Ligação DNC protegida por SSH

Aplicação

Com a gestão de utilizadores ativa, também as aplicações externas têm de autenticar um utilizador, para que possam ser atribuídas as permissões corretas.

No caso de ligações DNC através do protocolo RPC ou LSV2, a ligação é conduzida através de um túnel SSH. Mediante este mecanismo, o utilizador remoto é atribuído a um utilizador configurado no comando e recebe as suas permissões.

Temas relacionados

  • Proibir ligações não seguras
  • Firewall

  • Funções para início de sessão remoto
  • Funções

Condições

  • Rede TCP/IP
  • Computador externo como cliente SSH
  • Comando como servidor SSH
  • Par de chaves composto por:
    • Chave privada
    • Chave pública

Descrição das funções

Princípio da transmissão através de um túnel SSH.

Uma ligação SSH realiza-se sempre entre um cliente SSH e um servidor SSH.

Para proteger a ligação, utiliza-se um par de chaves. Tal par de chaves é criado no cliente. O par de chaves compõe-se de uma chave privada e uma chave pública. A chave privada permanece no cliente. A chave pública é transportada para o servidor na configuração, sendo aí atribuída a um utilizador definido.

O cliente tenta ligar-se ao servidor com o nome de utilizador predefinido. O servidor pode testar com a chave pública se o solicitante da ligação possui a chave privada correspondente. Em caso afirmativo, aceita a ligação SSH e atribui-a ao utilizador para o qual se realiza o início de sessão. A comunicação pode então ser processada em túnel através desta ligação SSH.

Utilização em aplicações externas

As PC-Tools proporcionadas pela HEIDENHAIN como, p. ex., TNCremo a partir da versão v3.3, oferecem todas as funções para configurar, estabelecer e administrar ligações seguras através de um túnel SSH.

Ao configurar a ligação, o par de chaves necessário é gerado e a chave pública é transferida para o comando.

O mesmo se passa também com aplicações que utilizam componentes DNC HEIDENHAIN das RemoTools SDK para a comunicação. Com isso, não é necessário um ajuste das aplicações do cliente existentes.

 
Tip

Para ampliar a configuração da ligação com a respetiva ferramenta CreateConnections, é necessária a atualização para o HEIDENHAIN DNC v1.7.1. Assim, não é necessário um ajuste do código-fonte da aplicação.

Configurar ligações DNC protegidas por SSH

Para configurar uma ligação DNC protegida por SSH para o utilizador com sessão iniciada, proceda da seguinte forma:

  1. Selecionar a aplicação Settings
  2. Selecionar Rede/Acesso remoto
  3. Selecionar DNC
  4. Ativar o interruptor Permitido configurar
  5. Use TNCremo para configurar a ligação segura (TCP secure).
  6.  
    Manual

    Encontra informações detalhadas no sistema de ajuda integrado do TNCremo.

  7. O TNCremo transfere a chave pública para o comando.
  8.  
    Tip

    Para garantir a melhor segurança, desative a função Permitir autenticação com palavra-passe depois de se concluir o armazenamento.

  9. Desativar o interruptor Permitido configurar

Eliminar ligação segura

Ao eliminar uma chave privada no comando, elimina-se igualmente a possibilidade de ligação segura para o utilizador.

Para eliminar uma chave, proceda da seguinte forma:

  1. Selecionar a aplicação Settings
  2. Selecionar Sistema operativo
  3. Clicar ou tocar duas vezes em Current User
  4. O comando abre a janela Utilizador atual.
  5. Selecionar Certificads e código
  6. Selecionar a chave a eliminar
  7. Selecionar Eliminar código SSH
  8. O comando elimina a chave selecionada.

Avisos

  • Devido à encriptação aplicada no túnel SSH, a comunicação é protegida adicionalmente contra ataques. 
  • Com ligações OPC UA, a autenticação efetua-se através de um certificado de utilizador guardado.
  • OPC UA NC Server (opções #56 - #61)

  • Se a gestão de utilizadores estiver ativa, só é possível criar ligações de rede seguras através de SSH. O comando bloqueia automaticamente as ligações LSV2 através das interfaces seriais (COM1 e COM2), bem como ligações de rede sem identificação do utilizador.
  • Com os parâmetros de máquina allowUnsecureLsv2 (N.º 135401) e allowUnsecureRpc (N.º 135402), o fabricante da máquina define se o comando bloqueia ligações LSV2 ou RPC inseguras também com a gestão de utilizadores inativa. Estes parâmetros de máquina estão contidos no objeto de dados CfgDncAllowUnsecur (135400).

  • Assim que tenham sido realizadas uma vez, as configurações da ligação podem ser utilizadas em comum por todas as PC-Tools HEIDENHAIN para o estabelecimento da ligação.
  • Também é possível transmitir uma chave pública para o comando por meio de um dispositivo USB ou uma unidade de dados em rede.
  • Na janela Certificads e código, na área Ficheiro de chave SSH gerido externamente, pode-se selecionar um ficheiro com chaves SSH públicas adicionais. Dessa maneira, podem-se utilizar chaves SSH sem ter de as transmitir para o comando.