Капаните на достъпа до мрежата; Технология за управление на автоматизацията; Electronicsnet

12 май 2006 г., 13:00 ч. | Клаус-Д. Уолтър

За задачата „операция и мониторинг“ вече има все повече компоненти в автоматизацията, които използват стандартни операционни системи с интернет браузъри от ИТ средата - от малкия операторски терминал с 5-инчов QVGA LC дисплей до индустриалния Компютър с 15-инчов TFT-XGA монитор до настолен компютър. Достъпът през мрежата обаче не е без недостатъци.

Многобройни O&M концепции в автоматизацията вече използват предимствата на непрекъсната Ethernet мрежа и интернет технологии (TCP/IP стек протокол, HTTP, Java, .NET). (Вградените) уеб сървъри, вградени в компонентите за автоматизация, често се достъпват чрез уеб браузър чрез Ethernet кабел.

Базираната на мрежата работа и мониторинг на машини и системи не е фундаментално свързана с LAN (Local Area Network), базирана на Ethernet. Достъпът на браузъра до вграден уеб сървър чрез HTTP (HyperText Transfer Protocol) може да се осъществи и чрез Bluetooth или WLAN радио връзка от близко разстояние или - ако се изисква отдалечен достъп - дори с GPRS (General Packet Radio Service) през GSM клетъчни мрежи съответно. PDA (лични цифрови асистенти) с Windows CE, Palm OS или Linux са особено подходящи като мобилни B & B устройства. Тези джобни компютри се доставят с уеб браузър и - като опция на някои модели - необходимите радиоинтерфейси. Но: Какво ще кажете за сигурността на данните с тези процедури и какво трябва да се има предвид при установяване на връзка с Интернет?

Няма тайни в радио мрежите?

Що се отнася до близкия обхват, Bluetooth и 802.11 WLAN в частност се конкурират по отношение на безжичния контрол и мониторинг, въпреки че първоначално нито една технология не е била предназначена да бъде конкурент. И двата метода са подходящи за предаване на HTTP пакети между уеб браузъра и сървъра. Специални драйвери се изискват само за долните слоеве (битово предаване и защитен слой) на стека TCP/IP, но те се предлагат като аксесоари за PDA с WLAN интерфейс, например (фиг. 1).

Поради ниската мощност на предаване (около 1 mW), Bluetooth е особено подходящ за мобилни устройства, тъй като ниското изискване за мощност играе важна роля тук. Минимална сигурност срещу подслушване вече е дадена с Bluetooth чрез бързото прескачане на честотата. Bluetooth продължава да използва доста сигурен метод за криптиране на данни. 128-битов ключ, който никога не се предава по радиовръзката, служи като основа. Въпреки това: Bluetooth 1.2 (2-3 Mbps) и Bluetooth 2 (4, 8 и 12 Mbps) са планирани като по-нататъшно развитие на сегашния Bluetooth стандарт 1.1 с 1 Mbps. Bluetooth 2 се освобождава от прескачане на честотата и следователно вече не е съвместим надолу с 1.1 и 1.2 и със сигурност е малко по-податлив на смущения.

WLAN, базирани на настоящите стандарти 802.11b или 802.11g, са предназначени за безжични връзки със средна скорост за изграждане на мрежи. Излъчват се 11 или 54 Mbps (бруто) с максимум около 100 mW.

WLAN обикновено са проектирани като LAN разширения. Обменът на данни в Ethernet LAN, базиран на протокола TCP/IP, е относително лесен за прихващане и манипулиране. „Предизвикателството“ за потенциалния нападател често е просто да нахлуе в окабеляването на мрежата на правилните места или да инсталира агент за запис на трафика на данни или да импортира манипулирани пакети данни. Поради преобладаващо звездообразното Ethernet окабеляване и използването на звездни съединители (Ethernet превключватели), Ethernet пакетите с данни се разпространяват само по определени пътища (сблъсъчни домейни). Това означава, че те не могат да бъдат "подслушани" в цялата LAN.

Този проблем не съществува за нападателя в WLAN. Тъй като е известно, че радиовълните се разпространяват отвъд границите на сградите и имотите, също така е възможно да слушате и записвате уеб базирана комуникация между браузъра на системния оператор и уеб сървъра на компонент за автоматизация от фирмения паркинг. За това е достатъчен преносим компютър с WLAN интерфейс.

Фигура 1. TCP/IP през WLAN радиовръзки изискват само специални драйвери.

Фигура 2 показва записа на некриптирана WLAN комуникация на PDA уеб браузър с уеб сървъра на компонент за автоматизация, който е свързан към безжичната мрежа чрез вградена точка за достъп.

Програма, наречена Ethereal, служи като инструмент за слушане. Той е достъпен безплатно в Интернет за компютри с Windows и Linux, а изходният код може дори да бъде изтеглен. Ethereal по своята същност е така наречената програма за снифър. Той записва всеки пакет данни от LAN или WLAN връзка и дава възможност за подробен преглед на TCP/IP протокола и байтовото ниво. Всички тайни като MAC и IP адреси, както и пароли стават видими.

За неоторизиран достъп до точката за достъп ще трябва да конфигурирате само WLAN интерфейса на всеки компютър с прихванатите адреси. Следователно уеб-базиран достъп в WLAN при никакви обстоятелства не трябва да бъде шифрован. С WEP (Wired Equivalent Privacy), WLAN предлага метод за криптиране с 64-битови (ефективно 40 битови) и 124-битови ключове (ефективно 104 Bi). Като цяло, колкото по-дълъг е ключът, толкова по-сигурно е предаването по отношение на сигурността срещу подслушване. Въпреки че WLAN-WEP предлага само много проста защита, нападателят ще трябва да положи много повече усилия.

Фиг. 2. Подслушване на WLAN комуникация между уеб браузър и сървър - не е голям проблем с програмите "sniffer".

Отдалечен достъп чрез клетъчни мрежи

За да получите достъп до вграден уеб сървър с PDA, поддържащ GPRS, Интернет винаги трябва да е включен като връзка. GPRS е допълнителна услуга за предаване на IP пакети в клетъчни мрежи GSM. Следователно уеб сървърът трябва да има връзка с Интернет за GPRS отдалечен достъп. Това може да бъде например споделеният DSL достъп на фирмена LAN. След това вграденият уеб сървър се интегрира в LAN. Самата LAN има DSL рутер като шлюз към Интернет.

HTTP - Основата на уеб достъпа
Основата на целия уеб-базиран достъп е HTTP протоколът. HTTP е протокол в приложния слой на TCP/IP стека. Както повечето протоколи на това ниво, той работи на принципа клиент/сървър. Уеб браузър, като Internet Explorer под Microsoft PC Windows или Windows CE Pocket Internet Explorer, обикновено се използва като клиент. Това стартира HTTP транзакция чрез изпращане на HTTP заявка до уеб сървър. Сървърът отговаря на заявката с HTTP отговор.

HTTP познава различни типове заявки и отговори. Те са съставени от проста текстова информация. Заявките GET, HEAD и POST са особено важни. От тези три типа GET е най-често използваната HTTP транзакция. Всеки уеб сървър трябва да поддържа тези типове заявки.

HTTP е много универсално приложим комуникационен протокол. Той може лесно да се използва в бърза LAN мрежа или чрез бавна модемна връзка. Единственото изискване за комуникационния канал е наличието на стек протокол TCP/IP. Данните за HTTP заявки и отговори използват TCP. TCP пакетите се предават в IP пакетите с данни. На свой ред IP може да комуникира, използвайки почти всяка предавателна среда.

Фигура 3. Два примера за модули за GPRS модем - те могат да се използват за свързване на уеб сървъра на компонент за автоматизация директно към Интернет. (Изображения: SSV)

Клаус-Д. Уолтър е член на мениджърския екип в SSV в Хановер, където работи като мениджър за бизнес развитие в продуктовата област "Вградени системи".