SSH-beveiligde DNC-verbinding

Toepassing

In het actieve gebruikersbeheer moeten ook externe toepassingen een gebruiker verifiëren, zodat de correcte rechten kunnen worden toegewezen.

Bij DNC-verbindingen via het RPC- of LSV2-protocol wordt de verbinding door een SSH-tunnel geleid. Dit mechanisme wijst de externe gebruiker toe aan een gebruiker die op de besturing is ingesteld en geeft hem of haar rechten.

Verwante onderwerpen

  • Onveilige verbindingen verbieden
  • Firewall

  • Rollen voor aanmelding op afstand
  • Rollen

Voorwaarden

  • TCP/IP-netwerk
  • Externe computer als SSH-client
  • Besturing als SSH-server
  • Sleutelpaar bestaande uit:
    • private sleutel
    • openbare sleutel

Functiebeschrijving

Principe van overdracht via een SSH-tunnel

Een SSH-verbinding wordt altijd tot stand gebracht tussen een SSH-client en een SSH-server.

Een sleutelpaar wordt gebruikt om de verbinding te beveiligen. Dit sleutelpaar wordt op basis van de klant gegenereerd. Het sleutelpaar bestaat uit een private sleutel en een publieke sleutel. De private sleutel blijft bij de klant. Tijdens de installatie wordt de openbare sleutel naar de server getransporteerd en daar aan een specifieke gebruiker toegewezen.

De client probeert verbinding te maken met de server onder de standaard gebruikersnaam. De server kan de openbare sleutel gebruiken om te testen of de aanvrager van de verbinding de corresponderende private sleutel heeft. Als dat het geval is, wordt de SSH-verbinding geaccepteerd en wordt deze toegewezen aan de gebruiker voor wie de aanmelding is gemaakt. De communicatie kan dan via deze SSH-verbinding "getunneld" worden.

SSH-Verbindung fuer DNC

Gebruik in externe toepassingen

De door HEIDENHAIN aangeboden PC-tools, zoals TNCremo vanaf versie v3.3 bieden alle functies om veilige verbindingen via een SSH-tunnel in te stellen, op te bouwen en te beheren.

Bij het instellen van de verbinding wordt het benodigde sleutelpaar gegenereerd en wordt de openbare sleutel naar de besturing overgedragen.

Hetzelfde geldt voor toepassingen die voor de communicatie de HEIDENHAIN DNC-component uit de RemoTools SDK gebruiken. Aanpassing van bestaande klantentoepassingen is niet nodig.

 
Tip

Om de verbindingsconfiguratie met de bijbehorende tool CreateConnections uit te breiden, is een update naar HEIDENHAIN DNC v1.7.1 vereist. Het is niet nodig om de broncode van de toepassing aan te passen.

SSH-beveiligde DNC-verbindingen instellen

  1. U kunt een SSH-beveiligde DNC-verbinding voor de aangemelde gebruiker als volgt instellen:
  2. Toepassing Instellingen selecteren
  3. Netwerk/toeg. op afstand selecteren
  4. DNC selecteren
  5. Schakelaar Setup permitted activeren
  6. TNCremo gebruiken om de beveiligde verbinding (TCP secure) in te stellen.
  7.  
    Manual

    Zie het geïntegreerde Help-systeem van TNCremo voor gedetailleerde informatie.

  8. TNCremo verzendt de openbare sleutel naar de besturing.
  9.  
    Tip

    Om de optimale veiligheid te garanderen, schakelt u de functie Authentificatie met wachtwoord wordt toegestaan uit na beëindiging van het vastleggen van gegevens.

  10. Schakelaar Setup permitted uitschakelen

Veilige verbinding verwijderen

Wanneer u een persoonlijke sleutel op de besturing wist, moet u daarmee de mogelijkheid van een veilige verbinding voor de gebruiker verwijderen.

  1. U verwijdert een sleutel als volgt:
  2. Toepassing Instellingen selecteren
  3. Besturingssysteem selecteren
  4. Dubbel klikken of tikken op Current User
  5. De besturing opent het venster Actuele gebruiker.
  6. Certific. en sleutels selecteren
  7. Te verwijderen sleutel selecteren
  8. SSH-sleutels wissen kiezen
  9. De besturing verwijdert de geselecteerde sleutel.

Instructies

  • Door de bij de SSH-tunnel aangebrachte encryptie wordt de communicatie bovendien tegen een aanvallen beveiligd. 
  • Bij OPC UA-verbindingen vindt de authentificatie plaats via een gewijzigd User-certificaat.
  • OPC UA NC-server (opties #56 - #61)

  • Als gebruikersbeheer actief is, kunt u alleen nog veilige netwerkverbindingen via SSH maken. De besturing blokkeert LSV2-verbindingen via de seriële interfaces (COM1 en COM2) en netwerkverbindingen zonder gebruikersidentificatie automatisch.
  • Met de machineparameters alloUnsecureLsv2 (nr. 135401) en alloUnsecureRpc (nr. 135402) definieert de machinefabrikant of de besturing onveilige LSV2- of RPC-verbindingen ook bij niet-actief gebruikersbeheer blokkeert. Deze machineparameters zijn in het gegevensobject CfgDncAllowUnsecur (135400) opgenomen.

  • Eenmaal ingesteld, kunnen de verbindingsconfiguraties door alle HEIDENHAIN PC Tools gezamenlijk worden gebruikt om een verbinding tot stand te brengen.
  • U kunt een openbare sleutel ook met behulp van een USB-apparaat of een netwerkstation naar de besturing sturen.
  • In het venster Certific. en sleutels kunt u in het gedeelte Externally administered SSH key file een bestand met extra openbare SSH-sleutels kiezen. Hierdoor kunt u SSH-sleutels gebruiken zonder deze naar de besturing te moeten sturen.