Connessione DNC con sicurezza SSH

Applicazione

Con Gestione utenti attiva anche applicazioni esterne devono autenticare l'utente, affinché possano essere attribuiti i privilegi corretti.

Per connessioni DNC tramite il protocollo RPC o LSV2 la connessione viene condotta attraverso un tunnel SSH. Con questo meccanismo, l'operatore remoto viene assegnato a un utente creato sul controllo numerico e gli vengono attribuiti i relativi privilegi.

Argomenti trattati

  • Divieto di connessioni non sicure
  • Firewall

  • Ruoli per login remoto
  • Ruoli

Premesse

  • Rete TCP/IP
  • PC esterno come Client SSH
  • Controllo numerico come Server SSH
  • Coppia di chiavi composta da:
    • Chiave privata
    • Chiave pubblica

Descrizione funzionale

Principio della trasmissione attraverso un tunnel SSH

Una connessione SSH viene eseguita sempre tra un Client SSH e un Server SSH.

Per proteggere la connessione si impiega una coppia di chiavi. Questa coppia di chiavi viene generata sul Client. La coppia di chiavi è composta da una chiave privata e una chiave pubblica. La chiave privata rimane sul Client. La chiave pubblica viene trasmessa al Server in fase di configurazione e assegnata a un determinato utente.

Il Client cerca di eseguire la connessione con il Server con il nome utente predefinito. Il Server può testare con la chiave pubblica se chi richiede la connessione possiede la relativa chiave privata. In caso affermativo, accetta la connessione SSH e l'assegna all'utente per il quale è stato eseguito il login. La comunicazione può quindi essere "convogliata nel tunnel" tramite questa connessione SSH.

Impiego in applicazioni esterne

I tool per PC offerti da HEIDENHAIN, ad es. TNCremo versione v3.3 o superiore, offrono tutte le funzioni per configurare, strutturare e gestire connessioni sicure tramite un tunnel SSH.

Alla configurazione della connessione viene generata la necessaria coppia di chiavi e la chiave pubblica viene trasmessa sul controllo numerico.

Lo stesso vale anche per applicazioni che per la comunicazione impiegano i componenti HEIDENHAIN DNC di RemoTools SDK. Non è necessario adattare le applicazioni esistenti del cliente.

 
Tip

Per ampliare la configurazione di connessione con il relativo tool CreateConnections, è necessario un aggiornamento a HEIDENHAIN DNC v1.7.1. Non è nemmeno necessario adattare il codice sorgente dell'applicazione.

Configurazione delle connessioni DNC con sicurezza SSH

Una connessione DNC con sicurezza SSH per l'utente che ha eseguito il login si configura come descritto di seguito:

  1. Selezionare l'applicazione Impostazioni
  2. Selezionare Rete/Accesso remoto
  3. Selezionare DNC
  4. Attivare il pulsante Configurazione consentita
  5. Utilizzare TNCremo per configurare la connessione sicura (TCP secure).
  6.  
    Manual

    Informazioni dettagliate sono riportate nel sistema di guida integrato di TNCremo.

  7. TNCremo trasmette il codice pubblico sul controllo numerico.
  8.  
    Tip

    Per garantire la sicurezza ottimale, disattivare la funzione Consenti autenticazione con password al termine della memorizzazione.

  9. Disattivare il pulsante Configurazione consentita

Eliminazione della connessione sicura

Se si cancella un codice privato sul controllo numerico, si elimina così la possibilità della connessione sicura per l'utente.

Un codice si cancella come descritto di seguito:

  1. Selezionare l'applicazione Impostazioni
  2. Selezionare il Sistema operativo
  3. Doppio clic o tocco su Current User
  4. Il controllo numerico apre la finestra Utente attivo.
  5. Selezionare Certificati e codici
  6. Selezionare il codice da cancellare
  7. Selezionare Cancella codici SSH
  8. Il controllo numerico cancella il codice selezionato.

Note

  • Con la codifica impiegata per il tunnel SSH, la comunicazione è protetta anche da minacce esterne. 
  • Per connessioni OPC UA l'autenticazione viene eseguita tramite un certificato user salvato.
  • OPC UA NC Server (#56-61 / #3-02-1*)

  • Con Gestione utenti attiva, è possibile creare esclusivamente connessioni di rete sicure tramite SSH o OPC UA (#56-61 / #3-02-1*). È possibile ricreare connessioni di rete non sicure esistenti come connessioni sicure.
  • Con gestione utenti inattiva il controllo numerico blocca anche in automatico le connessioni LSV2 o RPC non sicure. Con i parametri macchina opzionali allowUnsecureLsv2 (N. 135401) e allowUnsecureRpc (N. 135402), il costruttore della macchina definisce se il controllo numerico consente connessioni non sicure.

  • Una volta create, le configurazioni di connessione possono essere utilizzate congiuntamente da tutti i tool per PC HEIDENHAIN per la configurazione della connessione.
  • È possibile trasmettere una chiave pubblica al controllo numerico anche con l'ausilio di un dispositivo USB o di un drive di rete.
  • Nella finestra Certificati e codici si può selezionare un file con chiavi SSH pubbliche aggiuntive nell'area Key file SSH gestito esternamente. Si possono così impiegare chiavi SSH senza doverle trasmettere al controllo numerico.