Connessione DNC con sicurezza SSH

Applicazione

Con Gestione utenti attiva anche applicazioni esterne devono autenticare l'utente, affinché possano essere attribuiti i privilegi corretti.

Per connessioni DNC tramite il protocollo RPC o LSV2 la connessione viene condotta attraverso un tunnel SSH. Con questo meccanismo, l'operatore remoto viene assegnato a un utente creato sul controllo numerico e gli vengono attribuiti i relativi privilegi.

Argomenti trattati

  • Divieto di connessioni non sicure
  • Firewall

  • Ruoli per login remoto
  • Ruoli

Premesse

  • Rete TCP/IP
  • PC esterno come Client SSH
  • Controllo numerico come Server SSH
  • Coppia di codici composta da:
    • Codice privato
    • Codice pubblico

Descrizione funzionale

Principio della trasmissione attraverso un tunnel SSH

Una connessione SSH viene eseguita sempre tra un Client SSH e un Server SSH.

Per proteggere la connessione si impiega una coppia di codici. Questa coppia di codici viene generata sul Client. La coppia di codici è composta da un codice privato e un codice pubblico. Il codice privato rimane sul Client. Il codice pubblico viene trasmesso al Server in fase di configurazione e assegnato a un determinato utente.

Il Client cerca di eseguire la connessione con il Server con il nome utente predefinito. Il Server può testare con il codice pubblico se chi richiede la connessione possiede il relativo codice privato. In caso affermativo, accetta la connessione SSH e l'assegna all'utente per il quale è stato eseguito il login. La comunicazione può quindi essere "convogliata nel tunnel" tramite questa connessione SSH.

SSH-Verbindung fuer DNC

Impiego in applicazioni esterne

I tool per PC offerti da HEIDENHAIN, ad es. TNCremo versione v3.3 o superiore, offrono tutte le funzioni per configurare, strutturare e gestire connessioni sicure tramite un tunnel SSH.

Alla configurazione della connessione viene generata la necessaria coppia di codici e il codice pubblico viene trasmesso sul controllo numerico.

Lo stesso vale anche per applicazioni che per la comunicazione impiegano i componenti HEIDENHAIN DNC di RemoTools SDK. Non è necessario adattare le applicazioni esistenti del cliente.

 
Tip

Per ampliare la configurazione di connessione con il relativo tool CreateConnections, è necessario un aggiornamento a HEIDENHAIN DNC v1.7.1. Non è nemmeno necessario adattare il codice sorgente dell'applicazione.

Configurazione di connessioni DNC con sicurezza SSH

  1. Una connessione DNC con sicurezza SSH per l'utente che ha eseguito il login si configura come descritto di seguito:
  2. Selezionare l'applicazione Impostazioni
  3. Selezionare Rete/Accesso remoto
  4. Selezionare DNC
  5. Attivare il pulsante Setup permitted
  6. Utilizzare TNCremo per configurare la connessione sicura (TCP secure).
  7.  
    Manual

    Informazioni dettagliate sono riportate nel sistema di guida integrato di TNCremo.

  8. TNCremo trasmette il codice pubblico sul controllo numerico.
  9.  
    Tip

    Per garantire la sicurezza ottimale, disattivare la funzione Consenti autenticazione con password al termine della memorizzazione.

  10. Disattivare il pulsante Setup permitted

Eliminazione della connessione sicura

Se si cancella un codice privato sul controllo numerico, si elimina così la possibilità della connessione sicura per l'utente.

  1. Un codice si cancella come descritto di seguito:
  2. Selezionare l'applicazione Impostazioni
  3. Selezionare il Sistema operativo
  4. Doppio clic o tocco su Current User
  5. Il controllo numerico apre la finestra Utente attivo.
  6. Selezionare Certificati e codici
  7. Selezionare il codice da cancellare
  8. Selezionare Cancella codici SSH
  9. Il controllo numerico cancella il codice selezionato.

Note

  • Con la codifica impiegata per il tunnel SSH, la comunicazione è protetta anche da minacce esterne. 
  • Per connessioni OPC UA l'autenticazione viene eseguita tramite un certificato user salvato.
  • OPC UA NC Server (opzioni #56 - #61)

  • Se è attiva la Gestione utenti, è possibile realizzare solo connessioni di rete sicure tramite SSH. Il controllo numerico blocca automaticamente le connessioni LSV2 tramite le interfacce seriali (COM1 e COM2) come pure le connessioni di rete senza identificazione dell'utente.
  • Con i parametri macchina allowUnsecureLsv2 (N. 135401) e allowUnsecureRpc (N. 135402) il costruttore della macchina definisce se il controllo numerico blocca connessioni RPC o LSV2 non sicure anche con Gestione utenti inattiva. Tali parametri macchina sono contenuti nell'oggetto dati CfgDncAllowUnsecur (135400).

  • Una volta create, le configurazioni di connessione possono essere utilizzate congiuntamente da tutti i tool per PC HEIDENHAIN per la configurazione della connessione.
  • È possibile trasmettere un codice pubblico al controllo numerico anche con l'ausilio di un dispositivo USB o di un drive di rete.
  • Nella finestra Certificati e codici si può selezionare un file con codici SSH pubblici aggiuntivi nell'area Externally administered SSH key file. Si possono così impiegare codici SSH senza doverli trasmettere al controllo numerico.