SSH защищенное DNC-соединение .

Применение

При активном управлении пользователями авторизация пользователя должна быть также выполнена внешними приложениями, чтобы им могли быть присвоены корректные роли.

Для DNC-соединений по протоколу RPC или LSV2, соединение маршрутизируется через SSH-туннель. С помощью этого механизма удаленный пользователь присваивается одному из настроенных в системе ЧПУ пользователей и получает его права.

Смежные темы

  • Запрет небезопасных соединений
  • Брандмауэр

  • Роли для удаленного входа в систему
  • Роли

Условия

  • TCP/IP сеть
  • Внешний ПК в качестве клиента SSH
  • Система ЧПУ в качестве сервера SSH
  • Введите пару ключей, состоящую из:
    • частного ключа
    • открытого ключа

Описание функций

Принцип передачи по туннелю протокола безопасной оболочки (SSH).

Соединение SSH всегда осуществляется между клиентом SSH и сервером SSH.

Для страховки соединения используется пара ключей. Эта пара ключей создается на устройстве-клиенте. Пара ключей состоит из одного частного ключа и одного открытого ключа. Частный ключ остается на устройстве-клиенте. Открытый ключ транспортируется при наладке на сервер и привязывается там к определенному пользователю.

Устройство-клиент пытается связаться с сервером под предварительно заданным именем пользователя. Сервер может протестировать с помощью открытого ключа, обладает ли запрашивающая соединение сторона соответствующим частным ключом. Если обладает, то сервер акцептирует SSH-соединение и присваивает его пользователю, для которого осуществляется регистрация. Передача данных может быть «убрана в туннель» с помощью этого SSH-соединения.

Использование во внешних приложениях

Предлагаемые HEIDENHAIN инструменты ПК, например, TNCremo, начиная с версии v3.3, предлагают все функции для настройки, построения и управления для безопасного соединения по туннелю протокола SSH.

При настройке соединения генерируется требуемая пара ключей, а открытый ключ переносится в систему ЧПУ.

Это же действует и для приложений, которые используют для коммуникации HEIDENHAIN DNC-компоненты из RemoTools SDK. Адаптации существующих приложений клиентов при этом не требуется.

 
Tip

Для расширения конфигурации соединения с помощью соответствующего инструмента Создать соединения требуется обновление HEIDENHAIN DNC v1.7.1. Адаптации исходного текста приложений при этом не требуется.

Настройка SSH защищенного DNC-соединения

Для настройки SSH защищенного DNC-соединение для вошедшего в систему пользователя выполните следующее:

  1. Выберите приложение Settings
  2. Выберите Сеть / Удалённый доступ
  3. Выберите DNC
  4. Активируйте переключатель Разрешить настройку.
  5. Используйте TNCremo для организации безопасного соединения (TCP secure).
  6.  
    Manual

    Подробную информацию вы можете найти в интегрированной справочной системе TNCremo.

  7. TNCremo передаёт открытый ключ системе ЧПУ.
  8.  
    Tip

    Для гарантии оптимальной безопасности, деактивируйте функцию Разрешить аутентификацию с паролем после завершения передачи данных.

  9. Деактивируйте переключатель Разрешить настройку .

Удаление защищенного соединения

Если вы удалите закрытый ключ на системе ЧПУ, то вы уберете возможность безопасного соединения для пользователя.

Вы можете удалить ключ следующим образом:

  1. Выберите приложение Settings
  2. Выберите Операционная система
  3. Дважды щелкните мышью или пальцем Current User
  4. Система ЧПУ откроет окно Текущий пользователь.
  5. Выберите Сертификаты и ключи!
  6. Выбрать ключ подлежащий удалению
  7. Выберите Удалить ключ SSH
  8. Система ЧПУ удалит выбранный ключ.

Рекомендации

  • С помощью задействованного в SSH туннеле шифрования дополнительно обеспечивается передача с защитой данных от взлома. 
  • При OPC UA соединении авторизация выполняется через сохранённый сертификат пользователя.
  • OPC UA NC Server (опции #56 - #61)

  • Если управление пользователями активно, вы можете создавать только безопасные сетевые соединения через SSH. Система ЧПУ автоматически блокирует соединения LSV2 через последовательные интерфейсы (COM1 и COM2), а также сетевые соединения без идентификации пользователя.
  • С помощью машинных параметров allowUnsecureLsv2 (№ 135401) и allowUnsecureRpc (№ 135402) производитель станка определяет, блокирует ли система ЧПУ небезопасные соединения LSV2 или RPC даже при неактивном управлении пользователями. Эти машинные параметры содержатся в объекте данных CfgDncAllowUnsecur (135400).

  • Конфигурации соединения могут использоваться совместно для построения соединения всеми программами HEIDENHAIN для ПК, как только эти конфигурации будут настроены один раз.
  • Вы также можете передать открытый ключ на систему ЧПУ с помощью USB-устройства или сетевого диска.
  • В меню Сертификаты и ключи! вы можете выбрать в области Ключевой файл SSH, управляемый извне файл с дополнительными открытыми SSH-ключами. Это позволит вам использовать SSH-ключи без необходимости переносить их в систему ЧПУ.