TUTORIAL – Cybersecurity in TiaPortal V18 – Configurazione Sicurezza PLC S7-1200 p1

1969

TUTORIAL – Cybersecurity in TiaPortal V18 – Configurazione Sicurezza PLC S7-1200 p1

In questo breve video vediamo come configurare la sicurezza della CPU in Tia Portal V18 mediante il Wizard di configurazione presente da TiaPortal V17 in poi.

TUTORIAL - Cybersecurity in TiaPortal V18 - Configurazione SIcurezza PLC S7-1200
TUTORIAL – Cybersecurity in TiaPortal V18 – Configurazione SIcurezza PLC S7-1200

Come descritto nelle nozioni di base sulla comunicazione sicura, per il corretto funzionamento dei protocolli basati su certificati sono necessarie chiavi private che devono essere protette nel miglior modo possibile.

A partire da STEP 7 V17 queste chiavi e altri dati importanti possono essere protetti con una password: la password per la protezione dei dati di configurazione riservati del PLC

L’assegnazione della password si rende superflua se sono state implementate altre misure volte ad impedire l’accesso non autorizzato al progetto TIA Portal e alla progettazione della CPU.

A prescindere che venga o meno assegnata una password: TIA Portal genera un’informazione chiave preposta alla protezione dei dati di configurazione PLC riservati. La password non ha alcuna influenza sul processo di comunicazione sicura. La complessità della password utilizzata per la protezione dei dati di configurazione PLC riservati determina, ad es. il grado di protezione delle chiavi private.

La disponibilità di un’informazione chiave costituisce un presupposto per la comunicazione sicura come ad es. la comunicazione PG/HMI sicura basata su TLS: La CPU, infatti, può gestire i certificati necessari per la comunicazione sicura solo se è disponibile quest’informazione.

Assistente per le impostazioni Security

Quando si seleziona una CPU che supporta la comunicazione PG/HMI sicura nel catalogo hardware di TIA Portal e la si aggiunge a un progetto, si apre l’Assistente per le impostazioni Security della CPU.

L’Assistente guida l’utente passo passo mentre esegue le seguenti impostazioni per la CPU:

  • Password per la protezione dei dati di configurazione riservati del PLC
  • Modalità di comunicazione HMI e PG/PC
  • Livello di accesso

Ogni impostazione è descritta in dettaglio nell’Assistente. Alla fine le impostazioni vengono nuovamente riepilogate per chiarezza.

L’Assistente si avvia anche se si sostituisce un’unità nella vista di rete di TIA Portal e se la nuova CPU, diversamente da quella precedente, supporta la comunicazione PG/HMI sicura.

Tutte le impostazioni dell’Assistente vengono acquisite nella finestra di ispezione (proprietà della CPU).

L’Assistente può essere richiamato in qualsiasi momento con il pulsante di avvio disponibile nell’area “Protezione & Security” delle proprietà della CPU.

Presupposti

  • TIA Portal versione V17 e successive
  • La CPU supporta la comunicazione PG/HMI sicura (per CPU S7-1500 dalla versione firmware 2.9)
  • La CPU non è ancora stata caricata o è stata resettata alle impostazione di fabbrica con l’opzione “Elimina password per la protezione dei dati di configurazione PLC riservati”

Procedura

  1. Aprire le proprietà della CPU nella vista di rete o nella vista dispositivi.
  2. Spostarsi nella sezione “Protezione & Security > Protezione dei dati di configurazione PLC”.Risultato: in un primo momento l’opzione “Proteggi dati di configurazione PLC riservati” è attivata e il campo vuoto per l’inserimento della password ha lo sfondo rosso.
  3. Selezionando il pulsante “Definisci” configurare una password (metodo consigliato), oppure disattivare l’opzione “Proteggi dati di configurazione PLC riservati”.
  4. Completare la configurazione e creare il programma utente.
  5. Caricare la CPU.
    Durante il caricamento della configurazione hardware viene chiesto una tantum di inserire nuovamente la password.
    Tenere presente che: La password configurata viene utilizzata in TIA Portal per generare l’informazione chiave per la protezione dei dati di configurazione riservati e proteggere questi dati. Tuttavia, per motivi di sicurezza né la password né l’informazione chiave vengono salvate nel progetto. Per consentire che l’informazione chiave venga ricevuta dalla CPU, durante il caricamento della configurazione hardware essa viene nuovamente generata pertanto, durante questa fase, è richiesto anche un inserimento una tantum della password.

Comunicazione basata su certificati anche tra PG/HMI e CPU

Poiché da TIA Portal versione V17 e dalle versioni di firmware V2.9 (S7-1500) e V4.5 (S7-1200) della CPU anche la comunicazione PG/HMI si basa sull’uso di certificati, durante la messa in servizio viene chiesto di accettare il certificato server.

Suggerimenti e regole per la gestione delle password

  • Gestire le password in una gestione password.
  • Utilizzare le impostazioni di verifica dei criteri delle password in TIA Portal per controllare che le nuove password inserite corrispondano ai criteri ed evitare ad es. password troppo semplici:
    • Spostarsi nella navigazione del progetto fino all’area “<Nome del progetto> > Impostazioni Security > Impostazioni” e selezionare l’area “Criteri password”.
    • Specificare ad es. il numero minimo di caratteri o caratteri speciali che deve contenere la password.
  • Non è necessario assegnare una password differente a ciascuna CPU di un impianto o di una macchina. A condizione che vengano soddisfatti alcuni presupposti, è possibile assegnare la stessa password ad un gruppo di CPU. Questa strategia offre alcuni vantaggi anche in caso di sostituzione delle CPU: Assegnando la password di gruppo alle CPU sostitutive si riduce il carico di lavoro durante la sostituzione della CPU.Tenere presente il rischio che in caso di compromissione della password di una di queste CPU, tutte le CPU con la stessa password sono vulnerabili.
  • La configurazione delle password ha conseguenze anche sulla sostituzione dei componenti perché, oltre alla progettazione, deve essere trasferita nella nuova CPU (sostitutiva) la password per i dati di configurazione PLC riservati.
  • Nel caso delle CPU S7-1500R/H la password per i dati di configurazione PLC riservati viene caricata solo in una delle due CPU. Perché il processo Sync-Up funzioni e anche la CPU del partner lavori correttamente si deve trasferire la password nella CPU del partner prima del Sync-Up mediante l’editor Online & Diagnostica:
    • Selezionare l’area “Definisci password per la protezione dei dati di configurazione sensibili del PLC” nella vista Online & Diagnostica.
    • Immettere la password e fare clic sul pulsante “Definisci”.Se la password inserita è corretta, la CPU del partner può utilizzare i dati di configurazione PLC protetti e il processo Sync-Up può iniziare.

 


 

Software necessari:

Download Tia Portal V18: da qui

trial operativa 21 giorni.

Ricordo che per essere abilitati al download del software è necessaria una registrazione al sito di supporto Siemens (qui) ed una successiva autorizzazione da parte di Siemens, che può richiedere anche diversi giorni.

Scrivi un commento o una richiesta di Info

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.