Otras Reglas De Seguridad; Certificados Según X.509 De La Uit - Siemens SIMATIC ET 200AL Manual De Sistema
Ocultar thumbs
Ver también para SIMATIC ET 200AL:
- Manual (2312 páginas) ,
- Manual de sistema (1631 páginas) ,
- Instrucciones de servicio resumidas (98 páginas)
Tabla de contenido
Publicidad
Comunicación OPC UA
9.2 Seguridad en OPC UA
Al compilar el proyecto, STEP 7 comprueba además si se han tenido en cuenta las
posibilidades de ajuste para la protección y advierte sobre los posibles riesgos. Ello incluye
también una Security Policy OPC UA con el ajuste "Ninguna seguridad", lo que equivale al
punto final "None".
Nota
Desactivar directivas de seguridad (Security Policies) no deseadas
Si en la configuración del canal de seguridad del servidor OPC UA del S7-1500 se han
activado todas las directivas de seguridad y, por tanto, también el punto final "None"
(Ninguna seguridad), también es posible un tráfico de datos no seguro entre el servidor y el
cliente (sin firmar ni cifrar). El servidor OPC UA de la CPU S7-1500 envía incluso con
"None" (Ninguna seguridad) su certificado público al cliente. Y algunos clientes verifican
este certificado. Sin embargo, el cliente no está obligado a enviar un certificado al servidor.
Es posible que la identidad del cliente permanezca desconocida. En tal caso todos los
clientes OPC UA pueden conectarse al servidor, con independencia de todos los ajustes de
seguridad que sigan.
En la configuración del servidor OPC UA tenga en cuenta que solo están activadas las
directivas de seguridad compatibles con el concepto de protección para la máquina o
instalación. Es necesario desactivar todas las demás directivas de seguridad.
Recomendación: Utilice el ajuste "Basic256Sha256 - firmar y cifrar", con el que el servidor
solo acepta certificados Sha256. Las directivas de seguridad "Basic128Rsa15" y "Basic256"
están desactivadas por defecto y no deben utilizarse como punto final. Seleccione los
puntos finales con una Security Policy superior.
Otras reglas de seguridad
● Utilice el punto final "None" solo en casos excepcionales.
● Utilice la "Autenticación de huésped" del usuario solo en casos excepcionales.
● Permita el acceso a variables PLC y componentes de DB a través de OPC UA solo si es
realmente necesario.
● En la configuración del cliente OPC US del S7-1500 utilice las listas de clientes de
confianza para permitir el acceso únicamente a determinados clientes.
9.2.2
Certificados según X.509 de la UIT
En OPC UA hay integrados mecanismos de seguridad en varias capas. Los certificados
digitales desempeñan un papel importante. Un cliente OPC UA solo puede establecer una
conexión segura con un servidor OPC UA si el servidor acepta el certificado digital del
cliente y lo clasifica como certificado de confianza.
Consulte el capítulo Manejo de certificados de cliente y de servidor (Página 189).
Además, el cliente también debe comprobar el certificado del servidor y confiar en él.
Servidor y cliente deben identificarse y demostrar que son realmente quienes afirman ser:
Deben probar su identidad. La autenticación recíproca de cliente y servidor impide, por
ejemplo, ataques mediante "man in the middle".
152
Manual de funciones, 11/2019, A5E03735817-AH
Comunicación
Publicidad
Capítulos
Tabla de contenido
