Kommunikation verschlüsseln, Security-Einstellungen verändern

HINWEIS

Empfehlungen zur Datensicherheit

Um das Risiko von Datensicherheitsverletzungen zu minimieren, empfehlen wir die folgenden organisatorischen und technischen Maßnahmen für das System, auf dem Ihre Applikationen laufen: Vermeiden Sie soweit als möglich, die SPS und die Steuerungsnetzwerke offenen Netzwerken und dem Internet auszusetzen. Verwenden Sie zum Schutz zusätzliche Sicherungsschichten, wie ein VPN für Remote-Zugriffe. Installieren Sie Firewall-Mechanismen. Beschränken Sie den Zugriff auf autorisierte Personen. Verwenden Sie Passwörter mit hoher Stärke. Ändern Sie eventuell vorhandene Standard-Passwörter bei der ersten Inbetriebnahme und auch danach regelmäßig.

Verwenden Sie die von CODESYS und dem betreffenden Steuerungsgerät unterstützten Security-Funktionalitäten, wie Verschlüsselung der Kommunikation mit dem Steuerungsgerät und gezielt eingeschränkten Benutzerzugriff.

Die Kommunikation mit dem Gerät kann über Verschlüsselung und über eine Benutzerverwaltung auf dem Gerät geschützt werden. Wenn Sie die aktuelle Security-Voreinstellung ändern wollen, können Sie dies auf der Registerkarte „Kommunikation“ des Geräteeditors tun.

Verbindung zur Steuerung herstellen, anmelden, vertrauenswürdiges Zertifikat für verschlüsselte Kommunikation installieren

Voraussetzung: Eine verschlüsselte Kommunikation mit der Steuerung und eine Benutzerverwaltung auf der Steuerung sind erzwungen. Es gibt jedoch noch kein individuelles Passwort. Auf Ihrem Computer ist noch kein entsprechendes Zertifikat installiert und die Verbindung zur Steuerung ist noch nicht konfiguriert.

Doppelklicken Sie im Gerätebaum auf die Steuerung.

Der Geräteeditor öffnet sich.
Wählen Sie die Registerkarte „Kommunikation“.
Klicken Sie auf die Schaltfläche „Netzwerk durchsuchen“.
Selektieren Sie die gewünschte Steuerung.
Eine Meldungsbox erscheint mit der Info, dass das Zertifikat des Geräts für die Kommunikation nicht vertrauenswürdig signiert wurde. Sie werden gefragt, ob Sie dieses Zertifikat als vertrauenswürdig im lokalen 'Controller Certificates'-Store auf Ihrem Computer installieren wollen, oder nur für diese eine Sitzung akzeptieren.
HINWEIS

Ein auf diese Weise installiertes Steuerungszertifikat erhält eine Laufzeit von nur 30 Tagen! Damit haben Sie Zeit für folgende längerfristige Lösungen:

Erzeugen eines weiteren selbst signierten Zertifikats mit längerer Laufzeit (beispielsweise 365 Tage). Dies können Sie im Security-Screen tun, wenn Sie den CODESYS Security Agent installiert haben, auch wenn ein Zertifikat bereits vorhanden ist. Die Verwendung der PLC-Shell des Geräteeditors ist eine nicht komfortable Ersatzvorgehensweise.

Sehen Sie dazu weiter unten: "Verschlüsselte Kommunikation mit einem längerfristig gültigen Steuerungszertifikat konfigurieren..."

Einspielen eines CA-signierten Zertifikats. Dies ist aktuell nur über die PLC-Shell-Kommandos des Laufzeitsystems möglich. Daher empfehlen wir erstmal selbst signierte Zertifikate zu verwenden.
Wenn Sie das Zertifikat installieren wollen, wählen Sie die erste Option und bestätigen Sie die Meldungsbox mit „OK“.

Das Zertifikat wird als vertrauenswürdig eingetragen. Nach diesem erstmaligen Akzeptieren des selbst signierten Zertifikats können Sie sich ohne weitere Abfrage immer wieder mit der Steuerung verschlüsselt verbinden.

Sie erhalten eine Meldungsbox mit dem Hinweis, dass für das Gerät eine Benutzerverwaltung obligatorisch ist, diese aber noch nicht aktiviert ist. Sie werden gefragt, ob Sie die Benutzerverwaltung jetzt aktivieren wollen. Sie erhalten den Hinweis, dass Sie in diesem Fall einen neuen Administrator-Benutzer anlegen müssen und sich dann als dieser Benutzer einloggen müssen.
Schließen Sie die Abfrage mit „Ja“.

Der Dialog „Gerätebenutzer hinzufügen“ öffnet sich zum Anlegen eines initialen Geräteadministrators.
Legen Sie einen Gerätebenutzer an, um als dieser Benutzer die Benutzerverwaltung bearbeiten zu können. In diesem Fall steht nur die Gruppe „Administrator“ zur Verfügung. Definierten Sie für den Benutzer „Name“ und „Passwort“. Die Passwortstärke wird angezeigt. Beachten Sie auch die eingestellten Optionen bezüglich einer Passwortänderung. Standardmäßig kann das Passwort vom Benutzer zu einer beliebigen Zeit geändert werden. Bestätigen Sie mit „OK“.

Der Dialog „Gerätebenutzeranmeldung“ öffnet sich.
Geben Sie die im vorigen Schritt definierten Zugangsdaten für den Geräteadministrator ein.

Sie sind auf der Steuerung eingeloggt. Auf der Registerkarte „Benutzer und Gruppen“ können Sie mit Hilfe der Schaltfläche in den synchronisierten Betrieb wechseln. Darin wird die Gerätebenutzerverwaltung angezeigt und Sie können sie bearbeiten.

Nach Bestätigung mit „OK“ wird die Gerätebenutzerverwaltung im Editorfenster dargestellt. Sie enthält den gerade definierten Benutzer der Gruppe „Administrator“. Dessen Name erscheint auch in der Taskleiste des Fensters als „Gerätebenutzer“.
Alle gespeicherten Steuerungszertifikate (aus Schritt 5) werden unter Windows im lokalen Zertifikatsspeicher auf Ihrem Computer gespeichert. Diesen Speicher erreichen Sie über „Ausführen“, Befehl ‎certmgr.msc‎.

Alle registrierten Zertifikate für verschlüsselte Kommunkation mit Steuerungen finden Sie hier unter „Controller Certificates/Zertifikate“.

Längerfristig gültiges Steuerungszertifikat für die verschlüsselte Kommunikation mit Hilfe des CODESYS Security Agent installieren (Empfohlen!)

Voraussetzung: Sie haben das Zusatzprodukt CODESYS Security Agent installiert. Sie wollen das - wie oben beschrieben - beim ersten Verbinden mit der geschützten Steuerung erworbene vorläufige Zertifikat durch ein Zertifikat mit längerer Laufzeit ersetzen.

Die Ansicht „Security-Screen“ bietet in diesem Fall eine weitere Registerkarte: „Geräte“. Sie ermöglicht das einfache Konfigurieren von Zertifikaten für die verschlüsselte Kommunikation mit Steuerungen. Sehen Sie zur Bedienung bitte die Hilfe zum CODESYS Security Agent: "Mit dem Gerät über ein Steuerungszertifikat verschlüsselt kommunizieren".

Steuerungszertifikat für die verschlüsselte Kommunikation über die SPS-Shell des Geräteeditors installieren

Wählen Sie diese nicht so komfortable Vorgehensweise nur, wenn Sie den CODESYS Security Agent nicht zur Verfügung haben. In diesem Fall können Sie über die Registerkarte „SPS-Shell“ des Geräteeditors ein längerfristig gültiges Zertifikat zur Kommunikationsverschlüsselung einrichten.

Voraussetzung: Sie sind mit der Steuerung verbunden.

In den ersten Schritten überprüfen Sie, ob sich auf der Steuerung bereits ein geeignetes Zertifikat befindet. Wenn noch kein Zertifikat existiert, erzeugen Sie ein neues Zertifikat.

Öffnen Sie den Geräteeditor mit einem Doppelklick auf die Steuerung im Gerätebaum und wählen Sie die Registerkarte „SPS-Shell“.

Die Registerkarte erscheint mit einem leeren Anzeigefenster. Darunter finden Sie eine Eingabezeile für ein Kommando.
Geben Sie folgenden Befehl in die Eingabezeile ein: ‎cert-getapplist‎

Es werden alle verwendeten Zertifikate aufgelistet. Die Auflistung enthält Informationen zur Laufzeitkomponente und ob das Zertifikat zur Verfügung steht.
Wenn für die Komponente ‎CmpSecureChannel‎ noch kein Zertifikat zur Verfügung existiert, geben Sie in die Eingabezeile folgenden Befehl ein:

‎cert-genselfsigned <number of the component in the applist>‎
Wählen Sie die Registerkarte „Log“ und klicken Sie auf die Aktualisierungsschaltfläche .

Es wird angezeigt, ob das Zertifikat erfolgreich erzeugt wurde.
Wechseln Sie erneut zur Registerkarte „SPS-Shell“ und geben Sie den Befehl ‎cert-getapplist‎ ein.

Das neue Zertifikat für die Komponente ‎CmpSecureChannel‎ wird angezeigt.
In den nächsten beiden Schritten aktivieren Sie die verschlüsselte Kommunikation im Security-Screen von CODESYS.
Öffnen Sie den „Security-Screen“ mit einem Doppelklick auf in der Statusleiste.
Aktivieren Sie in der Registerkarte „Benutzer“ im Bereich „Security-Level“ die Option „Verschlüsselte Kommunikation erzwingen“.

Die Kommunikation mit allen Steuerungen wird verschlüsselt. Wenn es auf einer Steuerung kein Zertifikat gibt, können Sie sich nicht auf diese Steuerung einloggen.

In der Registerkarte „Kommunikation“ des Geräteeditors der Steuerung wird die Verbindungslinie zwischen Programmiersystem, Gateway und Steuerung gelb dargestellt.
Alternativ zur Option „Verschlüsselte Kommunikation erzwingen“, die für alle Steuerungen gilt, können Sie die verschlüsselte Kommunikation auch nur für bestimmte Steuerungen festlegen. Hierzu wählen Sie im Editor der jeweiligen Steuerung die Registerkarte „Kommunikation“ und wählen Sie in der Auswahlliste „Gerät“ den Befehl „Verschlüsselte Kommunikation“.

Die Kommunikation mit dieser Steuerung wird verschlüsselt. Wenn es auf der Steuerung kein Zertifikat gibt, können Sie sich nicht auf diese Steuerung einloggen.

In der Registerkarte „Kommunikation“ des Geräteeditors der Steuerung wird die Verbindungslinie zwischen Programmiersystem, Gateway und Steuerung gelb dargestellt.
Wenn Sie sich nun zum ersten Mal auf die Steuerung einloggen wollen, erscheint ein Dialog mit der Meldung, dass das Zertifikat der Steuerung nicht von einer vertrauenswürdigen Stelle signiert ist. Zusätzlich zeigt der Dialog die Informationen zum Zertifikat an und fragt, ob es als vertrauenswürdiges Zertifikat in den lokalen Store in den Ordner „Controller Certificates“ installiert werden soll.

Wenn Sie den Dialog bestätigen, wird das Zertifikat in den lokalen Store installiert und Sie werden auf die Steuerung eingeloggt.

Zukünftig ist die Kommunikation mit der Steuerung automatisch mit diesem Steuerungszertifikat verschlüsselt.
Zur Erhöhung der Sicherheit für den Schlüsselaustausch für Steuerungen < V3.5 13.0 können Sie DiffieHellman-Parameter auf der Steuerung erzeugen lassen. Geben Sie hierzu in der Eingabezeile den Befehl ‎cert-gendhparams‎ ein.

Für Steuerungen >= V3.5.13.0 ist dies nicht mehr notwendig.

HINWEIS

Achtung: Das Erzeugen der Diffie-Hellman-Parameter kann von mehreren Minuten bis zu mehreren Stunden dauern! Dieser Vorgang muss jedoch nur einmalig pro Steuerung ausgeführt werden. Die Diffie-Hellman-Parameter erhöhen die Sicherheit für den Schlüsselaustausch und für zukünftige Attacken gegen aufgezeichnete verschlüsselte Datenmitschnitte.

Kommunikationsrichtlinie (Verschlüsselung, Benutzerverwaltung) ändern

Voraussetzung: Die Verbindung zum Gerät ist hergestellt.

Doppelklicken Sie im Gerätebaum auf die Steuerung.

Der Geräteeditor öffnet sich.
Wählen Sie die Registerkarte „Kommunikation“.
Öffnen Sie das Menü „Gerät“ in der Kopfzeile des Editors. Wählen Sie den Befehl „Kommunikationsrichtlinie ändern“.

Der Dialog „Kommunikationsrichtlinie ändern“ erscheint.
Im oberen Teil des Dialogs können Sie zwischen den Einstellungen „Optionale Verschlüsselung“, „Erzwungene Verschlüsselung“ und „Keine Verschlüsselung“ hin- und herschalten.
Im unteren Teil des Dialogs können Sie zwischen der Einstellung „Optionale Benutzerverwaltung“ und „Erzwungene Benutzerverwaltung“ hin- und herschalten.

Erzwungene verschlüsselte Kommunikation aktivieren und deaktivieren

Voraussetzung: Das Gerät unterstützt verschlüsselte Kommunikation.

Doppelklicken Sie im Gerätebaum auf die Steuerung.

Der Geräteeditor öffnet sich.
Wählen Sie die Registerkarte „Kommunikation“.
Öffnen Sie das Menü „Gerät“ in der Kopfzeile des Editors. Wählen Sie den Befehl „Verschlüsselte Kommunikation“. Er schaltet zwischen Status aktiviert und deaktiviert hin und her.

Wenn die Option „Verschlüsselte Kommunikation“ aktiviert ist, erscheint in der grafischen Darstellung im Editor die Verbindungslinie zwischen Entwicklungssystem, Gateway und Gerät dick farbig hinterlegt.

Siehe auch