A webes hozzáférés buktatói; Automatizálási vezérléstechnika; Electronicsnet

2006. május 12., 13:00 | Klaus-D. Walter

Időközben egyre több olyan alkatrész található, amely szabványos operációs rendszereket használ az internetes böngészőkkel az informatikai környezetből, megtalálható az automatizálásban az "üzemeltetés és felügyelet" feladatra - az 5 hüvelykes QVGA LC kijelzővel rendelkező kis kezelőtermináltól kezdve az ipari PC 15 hüvelykes TFT-XGA monitorral akár asztali PC-vel. A webes hozzáférés azonban nem nélkülözi buktatóit.

Az automatizálás számos O&M koncepciója már használja a folyamatos Ethernet hálózat és az internetes technológiák (TCP/IP protokoll verem, HTTP, Java, .NET) előnyeit. Az automatizálási komponensekbe ágyazott (beágyazott) webszerverekhez gyakran böngészőn keresztül, Ethernet kábelen keresztül férnek hozzá.

A gépek és rendszerek webalapú üzemeltetése és felügyelete azonban alapvetően nem kötődik az Ethernet alapú LAN-hoz (Local Area Network). A beágyazott webszerver böngésző általi hozzáférése HTTP-n (HyperText Transfer Protocol) keresztül történhet Bluetooth vagy WLAN rádiós kapcsolaton keresztül, közelről, vagy - ha távoli hozzáférésre van szükség - akár GPRS-rel (General Packet Radio Service) is GSM cellás hálózatokon keresztül. illetőleg. A Windows CE, Palm OS vagy Linux rendszerrel rendelkező PDA-k (Personal Digital Assistants) különösen alkalmasak mobil B & B egységként. Ezek a zsebszámítógépek webböngészővel és - bizonyos modellek opcióiként - a szükséges rádió interfészekkel rendelkeznek. De: Mi a helyzet az adatok biztonságával ezekkel az eljárásokkal, és mit kell figyelembe venni az internetkapcsolat létrehozásakor?

Nincsenek titkok a rádióhálózatokban?

Ami a közeli távolságot illeti, a Bluetooth és a 802.11 WLAN különösen versenyez a vezeték nélküli vezérlés és felügyelet terén, bár eredetileg egyik technológiát sem szánták versenytársnak. Mindkét módszer könnyen alkalmas HTTP-csomagok továbbítására a webböngésző és a szerver között. Speciális meghajtókra csak a TCP/IP verem alsó rétegeihez (bitátviteli és biztonsági réteghez) van szükség, de ezek például a WLAN interfésszel rendelkező PDA tartozékaként állnak rendelkezésre (1. ábra).

Az alacsony átviteli teljesítmény (kb. 1 mW) miatt a Bluetooth különösen alkalmas mobil eszközökre, mivel az alacsony energiaigény itt fontos szerepet játszik. A Bluetooth a gyors frekvenciás ugrás révén már biztosított minimális biztonságot a lehallgatás ellen. A Bluetooth továbbra is meglehetősen biztonságos adattitkosítási módszert alkalmaz. Ennek alapja egy 128 bites kulcs, amelyet soha nem továbbítanak a rádiós kapcsolaton keresztül. Ugyanakkor: A Bluetooth 1.2 (2-3 Mbps) és a Bluetooth 2 (4, 8 és 12 Mbps) a jelenlegi 1.1-es Bluetooth szabvány további fejlesztéseinek számítanak, 1 Mbps sebességgel. A Bluetooth 2 frekvenciaugrással rendelkezik, és lefelé már nem kompatibilis az 1.1 és az 1.2-vel, és minden bizonnyal valamivel hajlamosabb az interferenciára.

A jelenlegi 802.11b vagy 802.11g szabványokon alapuló WLAN-okat közepes sebességű vezeték nélküli kapcsolatoknak szánják a hálózatépítéshez. 11 vagy 54 Mbps (bruttó) sebességet továbbítanak, körülbelül 100 mW körüli sebességgel.

A WLAN-okat általában LAN-kiterjesztésként tervezik. Az Ethernet LAN-okban a TCP/IP protokollon alapuló adatcsere viszonylag könnyen elfogható és manipulálható. A potenciális támadó „kihívása” gyakran az, hogy betör a megfelelő helyeken a hálózat kábelezésébe, vagy ügynök telepítése az adatforgalom rögzítésére vagy a manipulált adatcsomagok importálására. A túlnyomórészt csillag alakú Ethernet kábelezés és a csillagcsatolók (Ethernet kapcsolók) használata miatt az Ethernet adatcsomagok csak bizonyos útvonalakon (ütközési tartományokon) terjednek. Ez azt jelenti, hogy nem lehet őket "meghallgatni" a teljes LAN-ban.

Ez a probléma nem létezik a WLAN-ok támadója számára. Mivel a rádióhullámok köztudottan átterjednek az épület és az ingatlan határain, a rendszerüzemeltető böngészője és a vállalati parkoló automatizálási alkatrészének webkiszolgálója közötti webalapú kommunikáció hallgatása és rögzítése is lehetséges. Ehhez elegendő egy WLAN interfésszel rendelkező notebook.

1. ábra A TCP/IP a WLAN rádió linkeken csak speciális illesztőprogramokat igényel.

A 2. ábra egy PDA webböngésző titkosítatlan WLAN kommunikációjának felvételét mutatja be egy olyan automatizálási komponens webszerverével, amely beágyazott hozzáférési ponton keresztül csatlakozik a vezeték nélküli hálózathoz.

Az Ethereal nevű program hallgatási eszközként szolgált. Ingyenesen elérhető az interneten Windows és Linux számítógépekhez, sőt a forráskód is letölthető. Az Ethereal eredendően egy úgynevezett szippantó program. Rögzíti egy LAN vagy WLAN kapcsolat minden adatcsomagját, és lehetővé teszi a TCP/IP protokoll és bájt szintjének részletes vizsgálatát. Minden titok, például a MAC és IP címek, valamint a jelszavak is láthatóvá válnak.

A hozzáférési ponthoz való jogosulatlan hozzáféréshez csak az elfogott címmel rendelkező számítógépek WLAN-interfészét kell konfigurálnia. A WLAN-alapú webalapú hozzáférés tehát semmilyen körülmények között sem lehet titkosíthatatlan. A WEP (Wired Equivalent Privacy) segítségével a WLAN titkosítási módszert kínál 64 bites (gyakorlatilag 40 bites) és 124 bites kulcsokkal (gyakorlatilag 104 Bi). Általában minél hosszabb a kulcs, annál biztonságosabb az átvitel a lehallgatás elleni biztonság szempontjából. Bár a WLAN-WEP csak nagyon egyszerű védelmet nyújt, a támadónak sokkal több erőfeszítést kellene tennie.

2. ábra A webböngésző és a szerver közötti WLAN-kommunikáció lehallgatása - nem nagy probléma a "szippantó" programokkal.

Távoli hozzáférés mobilhálózatokon keresztül

A beágyazott webszerver GPRS-kompatibilis PDA-val való eléréséhez az Internetet mindig kapcsolatonként be kell kapcsolni. A GPRS kiegészítő szolgáltatás az IP-csomagok GSM-mobilhálózatokban történő továbbításához. A webszervernek ezért kapcsolódnia kell az internethez a GPRS távoli eléréséhez. Ez lehet például egy vállalati LAN megosztott DSL-hozzáférése. A beágyazott webszervert ezután integrálják a LAN-ba. Maga a LAN DSL útválasztóval rendelkezik az internet átjáróként.

HTTP - A webes hozzáférés alapja
Az összes webalapú hozzáférés alapja a HTTP protokoll. A HTTP egy protokoll a TCP/IP verem alkalmazásrétegében. Mint a legtöbb protokoll ezen a szinten, ez a kliens/szerver elven is működik. Ügyfélként általában egy webböngészőt, például a Microsoft PC Windows alatt futó Internet Explorer vagy a Windows CE Pocket Internet Explorer böngészőt használják. Ez egy HTTP-tranzakciót úgy indít, hogy HTTP-kérést küld egy webkiszolgálónak. A kiszolgáló HTTP-val válaszol a kérésre.

A HTTP különböző kérés- és választípusokat ismer. Ezek egyszerű szöveges információkból állnak. A GET, a HEAD és a POST kérések különösen fontosak. E három típus közül a GET a leggyakrabban használt HTTP tranzakció. Minden webszervernek támogatnia kell ezeket a kéréstípusokat.

A HTTP egy nagyon univerzálisan alkalmazható kommunikációs protokoll. Könnyen használható gyors LAN-ban vagy lassú modemes kapcsolaton keresztül. A kommunikációs csatorna egyetlen követelménye a TCP/IP protokoll verem jelenléte. A HTTP kérés és válaszadatok TCP-t használnak. A TCP csomagokat IP adatcsomagokon keresztül továbbítják. Az IP viszont szinte bármilyen átviteli közeg használatával képes kommunikálni.

3. ábra: Két példa a GPRS modem modulokra - ezek segítségével automatizálási komponens webkiszolgálóját lehet közvetlenül az internethez csatlakoztatni. (Képek: SSV)

Klaus-D. Walter a hannoveri SSV menedzsment csapatának tagja, ahol üzletfejlesztési vezetőként dolgozik az "Embedded Systems" termékterületen.