SSH-gesicherte DNC-Verbindung

Anwendung

Bei aktiver Benutzerverwaltung müssen auch externe Anwendungen einen Benutzer authentifizieren, damit die korrekten Rechte zugeordnet werden können.

Bei DNC-Verbindungen über das RPC- oder LSV2-Protokoll wird die Verbindung durch einen SSH-Tunnel geleitet. Durch diesen Mechanismus wird der Remote-Anwender einem auf der Steuerung eingerichteten Benutzer zugeordnet und erhält dessen Rechte.

Verwandte Themen

  • Unsichere Verbindungen verbieten
  • Firewall

  • Rollen für Fernanmeldung
  • Rollen

Voraussetzungen

  • TCP/IP Netzwerk
  • Externer Rechner als SSH-Client
  • Steuerung als SSH-Server
  • Schlüsselpaar bestehend aus:
    • privatem Schlüssel
    • öffentlichem Schlüssel

Funktionsbeschreibung

Prinzip der Übertragung über einen SSH-Tunnel

Eine SSH-Verbindung erfolgt immer zwischen einem SSH-Client und einem SSH-Server.

Zur Absicherung der Verbindung wird ein Schlüsselpaar verwendet. Dieses Schlüsselpaar wird auf dem Client erzeugt. Das Schlüsselpaar besteht aus einem privaten Schlüssel und einem öffentlichem Schlüssel. Der private Schlüssel verbleibt beim Client. Der öffentliche Schlüssel wird beim Einrichten zum Server transportiert und dort einem bestimmten Benutzer zugeordnet.

Der Client versucht, sich unter dem vorgegebenen Benutzernamen mit dem Server zu verbinden. Der Server kann mit dem öffentlichen Schlüssel testen, ob der Anforderer der Verbindung den zugehörigen privaten Schlüssel besitzt. Wenn ja, akzeptiert er die SSH-Verbindung und ordnet sie dem Benutzer zu, für den die Anmeldung erfolgt. Die Kommunikation kann dann durch diese SSH-Verbindung "getunnelt" werden.

SSH-Verbindung fuer DNC

Verwendung in externen Anwendungen

Die von HEIDENHAIN angebotenen PC-Tools, wie z. B. TNCremo ab Version v3.3, bieten alle Funktionen, um sichere Verbindungen über einen SSH-Tunnel einzurichten, aufzubauen und zu verwalten.

Beim Einrichten der Verbindung wird das benötigte Schlüsselpaar generiert und der öffentliche Schlüssel auf die Steuerung übertragen.

Das gleiche gilt auch für Anwendungen, die zur Kommunikation die HEIDENHAIN DNC-Komponente aus den RemoTools SDK einsetzen. Eine Anpassung von bestehenden Kundenanwendungen ist dabei nicht erforderlich.

 
Tip

Um die Verbindungskonfiguration mit dem zugehörigen CreateConnections Tool zu erweitern, ist ein Update auf HEIDENHAIN DNC v1.7.1 erforderlich. Eine Anpassung des Anwendungsquellcodes ist dabei nicht erforderlich.

SSH-gesicherte DNC-Verbindungen einrichten

  1. Sie richten eine SSH-gesicherte DNC-Verbindung für den angemeldeten Benutzer wie folgt ein:
  2. Anwendung Einstellungen wählen
  3. Netzwerk/Fernzugriff wählen
  4. DNC wählen
  5. Schalter Einrichten erlaubt aktivieren
  6. TNCremo nutzen, um die sichere Verbindung (TCP secure) einzurichten.
  7.  
    Manual

    Detaillierte Informationen finden Sie im integrierten Hilfesystem von TNCremo.

  8. TNCremo überträgt den öffentlichen Schlüssel auf die Steuerung.
  9.  
    Tip

    Um die optimale Sicherheit zu gewährleisten, deaktivieren Sie die Funktion Erlaube Authentifizierung mit Passwort nach Abschluss der Hinterlegung wieder.

  10. Schalter Einrichten erlaubt deaktivieren

Sichere Verbindung entfernen

Wenn Sie einen privaten Schlüssel auf der Steuerung löschen, entfernen Sie damit die Möglichkeit der sicheren Verbindung für den Benutzer.

  1. Sie löschen einen Schlüssel wie folgt:
  2. Anwendung Einstellungen wählen
  3. Betriebssystem wählen
  4. Current User doppelt klicken oder tippen
  5. Die Steuerung öffnet das Fenster Aktueller Benutzer.
  6. Zertifikate und Schlüssel wählen
  7. Zu löschenden Schlüssel wählen
  8. SSH-Schlüssel löschen wählen
  9. Die Steuerung löscht den gewählten Schlüssel.

Hinweise

  • Durch die beim SSH-Tunnel eingesetzte Verschlüsselung wird die Kommunikation zusätzlich gegen Angreifer abgesichert. 
  • Bei OPC UA-Verbindungen erfolgt die Authentifizierung über ein hinterlegtes User-Zertifikat.
  • OPC UA NC Server (Optionen #56 - #61)

  • Wenn die Benutzerverwaltung aktiv ist, können Sie nur noch sichere Netzwerkverbindungen über SSH erstellen. Die Steuerung sperrt LSV2-Verbindungen über die seriellen Schnittstellen (COM1 und COM2) sowie Netzwerkverbindungen ohne Benutzeridentifikation automatisch.
  • Mit den Maschinenparametern allowUnsecureLsv2 (Nr. 135401) und allowUnsecureRpc (Nr. 135402) definiert der Maschinenhersteller, ob die Steuerung unsichere LSV2- oder RPC-Verbindungen auch bei inaktiver Benutzerverwaltung sperrt. Diese Maschinenparameter sind im Datenobjekt CfgDncAllowUnsecur (135400) enthalten.

  • Die Verbindungskonfigurationen können, sobald sie einmal eingerichtet wurden, gemeinsam von allen HEIDENHAIN PC-Tools zum Verbindungsaufbau genutzt werden.
  • Sie können einen öffentlichen Schlüssel auch mithilfe eines USB-Geräts oder eines Netzlaufwerks zur Steuerung übertragen.
  • Im Fenster Zertifikate und Schlüssel können Sie im Bereich Extern verwaltete SSH-Schlüsseldatei eine Datei mit zusätzlichen öffentlichen SSH-Schlüsseln wählen. Dadurch können Sie SSH-Schlüssel verwenden, ohne sie zur Steuerung übertragen zu müssen.