Molti dei piu diffusi standard del mondo industriale, come http, FTP, OPC (con Dcom), Ethernet IP,Modbus TCP, DNP3 e molti dei protocolli proprietari impiegati dai PLC e dai software Scada/HMI, presentano notevoli rischi per la security di reti e sistemi. Molti di essi sono però sconosciuti ai dispositivi del mondo IT, ad esempio i firewall, per cui scrivere regole che permettano di trasferire dati via OPC (con Dcom) attraversando appunto un firewall, può diventare un'impresa complessa.

Nello specifico, Dcom e un protocollo utilizzato sia da OPC, sia da Profinet. Impiega il servizio Microsoft RPC (Remote Procedure Call) del quale sono già note alcune vulnerabilità, che fra I'altro sono state la base dell'exploit del 'worm Blaster'. In aggiunta, OPC e Dcom aprono dinamicamente una serie di porte fittizie (tra la 1.024 e la 65.535), che possono essere difficili da far filtrare al firewall. D'altra parte,lasciare aperte 'porte' non presidiate introdurrebbe alcune vulnerabilità nei sistemi. E per questi motivi che il traffico OPC dovrebbe essere permesso solo tra la rete di controllo PCN (Process Control Network) e una DMZ (De-Militarized Zone), ossia un segmento di rete 'isolato', ed esplicitamente bloccato tra la DMZ e la rete aziendale (EN-Enterprise Network).
Inoltre, si dovrebbe restringere il range delle porte utilizzate, modificando i 'registry' sui PC che utilizzano Dcom.

Per ovviare alle limitazioni introdotte e avere al contempo una comunicazione 'protetta', anche utilizzando OPC (e Dcom), è possibile introdurre la tecnica del "tunnelling" per instradare Ie comunicazioni OPC anche attraverso il firewall. II tunnelling permette infatti di incapsulare i protocolli per l'attraversamento in modo protetto delle zone in cui sia stata segmentata la rete di controllo PCN. A tale scopo, sono disponibili sul mercato prodotti software ad hoc.
...


<< Back