Bezwzględna konieczność zastosowania elektronicznych środków bezpieczeństwa
Całkowicie połączona sieciowo maszyna znajduje się w centrum cyfryzacji, przyszłościowego projektu czwartej rewolucji przemysłowej (Industry 4.0) i Internetu Rzeczy. W jaki sposób można bezpiecznie zaprojektować dostęp użytkowników do tak bardzo komunikatywnej aplikacji? Za pomocą bezprzewodowego modułu WLAN 1100 Phoenix Contact, który zapewnia punkt dostępu wypełniający to zadanie w sposób całkowicie przyjazny dla użytkownika.
W przeszłości ochrona sieci maszyn przed złośliwym oprogramowaniem i szkodliwymi działaniami zdawała się być prosta: sieć była obsługiwana jak lokalna wyspa, do której tylko ograniczona grupa osób, głównie pracowników serwisu, potrzebowała dostępu bezpośrednio na miejscu lub w ramach zdalnej obsługi. W odróżnieniu od powyższego, wiele osób ma dostęp do maszyny połączonej sieciowo, co powoduje, że nowe koncepcje związane z bezpiecznym dostępem są tu niezbędne. Wyzwania i ich rozwiązanie można dostrzec na przykładzie dostępu WLAN do sieci maszyn na potrzeby komunikacji z urządzeniami inteligentnymi, np. tabletami PC.
Jak już wspomniano, sieć była do tej pory chroniona w ramach obsługiwania jej jako wyspy sieci lokalnej, do której dostęp możliwy był, jeśli w ogóle, na miejscu w szafie sterowniczej przy użyciu otwartego portu Ethernet. Stąd, prosty mechaniczny sprzęt zabezpieczający, np. zamykanie szafy sterowniczej, często stanowił odpowiednie zabezpieczenie. Jednak z powodu wzrostu liczby tworzonych sieci i integracji kolejnych interfejsów na potrzeby zdalnego dostępu, np. przy pomocy WLAN, sieć jest również otwarta na zdalny dostęp. Użytkownik nie musi już mieć bezpośredniego mechanicznego dostępu do maszyny, a zamiast tego może niezauważenie dostać się do sieci maszyn nawet spoza terenu przedsiębiorstwa, jeśli znajduje się w zasięgu sieci. Zainstalowanie tam systemów bezpieczeństwa lub niezabezpieczone połączenie sieci maszyn z siecią produkcyjną stwarza niewyobrażalne zagrożenie dla użytkownika i operatora maszyny. W związku z tym, obowiązkowe elektroniczne środki bezpieczeństwa muszą zostać wdrożone w sieci.
Hasło do WLAN nie jest wystarczającym zabezpieczeniem w przypadku dużej liczby użytkowników
Większość urządzeń sieciowych umożliwia ochronę dostępu poprzez samodzielne uwierzytelnienie użytkownika za pomocą podania wspólnego hasła do urządzenia. Bezpieczne hasło, takie jak to, zapewnia wysoki stopień ochrony przed nieuprawnionymi szkodliwymi działaniami. Jednak, wygenerowanie właściwego hasła i bezpiecznej dokumentacji do niego wymaga ogromnego wysiłku operatora maszyny. W związku z faktem, iż użytkownicy często zakładają, że dostęp do sieci jest chroniony mechanicznie, nieraz brakuje im praktycznego wyczulenia na problemy. Można to zauważyć w przypadku urządzeń sieciowych zwykle chronionych jedynie hasłem zapewnionym przez producenta lub prostym hasłem domyślnym ustalonym przez inżyniera mechanika. Stwierdzenie to ma również zastosowanie do hasła do WLAN (WPA-PSK) chroniącego dostęp z punktu dostępu WLAN do sieci maszyn. Dlatego każdy, kto zna hasła lub wie, gdzie są przechowywane, ma swobodny dostęp do wszystkich urządzeń w sieci.
W rzeczy samej, WPA-PSK wystarcza do bezpiecznego kodowania ruchu danych w sieciach WLAN. Mimo że jedno hasło nadaje się dla wszystkich użytkowników sieci domowych, procedura ta nie chroni przed nieuprawnionym dostępem do sieci maszyn o dużej liczbie często zmieniających się użytkowników. Wynika to z faktu, iż z powodu bezustannego ujawniania tajne hasło szybko staje się powszechnie znane. Hasło wymaga odświeżenia najpóźniej po umożliwieniu użytkownikowi lub tabletowi PC nawet tymczasowego dostępu do sieci. To stanowi problem, ponieważ zarówno użytkownik, jak i tablet PC zna dane dostępu. Inteligentne urządzenia także pamiętają takie dane i łączą się z siecią automatycznie, gdy znajdują się w jej zasięgu, a to kolejny kłopot, nawet w przypadku niepożądanego lub już niedozwolonego dostępu.
System sterowania maszyny zarządza zautomatyzowanym administrowaniem siecią
Jednak w przypadku sieci IT indywidualne hasła są nadawane użytkownikom centralnie przez administratora i rozdzielane na urządzenia sieciowe przez serwer, np. serwer RADIUS. Zmianę praw dostępu użytkownika administrator ustala w centralnym serwerze. Stąd sieci IT dla WLAN używają trybu zabezpieczenia Enterprise WPA zamiast WPA-PSK. W trakcie tego procesu punkt dostępu WLAN realizuje żądania połączenia klientów, np. tableta PC, korzystając z serwera RADIUS i z użyciem protokołu IEEE 802.1x. Sieci maszyn nie są utrzymywane przez administratorów sieci. Zazwyczaj prawa użytkownika i hasła raz skonfigurowane pozostają więc niezmienione i są ważne podczas całkowitego czasu obsługi maszyny. W związku z tym wdrożenie usług informatycznych, np. integracja serwera RADIUS z maszyną, również nie zapewnia rozwiązania, ponieważ nie jest ona utrzymywana przez administratora.
Przedstawione wyzwanie można obejść za pomocą automatyzacji administrowania siecią przeprowadzonej przez system sterowania maszyny. Takie podejście jest nie tylko neutralne pod względem kosztów, ale i praktyczne, ponadto umożliwia inżynierowi mechanikowi sprawowanie pełnej kontroli nad wdrożeniem oraz zachowanie przy tym elastyczności. Jednakże ważnym warunkiem wstępnym jest, aby urządzenie sieciowe, w tym przypadku punkt dostępu WLAN, zawierało interfejs, poprzez który system sterowania maszyny może być sterowany w trakcie działania. Dlatego Phoenix Contact zainstalowało interfejs sieciowy API w swoich komponentach sieciowych opracowanych specjalnie dla branży budowy maszyn. Poszczególnymi funkcjami urządzeń sieciowych można sterować, wysyłając komunikaty HTTP-GET w trakcie pracy. Ponadto system sterowania maszyny może łatwo skonfigurować kompletny moduł. Skutkiem tego składnia poleceń odpowiada standardowemu wierszowi poleceń (CLI). Nowe przełączniki z asortymentu FL Switch 2000 i punkt dostępu WLAN z serii WLAN 1100, które zostały zaprezentowane na Targach Hanowerskich w 2017 roku, mają taki interfejs.
Hasło jednorazowe jest generowane przy nawiązaniu każdego połączenia
Użytkownik, który chce się połączyć z siecią maszyn przy użyciu swojego tableta PC zapisuje żądanie dostępu, np. używając terminala operacyjnego i monitorującego. W ramach sterowania generowane jest następnie losowe hasło jednorazowe. Potem za pomocą komunikatu HTTP-GE funkcja sterowania konfiguruje i uruchamia wirtualny punkt dostępu we WLAN 1100. Hasło jednorazowe do nowej sieci WLAN jest przydzielane użytkownikowi po skorzystaniu z terminala operacyjnego i monitorującego. Dane wyjściowe w postaci kodu QR, które mogą zostać odczytane przez kamerę tableta PC i które w ten sposób automatycznie konfigurują połączenie z WLAN, okazały się wygodniejszym wariantem. Jeżeli użytkownik nie potrzebuje już połączenia, sterownik dezaktywuje wirtualny punkt dostępu. Stąd znajomość hasła do WLAN i automatyczny zapis hasła na tablecie PC nie będą już w przyszłości postrzegane jako zagrożenie dla bezpieczeństwa, ponieważ nowe hasło jednorazowe zostanie utworzone i wykorzystane przy nawiązaniu kolejnego połączenia.
WLAN 1100 oferuje dodatkowe opcje prostego i, mimo wszystko, bezpiecznego dostępu do sieci maszyn. Dlatego przy pomocy indywidualnych ustawień bezpieczeństwa WLAN jednocześnie można ustanowić do dwóch wirtualnych punktów dostępu. Oprócz niepowtarzalnego hasła do WLAN operator maszyny może korzystać z konfigurowalnego filtra IP w celu ograniczenia liczby jednoczesnych połączeń dla każdego punktu dostępu oraz ograniczenia dostępu do sieci do zainstalowanych urządzeń. W ten sposób pracownik serwisu ma zapewniony pełny dostęp do sieci, a jednocześnie zagwarantowany dostęp ma na przykład operator maszyny, który może jedynie przeglądać serwer wizualizacji. Ponadto oparty na portach serwer DHCP przydziela klientom WLAN indywidualne i niezależne adresy IP dla każdego wirtualnego punktu dostępu WLAN.
Sieciowy interfejs API jest zintegrowany z komponentami
Liczba użytkowników, którzy muszą mieć dostęp do urządzeń zainstalowanych w ich sieci, rośnie również z powodu zwiększającej się liczby tworzonych sieci maszyn. W tym celu dla nadania praw użytkownika i zarządzania hasłami wymagana jest koncepcja bezpieczeństwa. W odróżnieniu od sieci IT, system sterowania maszyny może zarządzać administrowaniem hasłami i prawami użytkownika w sieci w sposób zautomatyzowany. Jednak pracujące komponenty sieciowe muszą być sterowane przez system sterowania maszyny za pomocą prostego interfejsu. Przełączniki z asortymentu FL Switch 2000 i punkty dostępu z serii WLAN 1100 zapewniają odpowiednie interfejsy sieciowe API jako nowe urządzenia sieciowe dla branży budowy maszyn.
Technika MIMO zawsze zapewnia dobry odbiór
Nowy bezprzewodowy moduł WLAN 1100 Phoenix Contact łączy punkt dostępu i technologię anten w zaledwie jednym urządzeniu. W odróżnieniu od tradycyjnej koncepcji, jest instalowany jak antena bezpośrednio na maszynach, pojazdach lub szafach sterowniczych zamiast wewnątrz szafy sterowniczej. Dwie zintegrowane z techniką MIMO wysokowydajne anteny zapewniają dobry odbiór wszędzie tam, gdzie jest on potrzebny. WLAN 1100 umożliwia ekonomiczne i proste połączenie maszyny z WLAN. Nie ma potrzeby projektowania drogich sieci bezprzewodowych czy zastosowania technologii antenowej.
W związku z faktem, iż nie trzeba przeznaczać miejsca w szafie sterowniczej na moduł bezprzewodowy, może być ona bez trudu doposażona. WAN 1100 jest mocowany za pomocą oprawy z jednym otworem i podłączony w tradycyjny sposób do złącza Combicon i złącza RJ45 Ethernet. Moduł bezprzewodowy nadaje się do pracy w trudnych warunkach przemysłowych, ponieważ jest wstrząsoodporny zgodnie z IK08, dzięki czemu wytrzymuje nawet silniejsze obciążenia mechaniczne.
Szukasz rozwiązań dla nowoczesnych sieci przemysłowych? Tu znajdziesz szeroki wybór komponentów sieciowych. Od sprawdzonej magistrali obiektowej po nowoczesną technologię Ethernet – jesteśmy najlepszym partnerem w dziedzinie cyfryzacji maszyn i systemów.
Autor: Dypl. inż. (FH) Jürgen Weczerek, Kierownik Działu Technologii Sieciowej Marketingu Produktów, Phoenix Contact Electronics GmbH, Bad Pyrmont
