Úskalia prístupu na web; Technológia automatizácie riadenia; Electronicsnet

12. mája 2006, 13:00 | Klaus-D. Walter

Medzitým sa čoraz viac komponentov, ktoré využívajú štandardné operačné systémy s internetovými prehliadačmi z prostredia IT, dá nájsť v automatizácii pre úlohu „obsluhy a monitorovania“ - od malého operátorského terminálu s 5-palcovým QVGA LC displejom až po priemyselné Počítač s 15-palcovým monitorom TFT-XGA až po stolný počítač. Prístup cez web však nie je bez úskalí.

Početné koncepcie O&M v automatizácii už využívajú výhody nepretržitej ethernetovej siete a internetových technológií (zásobník protokolov TCP/IP, HTTP, Java, .NET). (Zabudované) webové servery zabudované do automatizačných komponentov sú často prístupné cez webový prehliadač cez ethernetový kábel.

Avšak webová prevádzka a monitorovanie strojov a systémov nie je zásadne viazané na LAN (Local Area Network) založenú na Ethernete. Prístup prehliadača k zabudovanému webovému serveru prostredníctvom protokolu HTTP (HyperText Transfer Protocol) je možné vykonať aj prostredníctvom rádiového spojenia Bluetooth alebo WLAN na blízko alebo - ak je vyžadovaný vzdialený prístup - dokonca aj pomocou GPRS (General Packet Radio Service) prostredníctvom celulárnych sietí GSM resp. Ako mobilné B & B jednotky sú obzvlášť vhodné PDA (Personal Digital Assistants) s Windows CE, Palm OS alebo Linux. Tieto vreckové počítače majú webový prehľadávač a - ako príslušenstvo u niektorých modelov - požadované rádiové rozhrania. Ale: Čo s týmito postupmi bezpečnosť údajov a čo je potrebné vziať do úvahy pri vytváraní pripojenia k internetu?

Žiadne tajomstvá v rádiových sieťach?

Čo sa týka blízkeho dosahu, Bluetooth a 802.11 WLAN konkurujú najmä bezdrôtovému ovládaniu a monitorovaniu, hoci ani jedna z týchto technológií pôvodne nemala byť konkurenciou. Obe metódy sú vhodné na prenos paketov HTTP medzi webovým prehliadačom a serverom. Špeciálne ovládače sú potrebné iba pre spodné vrstvy (bitová prenosová a bezpečnostná vrstva) zásobníka TCP/IP, sú však k dispozícii ako príslušenstvo pre PDA s rozhraním WLAN (obr.

Vďaka nízkemu vysielaciemu výkonu (približne 1 mW) je Bluetooth vhodný najmä pre mobilné zariadenia, pretože tu zohráva dôležitú úlohu nízka spotreba energie. Minimálne zabezpečenie proti odpočúvaniu je už poskytované pomocou Bluetooth prostredníctvom rýchleho preskakovania frekvencií. Bluetooth naďalej používa pomerne bezpečnú metódu šifrovania údajov. Ako základ slúži 128-bitový kľúč, ktorý sa nikdy neprenáša cez rádiové spojenie. Avšak: Bluetooth 1.2 (2-3 Mbps) a Bluetooth 2 (4, 8 a 12 Mbps) sú plánované ako ďalší vývoj súčasného štandardu Bluetooth 1.1 s 1 Mbps. Bluetooth 2 upustí od preskakovania frekvencií a už nie je kompatibilný smerom dole s 1.1 a 1.2 a je určite o niečo náchylnejší na rušenie.

Siete WLAN založené na súčasných štandardoch 802.11b alebo 802.11g sú určené ako stredne rýchle bezdrôtové pripojenia na vytváranie sietí. Vysiela sa 11 alebo 54 Mbps (brutto) s maximom okolo 100 mW.

Sieť WLAN sa zvyčajne navrhuje ako rozšírenie LAN. Výmenu dát v ethernetových sieťach LAN založenú na protokole TCP/IP je možné pomerne ľahko zachytiť a manipulovať s nimi. „Výzvou“ pre potenciálneho útočníka je často jednoducho preniknúť do kabeláže siete na správnych miestach alebo nainštalovať agenta na zaznamenávanie dátovej prevádzky alebo na import manipulovaných dátových paketov. Vďaka prevažne ethernetovej kabeláži v tvare hviezdy a použitiu hviezdnych väzbových členov (ethernetové prepínače) sa dátové pakety Ethernet rozširujú iba po určitých cestách (kolíznych doménach). To znamená, že ich nemožno „začuť“ v celej sieti LAN.

Tento problém pre útočníka v sieťach WLAN neexistuje. Pretože je známe, že rádiové vlny sa šíria cez hranice budov a nehnuteľností, je tiež možné počúvať a zaznamenávať webovú komunikáciu medzi prehliadačom operátora systému a webovým serverom automatizačného komponentu z firemného parkoviska. Postačuje na to notebook s rozhraním WLAN.

Obrázok 1. TCP/IP cez bezdrôtové spojenia WLAN vyžaduje iba špeciálne ovládače.

Obrázok 2 zobrazuje záznam nekódovanej komunikácie WLAN webového prehliadača PDA s webovým serverom automatizačného komponentu, ktorý je pripojený k bezdrôtovej sieti prostredníctvom zabudovaného prístupového bodu.

Ako nástroj na počúvanie slúžil program s názvom Ethereal. Je k dispozícii zadarmo na internete pre počítače so systémom Windows a Linux a zdrojový kód je možné dokonca stiahnuť. Ethereal je vo svojej podstate takzvaný program sniffer. Zaznamenáva každý dátový paket pripojenia LAN alebo WLAN a umožňuje podrobné preskúmanie protokolu TCP/IP a úrovne bajtov. Budú viditeľné všetky tajomstvá, ako sú adresy MAC a IP, a tiež heslá.

Pre neoprávnený prístup k prístupovému bodu by ste museli nakonfigurovať iba WLAN rozhranie ľubovoľného počítača s zachytenými adresami. Webový prístup v sieti WLAN by preto nemal byť za žiadnych okolností šifrovaný. Vďaka protokolu WEP (Wired Equivalent Privacy) ponúka sieť WLAN šifrovaciu metódu so 64-bitovými (efektívne 40 bitovými) a 124-bitovými kľúčmi (efektívne 104 Bi). Všeobecne platí, že čím dlhší je kľúč, tým bezpečnejší je prenos z hľadiska bezpečnosti proti odpočúvaniu. Aj keď WLAN-WEP ponúka iba veľmi jednoduchú ochranu, útočník by musel vynaložiť oveľa väčšie úsilie.

Obr. 2. Odpočúvanie komunikácie WLAN medzi webovým prehliadačom a serverom - s programami „sniffer“ nie je veľký problém.

Vzdialený prístup cez mobilné siete

Aby ste mohli pristupovať na zabudovaný webový server s PDA podporujúcim GPRS, musí byť internet vždy zapnutý ako odkaz. GPRS je doplnková služba na prenos paketov IP v celulárnych sieťach GSM. Webový server preto musí mať pripojenie na internet, aby mohol vykonávať vzdialený prístup GPRS. Môže to byť napríklad zdieľaný prístup DSL k firemnej sieti LAN. Zabudovaný webový server je potom integrovaný do siete LAN. Samotná sieť LAN má ako bránu do Internetu smerovač DSL.

HTTP - Základ prístupu na web
Základom každého webového prístupu je protokol HTTP. HTTP je protokol v aplikačnej vrstve zásobníka TCP/IP. Rovnako ako väčšina protokolov na tejto úrovni funguje na princípe klient/server. Ako klient sa zvyčajne používa webový prehľadávač, napríklad Internet Explorer v systéme Microsoft PC Windows alebo Windows CE Pocket Internet Explorer. Týmto sa spustí transakcia HTTP odoslaním požiadavky HTTP na webový server. Server odpovie na požiadavku odpoveďou HTTP.

HTTP pozná rôzne typy požiadaviek a odpovedí. Skladajú sa z jednoduchých textových informácií. Obzvlášť dôležité sú požiadavky GET, HEAD a POST. Z týchto troch typov je GET najbežnejšie používanou transakciou HTTP. Každý webový server musí podporovať tieto typy požiadaviek.

HTTP je veľmi univerzálne použiteľný komunikačný protokol. Môže sa ľahko použiť v rýchlej sieti LAN alebo cez pomalé modemové pripojenie. Jedinou požiadavkou na komunikačný kanál je prítomnosť zásobníka protokolu TCP/IP. Údaje HTTP o požiadavkách a odpovediach používajú TCP. Pakety TCP sa prenášajú v rámci dátových paketov IP. IP zase môže komunikovať pomocou takmer ľubovoľného prenosového média.

Obrázok 3. Dva príklady modulov GPRS modemu - môžu sa použiť na priame pripojenie webového servera automatizačného komponentu k internetu. (Obrázky: SSV)

Klaus-D. Walter je členom riadiaceho tímu v SSV v Hannoveri, kde pracuje ako manažér rozvoja podnikania v produktovej oblasti „Embedded Systems“.