Weitere Security-Regeln; Zertifikate Gemäß X.509 Der Itu - Siemens SIMATIC ET 200AL Systemhandbuch

Weitere Security-Regeln

● Nutzen Sie nur im Ausnahmefall den Endpunkt "None".
● Verwenden Sie nur im Ausnahmefall die "Gast-Authentifizierung" des Benutzers.
● Erlauben Sie nur dann den Zugriff auf PLC-Variablen und DB-Komponenten über OPC
UA, wenn es tatsächlich erforderlich ist.
● Nutzen Sie die Listen vertrauenswürdiger Clients in den Einstellungen des S7-1500 OPC
UA-Clients, um nur bestimmten Clients Zugriff zu erlauben.
9.2.2 Zertifikate gemäß X.509 der ITU
Bei OPC UA sind Sicherheitsmechanismen in mehreren Schichten integriert. Dabei spielen
digitale Zertifikate eine wichtige Rolle. Ein OPC UA-Client kann nur eine gesicherte
Verbindung zu einem OPC UA-Server aufbauen, wenn der Server das digitale Zertifikat des
Clients akzeptiert und als vertrauenswürdig einstuft.
Siehe Kapitel Handling der Client- und Server-Zertifikate (Seite 193).
Außerdem muss auch der Client das Zertifikat des Servers prüfen und ihm vertrauen. Server
und Client müssen sich ausweisen und beweisen, dass sie tatsächlich der sind, der sie zu
sein behaupten: Sie müssen ihre Identität nachweisen. Die gegenseitige Authentifizierung
von Client und Server verhindert zum Beispiel Angriffe durch einen "Man in the Middle".
Angriffe durch "Man in the Middle"
Zwischen Server und Client könnte sich ein "Man in the Middle" befinden, ein Programm,
das die Kommunikation zwischen Server und Client abfängt und behauptet, selbst Client
oder Server zu sein, und so wichtige Informationen über das S7-Progamm erhält oder Werte
in der CPU setzt und damit eine Maschine oder Anlage angreifen kann.
Bei OPC UA werden digitale Zertifikate verwendet, die dem Standard X.509 der International
Telecommunication Union (ITU) entsprechen.
Damit lässt sich die Identität eines Programms, eines Rechners oder einer Organisation
nachweisen (authentifizieren).
Kommunikation
Funktionshandbuch, 11/2019, A5E03735814-AH
OPC UA-Kommunikation
9.2 Security bei OPC UA
155