TME-FLUKE-get-gift-2024-Apr16-Apr30_MEweb

Samsung-Passive-MLCC-2024-Apr7-May7-MEweb

DigiKey-Amphenol-Max-M12-Conn-2024-Apr-MEweb

Arrow-ADI-Increase the Efficiency-18-April-2024

Védett telekommunikáció az iparban

Megjelent: 2012. november 26.

Honti Péter, Egyed József – AD-DA Kft.

vedett_01 A közelmúlt néhány eseménye ráirányította a ﬁgyelmet arra, hogy az ipari berendezéseknél bevezetett internetes elérhetőség nemcsak a személyi számítógépekkel megvalósítható kényelmes, távoli elérhetőséget, hanem a sebezhetőséget, a támadhatóságot is „átörökíti” az ipari informatikai rendszerekbe. Ha ragaszkodunk az előnyökhöz, megfelelően védett megoldásokkal kell a biztonságkritikus ipari termelőberendezéseket
a hátrányoktól megvédenünk.

Az internet elterjedésével egyre komolyabb dilemmává vált, hogy az üzemek gyártósorait valóban ki merjük-e engedni a világhálóra, vagy inkább fordítva: az internet ellenőrizhetetlen, áttekinthetetlen és gyakorlatilag megjósolhatatlan veszélyeit ráengedhetjük-e a biztonságkritikus ipari folyamatokra. Hasonló kérdés, hogy rábízhatjuk-e gépeink vezérlését egy asztali számítógépekre kitalált, nem éppen „ipari biztonságúnak” ismert operációs rendszerre. Az új megoldások széles körű ipari felhasználásában mindig tapasztalunk kisebb késést, amíg kialakul az új technológia iránti bizalom.

Az új lehetőségek által elérhető előnyök, legyenek azok akár anyagi, akár kényelmi jellegűek, utat törnek maguknak még a legkonzervatívabb területeken is. A gépek internethez kapcsolása már nem „ördögtől való” elképzelés, mivel kialakultak erre a biztonságos, professzionális, ipari megoldások. Hatalmas csábítást jelent, ha a világ bármely internetkapcsolattal rendelkező pontjáról biztonságosan, gyorsan és egyszerűen programozható a távoli üzemben lévő PLC. A programozóknak, gépüzemeltetőknek nem kell sokat magyarázni annak előnyeit, ha a Kínába, Brazíliába szállított gép vezérlését késedelem és költség nélkül felügyelet alá lehet vonni. A Systeme Helmholz REX300 termékcsaládja (1. ábra - ld. fent) ennek az igénynek a kielégítéséhez járul hozzá a Siemens és azzal kompatibilis vezérlések alkalmazása esetén.

Az elv egyszerű

Az REX300 eszköz vezérlése Profibus MPI-felületen szolgál. Az eszköz az ipari protokollt alakítja át interneten továbbítható formába, majd a konfigurációnak megfelelően analóg, ISDNés UMTS-modemmel – vagy a céges hálózaton keresztül – internetkapcsolatot létesít. A már kialakított internetcsatlakozáson a konfigurációnak megfelelő VPN-csatorna¹ alakul ki, mely a legegyszerűbb esetben a www.myREX24.net szerverre jelentkezik be. A gépünkre telepített driver beilleszkedik a Step7^® rendszerbe², így a távoli REX300 mint egy lokális kapcsolat jelenik meg. A kapcsolat kiválasztásával a myRex24.net honlapon keresztül (2. ábra) a távoli REX300 és a hozzá kapcsolt PLC összekapcsolódik számítógépünkkel. A rendszer nagy előnye, hogy a programozáshoz a Teleservicemodulra nincs szükség, tehát csökkenthetjük a beruházási költségeket és a kommunikáción is spórolhatunk. A VPN-kapcsolat (3. ábra) nemcsak arra jó, hogy adataink biztonságos csatornán közlekedjenek, de a céges tűzfalak speciális beállítására sincs szükség, hiszen mindkét oldalról kimenő kapcsolatot létesítünk a myREX24 szerver felé. Ezért a REX300 – akár az üzemen belül is – mindenféle módosítás nélkül áthelyezhető az egyik munkaállomástól a másikhoz.

vedett_02

2. ábra Felhasználási lehetőség a myREX24 szolgáltatás igénybevétele esetén

vedett_03

3. ábra VPN-csatorna, amelyben a REX300 biztonságosan kommunikál

A technikai részletek

A Profibus Router az S7-300-as profilsínre illeszthető. Ha routerünket a CPU és a kártyák közé tennénk, a hátfalon lévő belső busz (Backplan bus vagy Rückwandbus) megszakadna, ezért csak a sor elejére vagy végére illeszthetjük. A CPU-hoz Profibusszal, esetleg Ethernet-csatlakozással szabadabb elhelyezési lehetőségek is elénk tárulnak. Az eszköz a meglévő S7-300/S7-400 vezérlő megzavarása (a hardverkonfigurációs beállítások megváltoztatása) nélkül, csupán az eszköz szoftveres beállításával működésbe hozható.

A REX300 beépítése természetesen nem teszi feltétlenül szükségessé a myREX24 szerver igénybevételét. Ez csupán a Systeme Helmholz által nyújtott kiegészítő, bizonyos feltételek esetén ingyenesen igénybe vehető szolgáltatás. Ez azt jelenti, hogy a szolgáltatás 10 készülékig és egy időben egyetlen aktív kapcsolat esetén térítésmentes. Minden további készülék csatlakoztatása, vagy egynél több, egyidejű aktív kapcsolat létesítése fizetett szolgáltatásként történhet.

Virtuális magánhálózati kapcsolat (VPN) természetesen másképp is felépíthető: fix IPcím esetén a beépített OpenVPN-szerver segítségével, vagy dinamikusan változó IPcím esetén valamely publikus DNS-szolgáltató (mint például az egyik legnépszerűbb és közkedvelt DynDNS), valamint az OpenVPN kombinációjával. A programozó PC-je tehát nem egy védtelen, közvetlen IP-kapcsolatban éri el a REX300-at, hanem egy dedikált, virtuális magánhálózaton keresztül. Ennek magas szintű titkosítása miatt a kommunikáció teljes mértékben biztonságos a két végpont között. Ugyanakkor lehetőség nyílik LANporton keresztül lokális programozóeszközként való használatra is. A programozó az üzemen belül rácsatlakozik az eszközre, és módosíthatja, kiolvashatja és diagnosztizálhatja a PLC-n lévő adatokat. Ezen a módon tehát a programozó a céges belső, lokális hálózaton is éppúgy hozzáfér a REX300-hoz csatlakoztatott PLC-hez, mintha egy NETLink® programozó eszközt használna.

A REX300, a többi „nem ipari” routerhez hasonlóan, beépített DHCP-szerverrel rendelkezik. A DHCP-szerverrel egy teljes LAN-alhálózat is létrehozható a PLC, az operátori panel, a lokális programozói PC vagy egyéb más, ipari ethernetes eszköz között is. A REX300-család fejlesztésénél a felhasználói igényeket figyelembe véve több típusú internet-hozzáféréshez készítettek változatokat. A hagyományos vezetékes analóg és ISDN-kapcsolatokon kívül szélessávú, WAN-internethálózatra is köthető. Vannak azonban olyan üzemek is, ahol az infrastruktúra fejlettsége nem éri el a vezetékes internethozzáférés megoldásához szükseges szintet. Ezekben az esetekben az EDGE vagy UMTS vezeték nélküli hálózatra csatlakoztatható eszköz nyújt segítséget, amelyhez természetesen egy SIM-kártya szükséges. Az univerzális és sokoldalú felhasználási mód érdekében több modemet egyben tartalmazó és minimálkonfigurációjú „eco” változatok is léteznek.

AD-DA Kft.
1124 Budapest, Fodor u. 90.
Tel/Fax: +36 1 214 04 00
E-mail: Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát.
www.adda.hu
www.helmholz.de

------------

1 VPN: Virtual Private Network: az IP-protokoll felhasználásával megvalósított, az internet fizikai hozzáférhetőségén belül bárhol elérhető, de hatásos hozzáférés-védelemmel ellátott magánhálózat – A szerk. megj.

2 A STEP7 a Siemens SIMATIC automatizálási eszközcsaládjához kialakított, komplex programozási és konfigurációs szofverkörnyezet, amely a cikkben említett S7-300 és S7-400 eszközökkel együtt a Siemens AG szellemi tulajdona.

Olvassa el legfrissebb címlapsztori cikkünket!

Hirlevel-felir-lapszam-ajandek-2023-11-28

Bejelentkezés

Menü

Védett telekommunikáció az iparban