Підводні камені доступу до Інтернету; Технологія управління автоматикою; Electronicsnet

12 травня 2006 р., 13:00 | Клаус-Д. Вальтер

Тим часом все більше і більше компонентів, що використовують стандартні операційні системи з Інтернет-браузерами з ІТ-середовища, можна знайти в автоматизаційній системі для виконання завдань "управління та моніторинг" - від невеликого операторського терміналу з 5-дюймовим РК-дисплеєм QVGA до промислового ПК з 15-дюймовим монітором TFT-XGA до настільного ПК. Однак доступ до Інтернету не позбавлений підводних каменів.

Численні концепції O&M в автоматизації вже використовують переваги безперервної мережі Ethernet та Інтернет-технологій (стек протоколів TCP/IP, HTTP, Java, .NET). До (вбудованих) веб-серверів, вбудованих у компоненти автоматизації, часто можна отримати доступ через веб-браузер за допомогою кабелю Ethernet.

Однак веб-функціонування та моніторинг машин і систем принципово не пов'язані з локальною мережею (локальною мережею), що базується на Ethernet. Доступ браузера до вбудованого веб-сервера через HTTP (HyperText Transfer Protocol) також може бути здійснений через радіозв'язок Bluetooth або WLAN на близькій відстані або - якщо потрібен віддалений доступ - навіть із GPRS (General Packet Radio Service) через стільникові мережі GSM відповідно. КПК (Персональні цифрові помічники) з Windows CE, Palm OS або Linux особливо підходять як мобільні B & B пристрої. Ці кишенькові комп’ютери мають веб-браузер і - як опція для деяких моделей - необхідні радіоінтерфейси. Але: Що стосується безпеки даних за допомогою цих процедур і що потрібно враховувати при встановленні з’єднання з Інтернетом?

Ніяких секретів у радіомережах?

Що стосується близького радіусу дії, то з точки зору бездротового управління та моніторингу, зокрема, конкурують Bluetooth та 802.11 WLAN, хоча жодна технологія спочатку не передбачалася як конкурент. Обидва методи підходять для передачі пакетів HTTP між веб-браузером та сервером. Спеціальні драйвери потрібні лише для нижніх рівнів (бітова передача та рівень захисту) стеку TCP/IP, але вони доступні як аксесуари для КПК з інтерфейсом WLAN, наприклад (рис. 1).

Через низьку потужність передачі (приблизно 1 мВт), Bluetooth особливо підходить для мобільних пристроїв, оскільки низька потреба в енергії тут відіграє важливу роль. Мінімальний захист від прослуховування вже забезпечений Bluetooth завдяки швидкому стрибку частоти. Bluetooth продовжує використовувати досить безпечний метод шифрування даних. 128-бітовий ключ, який ніколи не передається по радіозв'язку, служить основою. Однак: Bluetooth 1.2 (2-3 Мбіт/с) та Bluetooth 2 (4, 8 та 12 Мбіт/с) заплановані як подальші розробки поточного стандарту Bluetooth 1.1 з 1 Мбіт/с. Bluetooth 2 відмовляється від стрибків частоти і, отже, більше не сумісний з 1.1 і 1.2 і, безумовно, трохи більше схильний до перешкод.

WLAN, засновані на чинних стандартах 802.11b або 802.11g, призначені як середньошвидкісні бездротові з'єднання для побудови мереж. Передається 11 або 54 Мбіт/с (брутто) з максимальною потужністю близько 100 мВт.

WLAN зазвичай розробляються як розширення LAN. Обмін даними в локальних мережах Ethernet на основі протоколу TCP/IP відносно легко перехопити і маніпулювати ними. "Виклик" для потенційного зловмисника часто полягає в тому, щоб просто проникнути в мережу в потрібних місцях або встановити агента для запису трафіку даних або імпорту маніпульованих пакетів даних. Завдяки переважно зіркоподібним кабелям Ethernet та використанню з’єднувачів зірок (комутатори Ethernet), пакети даних Ethernet поширюються лише за певними шляхами (домени зіткнень). Це означає, що їх не можна «підслухати» у всій локальній мережі.

Ця проблема не існує для зловмисника в бездротових локальних мережах. Оскільки, як відомо, радіохвилі поширюються за межі будівель та майна, можливо також прослуховувати та записувати веб-зв'язок між браузером системного оператора та веб-сервером компонента автоматизації з парковки компанії. Для цього достатньо ноутбука з інтерфейсом WLAN.

Рисунок 1. TCP/IP через радіозв'язки WLAN вимагає лише спеціальних драйверів.

На малюнку 2 показано запис незашифрованого WLAN-зв'язку веб-браузера PDA з веб-сервером компонента автоматизації, який підключений до бездротової мережі через вбудовану точку доступу.

Програма під назвою Ethereal служила інструментом прослуховування. Він доступний в Інтернеті безкоштовно для комп’ютерів Windows і Linux, а вихідний код можна навіть завантажити. Ethereal за своєю суттю є так званою програмою sniffer. Він реєструє кожен пакет даних підключення до локальної мережі або бездротової локальної мережі та дозволяє детально перевірити протокол TCP/IP та рівень байтів. Усі секрети, такі як MAC та IP адреси, а також паролі стають видимими.

Для несанкціонованого доступу до точки доступу вам потрібно буде лише налаштувати інтерфейс WLAN будь-якого комп’ютера з перехопленими адресами. Тому веб-доступ у WLAN за жодних обставин не повинен бути незашифрованим. Завдяки WEP (Wired Equivalent Privacy), WLAN пропонує метод шифрування з 64-бітними (ефективно 40-бітними) та 124-бітними ключами (фактично 104 Бі). Загалом, чим довший ключ, тим безпечніше передача з точки зору безпеки від прослуховування. Хоча WLAN-WEP пропонує лише дуже простий захист, зловмисникові довелося б докласти набагато більше зусиль.

Рис. 2. Підслуховування зв'язку WLAN між веб-браузером та сервером - велика проблема з програмами "sniffer".

Віддалений доступ через стільникові мережі

Для доступу до вбудованого веб-сервера з PDA, що підтримує GPRS, Інтернет завжди повинен бути ввімкнений як посилання. GPRS - це додаткова послуга для передачі IP-пакетів у стільникових мережах GSM. Тому веб-сервер повинен мати підключення до Інтернету для віддаленого доступу GPRS. Це може бути, наприклад, спільний DSL-доступ до мережевої мережі компанії. Потім вбудований веб-сервер інтегрується в локальну мережу. Сама локальна мережа має маршрутизатор DSL як шлюз до Інтернету.

HTTP - основа веб-доступу
Основою всього веб-доступу є протокол HTTP. HTTP - це протокол на прикладному рівні стека TCP/IP. Як і більшість протоколів на цьому рівні, він працює за принципом клієнт/сервер. Як клієнт зазвичай використовується веб-браузер, наприклад Internet Explorer під Microsoft PC Windows або Windows CE Pocket Internet Explorer. Це запускає HTTP-транзакцію, надсилаючи HTTP-запит на веб-сервер. Сервер відповідає на запит відповіддю HTTP.

HTTP знає різні типи запитів та відповідей. Вони складаються з простої текстової інформації. Запити GET, HEAD та POST особливо важливі. З цих трьох типів GET є найбільш часто використовуваною HTTP-транзакцією. Кожен веб-сервер повинен підтримувати ці типи запитів.

HTTP - це дуже універсальний протокол зв'язку. Його можна легко використовувати в швидкій локальній мережі або через повільне модемне з'єднання. Єдина вимога до каналу зв'язку - наявність стеку протоколів TCP/IP. Дані запиту та відповіді HTTP використовують TCP. Пакети TCP передаються всередині пакетів даних IP. IP, у свою чергу, може спілкуватися, використовуючи практично будь-яке середовище передачі.

Рисунок 3. Два приклади модемних модулів GPRS - їх можна використовувати для підключення веб-сервера компонента автоматизації безпосередньо до Інтернету. (Зображення: SSV)

Клаус-Д. Уолтер є членом керівної групи в SSV в Ганновері, де він працює менеджером з розвитку бізнесу в продуктовій галузі "Вбудовані системи".