru acces neautorizat la punctul de acces, va trebui să configurați doar interfața WLAN a oricărui computer cu adresele interceptate. Prin urmare, accesul web într-o rețea WLAN nu ar trebui, în niciun caz, să fie necriptat. Cu WEP (Wired Equivalent Privacy), WLAN oferă o metodă de criptare cu 64 de biți (efectiv 40 biți) și chei de 124 biți (efectiv 104 Bi). În general, cu cât cheia este mai lungă, cu atât transmisia este mai sigură din punct de vedere al securității împotriva ascultării. Deși WLAN-WEP oferă doar o protecție foarte simplă, un atacator ar trebui să depună mult mai mult efort.

Fig. 2. Ascultarea comunicației WLAN între browserul web și server - nu este o problemă mare cu programele „sniffer”.

Acces la distanță prin rețele celulare

Pentru a accesa un server web încorporat cu un PDA compatibil GPRS, Internetul trebuie întotdeauna pornit ca o legătură. GPRS este un serviciu suplimentar pentru transmiterea pachetelor IP în rețelele celulare GSM. Prin urmare, serverul web trebuie să aibă o conexiune la Internet pentru acces la distanță GPRS. Acesta poate fi, de exemplu, accesul DSL partajat al unei companii LAN. Serverul web încorporat este apoi integrat în LAN. LAN în sine are un router DSL ca o poartă de acces la Internet.

HTTP - Baza accesului web
Baza tuturor acceselor web este protocolul HTTP. HTTP este un protocol din stratul de aplicație al unui stack TCP/IP. La fel ca majoritatea protocoalelor de la acest nivel, funcționează pe principiul client/server. Un browser web, cum ar fi Internet Explorer sub Microsoft PC Windows sau Windows CE Pocket Internet Explorer, este de obicei folosit ca client. Aceasta începe o tranzacție HTTP prin trimiterea unei cereri HTTP către un server web. Serverul răspunde la cerere cu un răspuns HTTP.

HTTP cunoaște diferite tipuri de solicitări și răspunsuri. Acestea sunt alcătuite din informații text simple. Cererile GET, HEAD și POST sunt deosebit de importante. Dintre aceste trei tipuri, GET este cea mai utilizată tranzacție HTTP. Fiecare server web trebuie să accepte aceste tipuri de solicitări.

HTTP este un protocol de comunicare foarte universal aplicabil. Poate fi utilizat cu ușurință într-o rețea LAN rapidă sau printr-o conexiune lentă de modem. Singura cerință pentru canalul de comunicație este prezența unei stive de protocol TCP/IP. Datele de solicitare și răspuns HTTP utilizează TCP. Pachetele TCP sunt transmise în cadrul pachetelor de date IP. La rândul său, IP poate comunica folosind aproape orice mediu de transmisie.

Figura 3. Două exemple de module de modem GPRS - pot fi utilizate pentru a conecta serverul web al unei componente de automatizare direct la Internet. (Imagini: SSV)

Klaus-D. Walter este membru al echipei de management la SSV din Hanovra, unde lucrează ca Business Development Manager în zona de produse „Sisteme încorporate”.