Ligação DNC protegida por SSH
Aplicação
Com a gestão de utilizadores ativa, também as aplicações externas têm de autenticar um utilizador, para que possam ser atribuídas as permissões corretas.
No caso de ligações DNC através do protocolo RPC ou LSV2, a ligação é conduzida através de um túnel SSH. Mediante este mecanismo, o utilizador remoto é atribuído a um utilizador configurado no comando e recebe as suas permissões.
Condições
- Rede TCP/IP
- Computador externo como cliente SSH
- Comando como servidor SSH
- Par de chaves composto por:
- Chave privada
- Chave pública
Descrição das funções
Princípio da transmissão através de um túnel SSH.
Uma ligação SSH realiza-se sempre entre um cliente SSH e um servidor SSH.
Para proteger a ligação, utiliza-se um par de chaves. Tal par de chaves é criado no cliente. O par de chaves compõe-se de uma chave privada e uma chave pública. A chave privada permanece no cliente. A chave pública é transportada para o servidor na configuração, sendo aí atribuída a um utilizador definido.
O cliente tenta ligar-se ao servidor com o nome de utilizador predefinido. O servidor pode testar com a chave pública se o solicitante da ligação possui a chave privada correspondente. Em caso afirmativo, aceita a ligação SSH e atribui-a ao utilizador para o qual se realiza o início de sessão. A comunicação pode então ser processada em túnel através desta ligação SSH.
Utilização em aplicações externas
As PC-Tools proporcionadas pela HEIDENHAIN como, p. ex., TNCremo a partir da versão v3.3, oferecem todas as funções para configurar, estabelecer e administrar ligações seguras através de um túnel SSH.
Ao configurar a ligação, o par de chaves necessário é gerado e a chave pública é transferida para o comando.
O mesmo se passa também com aplicações que utilizam componentes DNC HEIDENHAIN das RemoTools SDK para a comunicação. Com isso, não é necessário um ajuste das aplicações do cliente existentes.
Para ampliar a configuração da ligação com a respetiva ferramenta CreateConnections, é necessária a atualização para o HEIDENHAIN DNC v1.7.1. Assim, não é necessário um ajuste do código-fonte da aplicação.
Configurar ligações DNC protegidas por SSH
Para configurar uma ligação DNC protegida por SSH para o utilizador com sessão iniciada, proceda da seguinte forma:
- Selecionar a aplicação Settings
- Selecionar Rede/Acesso remoto
- Selecionar DNC
- Ativar o interruptor Permitido configurar
- Use TNCremo para configurar a ligação segura (TCP secure).
- Manual
Encontra informações detalhadas no sistema de ajuda integrado do TNCremo.
- O TNCremo transfere a chave pública para o comando.
- Tip
Para garantir a melhor segurança, desative a função Permitir autenticação com palavra-passe depois de se concluir o armazenamento.
- Desativar o interruptor Permitido configurar
Eliminar ligação segura
Ao eliminar uma chave privada no comando, elimina-se igualmente a possibilidade de ligação segura para o utilizador.
Para eliminar uma chave, proceda da seguinte forma:
- Selecionar a aplicação Settings
- Selecionar Sistema operativo
- Clicar ou tocar duas vezes em Current User
- O comando abre a janela Utilizador atual.
- Selecionar Certificads e código
- Selecionar a chave a eliminar
- Selecionar Eliminar código SSH
- O comando elimina a chave selecionada.
Avisos
- Devido à encriptação aplicada no túnel SSH, a comunicação é protegida adicionalmente contra ataques.
- Com ligações OPC UA, a autenticação efetua-se através de um certificado de utilizador guardado.
- Se a gestão de utilizadores estiver ativa, só é possível criar ligações de rede seguras através de SSH. O comando bloqueia automaticamente as ligações LSV2 através das interfaces seriais (COM1 e COM2), bem como ligações de rede sem identificação do utilizador.
Com os parâmetros de máquina allowUnsecureLsv2 (N.º 135401) e allowUnsecureRpc (N.º 135402), o fabricante da máquina define se o comando bloqueia ligações LSV2 ou RPC inseguras também com a gestão de utilizadores inativa. Estes parâmetros de máquina estão contidos no objeto de dados CfgDncAllowUnsecur (135400).
- Assim que tenham sido realizadas uma vez, as configurações da ligação podem ser utilizadas em comum por todas as PC-Tools HEIDENHAIN para o estabelecimento da ligação.
- Também é possível transmitir uma chave pública para o comando por meio de um dispositivo USB ou uma unidade de dados em rede.
- Na janela Certificads e código, na área Ficheiro de chave SSH gerido externamente, pode-se selecionar um ficheiro com chaves SSH públicas adicionais. Dessa maneira, podem-se utilizar chaves SSH sem ter de as transmitir para o comando.