Configuration des services de sécurité

Traduction de la notice originale

Introduction

Le Control Expert fournit des services de sécurité au module de réseau de contrôle BMENOC0321. Activez et désactivez ces services dans l'onglet Sécurité du DTM Control Expert.

Accès à l'onglet Sécurité

Afficher les options de configuration de Sécurité :

Etape	Action
1	Ouvrez votre projet Control Expert.
2	Ouvrez le Navigateur de DTM (Outils → Navigateur de DTM).
3	Dans le Navigateur de DTM, double-cliquez sur le nom que vous avez attribué au module BMENOC0321. pour ouvrir la fenêtre de configuration. NOTE : vous pouvez aussi cliquer avec le bouton droit de la souris sur le module et sélectionner Ouvrir.
4	Sélectionnez Sécurité dans l'arborescence de navigation afin d'afficher les options de configuration.

NOTE : pour obtenir des informations générales sur la sécurité, consultez le manuel de cybersécurité.

Choix des services

Vous pouvez activer et désactiver les services suivants dans l'onglet Sécurité :

Service	Description
FTP	Activer ou désactiver (par défaut) les éléments suivants : Mise à niveau du micrologiciel gestion de la configuration des équipements à l'aide du service FDR NOTE : le stockage des données locales reste opérationnel, mais l'accès à distance au stockage des données est désactivé.
TFTP	Activer ou désactiver (par défaut) la lecture des fichiers de configuration du module d'E/S X80 à l'aide du service FDR. NOTE : dans les systèmes de redondance d'UC (Hot Standby) M580, vous pouvez désactiver les services TFTP du module BMENOC0321 depuis l'écran Ethernet. (Cette opération peut être nécessaire si les modules DIO connectés n'envoient pas leur configuration au serveur FDR ou s'ils la transfèrent uniquement via FTP.) Par contre, si le protocole TFTP est désactivé, la synchronisation de la redondance d'UC (Hot Standby) est impossible car elle est basée sur TFTP.
HTTP	Activer ou désactiver (par défaut) le service d'accès Web.
Contrôle d'accès	Activé (par défaut) : refuser aux équipements réseau non autorisés l'accès Ethernet au serveur Modbus et EtherNet/IP. Désactivé : aucune restriction sur l'accès des équipements réseau qui accèdent au serveur Modbus et EtherNet/IP.
IPsec	Activer (par défaut) ou désactiver les communications sécurisées entre l'adresse IP correspondant à un module BMENOC0321 et une autre adresse IP avec IPsec.
Clé pré-partagée	Ce champ est associé à IPsec et est vide par défaut. Si vous activez IPsec, saisissez 16 caractères. Sélectionnez une valeur difficile à deviner (combinant des majuscules, des minuscules, des nombres et des caractères spéciaux).
DHCP / BOOTP	Activez ou désactivez (configuration par défaut) l'affectation automatique de paramètres d'adressage IP. L'option DHCP active/désactive également l'attribution automatique du masque de sous-réseau, de l'adresse IP de la passerelle et des noms de serveur DNS.
SNMP	Activez ou désactivez (configuration par défaut) le protocole utilisé pour surveiller les équipements connectés au réseau.
EIP	Activez ou désactivez (configuration par défaut) l'accès au serveur EtherNet/IP et à ses fiches de données électroniques (EDS), qui classifient chaque équipement de réseau et ses fonctionnalités.

NOTE :

Les paramètres par défaut représentent le niveau de sécurité maximal. Une sécurité renforcée permet de réduire les capacités de communication et l'accès aux ports de communication.
Les services qui sont sélectionnés en ligne (via Control Expert ou ETH_PORT_CTRL) ne s'appliquent qu'au rack sur lequel l'EF s'exécute.
Reportez-vous à la section relative au bloc fonction ETH_PORT_CTRL (ETH_PORT_CTRL function block) pour savoir comment activer/désactiver les protocoles FTP, TFTP, HTTP et DHCP/BOOTP.

Activation de la sécurité

Définissez les paramètres de l'onglet Sécurité avant de télécharger l'application vers l'UC (CPU). Les services de sécurité désactivés ne peuvent être activés que lorsque vous téléchargez une nouvelle application.

Pour définir le niveau de sécurité rapidement, procédez comme suit :

Etape	Action
1	Dans un service, sélectionnez Activé dans le menu déroulant associé. NOTE : Lorsque vous activez ou désactivez un service, un symbole en forme de stylo indique que vous modifiez les paramètres de sécurité.
2	Cliquez sur Appliquer la sécurité pour réinitialiser les services sur leur état par défaut (ci-dessus) et appliquer le plus haut niveau de sécurité.
3	Cliquez sur Déverrouiller la sécurité pour utiliser les paramètres de sécurité les plus faibles (le contraire des paramètres par défaut).
4	Cliquez sur Appliquer pour activer le service. NOTE : Le symbole en forme de stylo disparaît.
5	Enregistrez votre projet (Fichier → Enregistrer).

Utilisation du contrôle d'accès pour les adresses autorisées

La page Contrôle d'accès permet de limiter l'accès au module BMENOC0321 ou au service de serveur communication de CPU via le module BMENOC0321 dans sa fonction de serveur Modbus TCP, EtherNet/IP, FTP, TFTP, HTTP ou SNMP. Lorsque vous activez le contrôle d'accès dans la boîte de dialogue Sécurité, ajoutez les adresses IP des équipements autorisés à communiquer avec le module BMENOC0321 à la liste Adresses autorisées :

Par défaut, l'adresse IP du module BMENOC0321 ou du service de serveur de communication d'UC (CPU) via le module BMENOC0321 ayant le champ Sous-réseau réglé sur Oui permet à un équipement du sous-réseau de communiquer avec le module BMENOC0321 en utilisant EtherNet/IP et Modbus TCP.
Ajoutez l'adresse IP d'un équipement client susceptible d'envoyer une requête au module BMENOC0321 ou au service de serveur de communication d'UC (CPU) via le module BMENOC0321, qui dans ce cas se comporte comme un serveur Modbus TCP ou EtherNet/IP.
Ajoutez l'adresse IP de votre PC de maintenance pour communiquer avec le PAC via le module BMENOC0321 ou le service de serveur de communication d'UC (CPU) via le module BMENOC0321 (en utilisant Control Expert pour configurer et diagnostiquer votre application).
Une colonne de service est grisée dans la grille Adresses autorisées si le service respectif est désactivé dans le champ Services.

Vous pouvez entrer jusqu'à 128 adresses autorisées.

Ajout d'équipements à la liste Adresses autorisées

Pour ajouter des équipements à la liste Adresses autorisées, procédez comme suit :

Etape	Action
1	Attribuez à Contrôle d'accès la valeur Activé.
2	Dans la colonne Adresse IP de la liste Adresses autorisées, double-cliquez sur l'adresse IP par défaut (0.0.0.0) pour saisir une adresse IP.
3	Entrez l'adresse de l'équipement pour accéder au module BMENOC0321 ou au service de serveur de communication d'UC (CPU) via le module BMENOC0321 en procédant au choix comme suit : Ajouter une seule adresse IP : saisissez l'adresse IP de l'équipement, puis sélectionnez Non dans la colonne Sous-réseau. Ajouter un sous-réseau : saisissez une adresse de sous-réseau dans la colonne Adresse IP. Sélectionnez Oui dans la colonne Sous-réseau. Saisissez un masque de sous-réseau dans la colonne Masque de sous-réseau. NOTE : Un point d'exclamation rouge (!) indique une erreur détectée dans la saisie. Vous ne pourrez enregistrer la configuration qu'une fois cette erreur résolue.
4	Répétez ces étapes pour chaque équipement ou sous-réseau supplémentaire auquel vous souhaitez accorder l'accès au module BMENOC0321 ou au service de serveur de communication d'UC (CPU) via le module BMENOC0321. NOTE : Vous pouvez saisir jusqu'à 128 adresses IP ou sous-réseaux autorisés.
5	Cliquez sur Appliquer.

Suppression d'équipements de la liste Adresses autorisées

Pour supprimer des équipements de la liste Adresses autorisées, procédez comme suit :

Etape	Action
1	Dans la liste Adresses autorisées, sélectionnez l'adresse IP de l'équipement à supprimer.
2	Cliquez sur le bouton Supprimer.
3	Cliquez sur Appliquer.

Finalisation de la configuration

Appuyez sur un bouton pour terminer :

OK : enregistrer les modifications et fermer la fenêtre.
Appliquer :: pour enregistrer les modifications et laisser la fenêtre ouverte.
Annuler : pour annuler les modifications.

Acronyme de device type managerDTM (gestionnaire de type d'équipement). Pilote d'équipement exécuté sur le PC hôte. Il offre une structure unifiée pour accéder aux paramètres de l'équipement, le configurer et l'utiliser, et pour remédier aux problèmes. Les DTM peuvent présenter différents visages, d'une simple interface graphique permettant de configurer les paramètres de l'équipement jusqu'à une application très perfectionnée susceptible d'effectuer des calculs complexes en temps réel à des fins de diagnostic et de maintenance. Dans le contexte d'un DTM, un équipement peut être un module de communication ou un équipement distant sur le réseau.

Acronyme de file transfer protocol (protocole de transfert de fichiers). Protocole qui copie un fichier d'un hôte vers un autre sur un réseau TCP/IP, comme Internet. Le protocole FTP utilise une architecture client-serveur ainsi qu'une commande et des connexions de données distinctes entre le client et le serveur.

Acronyme de fast device replacement (remplacement rapide d'équipement). Service utilisant le logiciel de configuration pour remplacer un produit défaillant.

Acronyme de Trivial File Transfer Protocol. Version simplifiée du protocole file transfer protocol (FTP), TFTP utilise une architecture client-serveur pour établir des connexions entre deux équipements. A partir d'un client TFTP, il est possible d'envoyer des fichiers au serveur ou de les télécharger en utilisant le protocole UDP (user datagram protocol) pour le transport des données.

Acronyme de hypertext transfer protocol (protocole de transfert hypertexte). Le protocole HTTP constitue la base de la communication des données pour le Web.

(abréviation de Internet Protocol security, sécurité IP). Ensemble de protocoles standards libres, qui permettent de protéger la sécurité et la confidentialité des sessions de communication IP du trafic entre modules utilisant IPsec. Ces protocoles ont été développés par le groupe IETF (Internet Engineering Task Force). Les algorithmes d'authentification et de chiffrement IPsec requièrent des clés cryptographiques définies par l'utilisateur qui traitent chaque paquet de communication dans une session IPsec.

Acronyme de dynamic host configuration protocol (protocole de configuration dynamique d'hôtes). Extension du protocole de communication BOOTP, qui permet d'affecter automatiquement les paramètres d'adressage IP, notamment l'adresse IP, le masque de sous-réseau, l'adresse IP de passerelle et les noms de serveur DNS. DHCP ne nécessite pas la gestion d'un tableau identifiant chaque équipement de réseau. Le client s'identifie auprès du serveur DHCP en utilisant son adresse MAC ou un identifiant d'équipement unique. Le service DHCP utilise les ports UDP 67 et 68.

Acronyme de protocole d'amorçage. Protocole réseau UDP qu'un client réseau peut utiliser pour obtenir automatiquement une adresse IP à partir d'un serveur. Le client s'identifie auprès du serveur à l'aide de son adresse MAC. Le serveur, qui gère un tableau préconfiguré des adresses MAC des équipements clients et des adresses IP associées, envoie au client son adresse IP définie. Le service BOOTP utilise les ports UDP 67 et 68.

Acronyme de domain name server/service (serveur/service de noms de domaine). Service capable de traduire un nom de domaine alphanumérique en adresse IP, l'identificateur unique d'un équipement sur un réseau.

Acronyme de simple network management protocol (protocole de gestion de réseau simple). Protocole utilisé dans les systèmes de gestion de réseau pour surveiller les équipements rattachés au réseau. Ce protocole fait partie de la suite de protocoles Internet (IP) définie par le groupe de travail d'ingénierie Internet (IETF), qui inclut des directives de gestion de réseau, dont un protocole de couche d'application, un schéma de base de données et un ensemble d'objets de données.

Protocole de communication réseau pour les applications d'automatisation industrielle, qui combine les protocoles de transmission TCP/IP et UDP et le protocole CIP de couche applicative pour prendre en charge l'échange de données à haut débit et la commande industrielle. EtherNet/IP emploie des fichiers EDS pour classer chaque équipement réseau et ses fonctionnalités.

Acronyme de electronic data sheet (fiche de données électronique). Les EDS sont de simples fichiers texte qui décrivent les fonctions de configuration d'un équipement. Les fichiers EDS sont générés et gérés par le fabricant de l'équipement.

Acronyme de elementary function (fonction élémentaire). Bloc utilisé dans un programme pour réaliser une fonction logique prédéfinie.

Une fonction ne dispose pas d'informations sur l'état interne. Plusieurs appels de la même fonction à l'aide des mêmes paramètres d'entrée fournissent toujours les mêmes valeurs de sortie. Vous trouverez des informations sur la forme graphique de l'appel de fonction dans le « [bloc fonctionnel (instance)] ». Contrairement aux appels de bloc fonction, les appels de fonction ne comportent qu'une sortie qui n'est pas nommée et dont le nom est identique à celui de la fonction. En langage FBD, chaque appel est indiqué par un [numéro] unique via le bloc graphique. Ce numéro est généré automatiquement et ne peut pas être modifié.

Vous positionnez et configurez ces fonctions dans le programme afin d'exécuter l'application.

Vous pouvez également développer d'autres fonctions à l'aide du kit de développement SDKC.