FactoryTalk Directory Security

Transkrypt

Kontrola dostępu do kodu i własności
intelektualnej w Zintegrowanej Architekturze
V2
Kontrola dostępu i własności intelektualnej w
Zintegrowanej Architekturze
O ĆWICZENIU _____________________________________________________________ 4
Użytkownicy FactoryTalk 4
NARZĘDZIA 6
WGRANIE PIERWSZEGO PROJEKTU RSLOGIX 5000 PROJECT DO STEROWNIKA _____________ 7
STRUKTURA FACTORYTALK DIRECTORY ________________________________________ 12
JAK DZIAŁA FACTORYTALK SECURITY __________________________________________ 15
KOPIA ZAPASOWA KONFIGURACJI FACTORYTALK DIRECTORY ________________________ 16
WŁĄCZANIE & KONFIGURACJA FACTORYTALK SECURITY ____________________________ 17
Usunięcie grupy “Window Administrators”
17
Modyfikacja praw dostępu dla “All Users”
18
Weryfikacja ustawień reguł dostępu dla produktów
22
ZABEZPIECZANIE PROJEKTÓW RSLOGIX5000 I STEROWNIKÓW _______________________ 24
Łączenie Projektu RSLogix 5000 z FactoryTalk Directory 24
Łączenie Zasobów Fizycznego Sterownika z serwerem FactoryTalk Security 31
Konfiguracja Unikalnego Identyfikatora w RSLogix 5000 i FactoryTalk Security
34
FUNKCJA DETEKCJI ZMIAN CONTROLLOGIX V20 __________________________________ 42
Konfiguracja AssetCentre 42
RSLogix 5000 Konfiguracja Detekcji Zmian 46
FactoryTalk AssetCentre v4.10 Detekcja Zmian z RSLogix 5000 v20.
50
V20 ZARZADZANIE DOSTĘPEM NA POZIOMIE KASETY _______________________________ 54
ABOUT W IBU SYSTEMS _____________________________________________________ 56
HOW TO USE THE W IBU KEY __________________________________________________ 58
Implementing Security and IP Protection features in Integrated Architecture
5/20/2014
Page 3 of 55
Zanim zaczniesz
O Ćwiczeniu
Dowiedz się jak chronić sterowniki PAC serii ControlLogix™ przed nieautoryzowanym dostępem
używając nowoczesnej technologii FactoryTalk® Security.
Ćwiczenia w praktyczny sposób pokazują jak zabezpieczać własność intelektualną i kod jako
wartość samą w sobie, na poziomie oprogramowania i zasobów sterownika. W kolejnych krokach
poznasz możliwości serwisu FactoryTalk Security, opcje bezpieczeństwa RSLogix 5000® ,
wykorzystanie oprogramowania zarządzającego zasobami FactoryTalk AssetCentre® .
Ćwiczenia podstawowe zajmą około 60 minut.
Użytkownicy FactoryTalk
Użytkownicy FactoryTalk w tym ćwiczeniu mogą być użyci jedynie do logowania do platformy
FactoryTalk, nie są to użytkownicy systemu Windows. Nie mniej jednak, jest możliwość łączenia
kont / grup Windows i Microsoft Active Directory z FactoryTalk. W tym ćwiczeniu będziemy
korzystali z poniższych użytkowników FT:
User Name
Full Name
Password
Group Membership
lianne.operator
Lianne Operator
rockwell
Operators
adam.maintenance Adam Maintenance
rockwell
Maintenance
gordon.denied
Gordon Denied
rockwell
No Access
kylee.engineer
Kylee Engineer
rockwell
Engineers
bruce.supervisor
Bruce Supervisor
rockwell
Supervisors**
Ftadmin
FactoryTalk
Administrative User
rockwell
Administrators
** This user and group are created in an Extra Task of this lab
5/20/2014
Page 4 of 55
Narzędzia
Wymagane oprogramowanie
 VMWare Workstation v8.0.2
 FactoryTalk Services Platform v2.50.00 (CPR 9 SR 5)
 FactoryTalk View Site Edition v6.10 (CPR 9 SR 4)
 RSLinx Enterprise v5.50.00 (CPR 9 SR 5)
 RSSecurity Emulator 2.50 (CPR 9 SR 5)
 RSLogix 5000 v20.01 (CPR 9 SR 5)
 RSLogix 500 v8.40.00 (CPR 9 SR 3)
 RSLinx Classic v2.59 (CPR 9 SR 5)
 FactoryTalk AssetCentre v4.10 (CPR 9 SR 5)
 Microsoft SQL Server 2008 R2
Sprzęt
 1756-A4 ControlLogix Chassis
 1756-EN2T(R) Ethernet Bridge (Slot 1)
 1756-L75 ControlLogix PLC (Slot 3)
Pliki potrzebne do wykonania ćwiczenia
 VMWare image files for the HOTT 2012 Security Lab virtual machines
 InstantFizz.ACD project file for RSLogix5000
(Stored in FactoryTalk AssetCentre Archive within image)
 InstantFizz_HMI project files for FactoryTalk View SE v6.10
(Stored in FactoryTalk AssetCentre Archive within image)
5/20/2014
Page 6 of 55
Wgranie pierwszego projektu RSLogix 5000 Project do sterownika
W pierwszym kroku upewnimy się, że w procesorze jest właściwy projekt wgrywając go.
1. Upewnij się, że moduł Ethernet 1756-EN2TR posiada właściwy adres IP: 172.16.xx.2, gdzie xx
to numer twojego stanowiska/stacji (od10 to 22).
2. Uruchom projekt InstantFizz_Controller.ACD środowiska RSLogix 5000 klikając dwukrotnie
na poniższą ikonę na pulpicie.
3. Zostaniesz poproszony o zalogowanie się do FactoryTalk; zaloguj się jako użytkownik FTAdmin
jak poniżej.
Dlaczego podczas uruchamiania RSLogix 5000 wymagane jest logowanie?
Są dwie przyczyny, które powodują, że podczas uruchamiania RSLogix 5000
proszony jesteś o zalogowanie. Wraz z pojawieniem się wersji 20, RSLogix 5000
uwzględnia serwis FactoryTalk Security, co nie oznacza, że sterownik jest domyślnie
chroniony.
Druga przyczyna, w tym ćwiczeniu deaktywowaliśmy funkcję Single-Sign-On (SSO)
w FactoryTalk Directory. To oznacza, że przy każdej próbie uruchomienia aplikacji
opartej na technologii FactoryTalk zostaniesz poproszony o dane uwierzytelniające.
Więcej informacji w Pomocy FactoryTalk Administration Console pod hasłem SSO.
5/20/2014
Page 7 of 55
4. Z głównego menu przejdź do Communications  Who Active.
5. Pojawi się okno Who Active.
5/20/2014
Page 8 of 55
6. Nawiguj w drzewie AB_ETHIP-1  172.16.xx.2  Backplane  03, 1756-L75 LOGIX5575,
gdzie xx to numer twojego stanowiska, zaznacz procesor w slocie 03 i kliknij na Set Project
Path. jak poniżej.
7. Teraz kliknij na Download.
5/20/2014
Page 9 of 55
8. Kliknij Download.
Uwaga: Zwróć uwagę na czerwoną ramkę. Jest to informacja, że sterownik
aktualnie nie jest zabezpieczony (No Protection).
9. Po pomyślnym wgraniu aplikacji, przełącz sterownik w tryb Run z menu sterownika.
5/20/2014
Page 10 of 55
10. Będąc w trybie online z jednostką procesora, kliknij Save.
11. Zostaniesz zapytany o zapisanie aktualnych wartosci zmiennych ze sterownika, wybierz Yes.
12. Z menu sterownika kliknij na przycisk
(otworzysz okno ustawień procesora – Controller
Properties) i przejdź do zakładki Date/Time.
13. Kliknij na przycisk Set Date, Time, and Zone from Workstation (zaznaczony na czerwono
powyżej). Ustawisz aktualną datę i czas z komputera w sterowniku.
14. Kliknij OK.
15. Zapisz i ZAMKNIJ RSLogix 5000. Na pytanie o zapisanie aktualnych wartości odpowiedz Yes.
5/20/2014
Page 11 of 55
Ćwiczenie 1: FactoryTalk Directory Security
W sekcji przedstawiamy strukturę i funkcjonalność usługi FactoryTalk Directory. W kolejnych
krokach poznasz możliwości konsoli administratorskiej FactoryTalk, w której zaimplementujesz
model bezpieczeństwa. Na końcu zapoznasz się z serwisem FactoryTalk Security.
Po ukończeniu ćwiczenia:

Zrozumiesz, czym jest FactoryTalk Directory, jego kluczowe funkcje i opcje w systemie
sterowania

Zrozumiesz, w jaki sposób użytkownicy/grupy powiązani są z zasobami (FactoryTalk &
Windows-Linked Users & Groups)

Poznasz obsługę dostępu do zasobów systemowych i produktowych

Dowiesz się jak skonfigurować FactoryTalk Security po pierwszej instalacji
Struktura FactoryTalk Directory
FactoryTalk Directory jest integralną częścią serwisu bezpieczeństwa FactoryTalk Security.
Poświęćmy klika minut na zapoznanie się ze jego strukturą i komponentami.
1. Uruchom FactoryTalk Administration Console:

Kliknij dwa razy na poniższej ikonce, którą znajdziesz na pulpicie:
LUB
Kliknij na przycisk Start i wybierz Programs  Rockwell Software  FactoryTalk
Administration Console.
2. Zaznacz opcję Network i kliknij OK.
5/20/2014
Page 12 of 55
3. Zostaniesz poproszony o zalogowanie do platformy FactoryTalk, wypełnij pola tak jak na
obrazku:
4. Poniższy obrazek ilustruje strukturę FactoryTalk Network Directory. Zauważ, że w katalogu
widoczna jest aplikacja InstantFizz, która będzie nam pomocna w trakcie ćwiczenia.
Uwaga: Zwróć uwagę na czerwone zaznaczenie na powyższym obrazku: Network (THIS
COMPUTER) – to oznacza, że serwis FactoryTalk Network Directory (którym będziemy
zarządzać) uruchomiony jest na tym komputerze. Jest tak z powodu uproszczenia tego
ćwiczenia. W praktyce FactoryTalk Directory uruchamiany jest na oddzielnym serwerze.
5/20/2014
Page 13 of 55
5. Rozwiń drzewo katalogu System i przyjrzyj się jego podkatalogom.
Pamiętaj, że informacje dotyczące
ustawień praw dla poszczególnych
produktów rodziny FT przechowywane są
w FactoryTalk Directory. Kilka przykładów
zarządzania uprawnieniami znajdziesz w
poniższych ćwiczeniach.
Nazwy Komputerów partycypujących w
FactoryTalk Directory.
Grupy użytkowników FactoryTalk definiujemy w
FactoryTalk Directory. Możesz tworzyć własne
nowe grupy lub korzystać z istniejących już
grup Windows User Groups.
Użytkownicy FactoryTalk tworzeni są w
FactoryTalk Directory. Mogą to być
użytkownicy wbudowani lub bazujący na
kontach Windows Users
5/20/2014
Page 14 of 55
Jak działa FactoryTalk Security
FactoryTalk Security odpowiada, przede wszystkim. na pytania: kto, co i gdzie? Przy instalacji
większości oprogramowania Rockwell Automation (np. RSLogix 5000 lub FactoryTalk View Site
Edition) wymagana jest wcześniejsza instalacja komponentów/serwisów platformy FactoryTalk
Services Platform™. Jej częścią jest między innymi technologia FactoryTalk Security.
Domyślnie po instalacji FTSP użytkownik pracuje jako administrator i ma dostęp do wszystkich
zasobów objętych platformą. Z tego powodu powinniśmy podjąć odpowiednie kroki zwiększające
bezpieczeństwo naszego systemu, odpowiadając na pytania:
Kto: Kto jest użytkownikiem / grupą FactoryTalk, któremu zezwolisz / zabronisz na dostęp
Co: Co jest zasobem lub akcją (sterownik, komputer, program), któremu chcesz nadać
odpowiednie prawa dostępu
Gdzie: Gdzie jest komputer lub grupa komputerów, którym chcesz nadać odpowiednie prawa.
5/20/2014
Page 15 of 55
Kopia zapasowa konfiguracji FactoryTalk Directory
Przed wprowadzeniem większych zmian w FactoryTalk Network Directory zalecane jest stworzenie
kopii ustawień FactoryTalk Directory. W poniższych krokach przedstawiona jest procedura backupu
FTD.
1. W oknie FactoryTalk Administration Console, kliknij Prawym Przyciskiem myszy na Network
(THIS COMPUTER) i wybierz Backup …
2. Kliknij OK, aby stworzyć kopie zapasową (backup) ustawień:
Edytowalna nazwa archiwum,
domyślnie z unikalnym kodem
znakowym
Lokalizacja pliku z kopią
zapasową
Pozostaw puste pola, jeżeli nie
chcesz szyfrować backupu
Uwaga: Jeżeli zapomnisz hasła nie będziesz w stanie odszyfrować archiwum !!!
5/20/2014
Page 16 of 55
3. Kliknij OK, aby potwierdzić zakończenie procedury backup.
Stworzyłeś właśnie kopię zapasową ustawień FactoryTalk Directory Network wraz z ustawieniami
dostępu/bezpieczeństwa (security configuration).
Włączanie & Konfiguracja FactoryTalk Security
Domyślnie w FactoryTalk Network Directory, wszyscy użytkownicy należący do grupy Windows
Administrators na dowolnym komputerze podłączonym do FactoryTalk Network Directory mają
pełen dostęp do zasobów rozproszonego systemu FactoryTalk.
W pierwszej kolejności usuniemy grupę Windows Administrators z grupy FactoryTalk
Administrators.
Ważne
:
Przed usunięciem grupy Windows Administrators upewnij się, że stworzyłeś
wcześniej w FactoryTalk użytkownika na prawach administratora, żeby nie
zablokować sobie dostępu do platformy po usunięciu grupy !!! W naszym przypadku
taki użytkownik został już stworzony pod nazwą Ftadmin
Usunięcie grupy “Window Administrators”
1. Zlokalizuj grupę Windows Administrators w katalogu Users and Groups. Kliknij PP Myszy na
Windows Administrators i wybierz Delete.
Usuwamy grupę Windows Administrators z
katalogu, aby wzmocnić bezpieczeństwo i
zabezpieczyć się przed
przypadkowymi/nieautoryzowanymi
użytkownikami, którzy mogliby dostać się
tylko z powodu tego, że należą do
Windows Administrators.
5/20/2014
Page 17 of 55
2. Kliknij Yes, aby potwierdzić akcję usunięcia.
Modyfikacja praw dostępu dla “All Users”
Aby uruchomić obsługę bezpieczeństwa musimy wprowadzić kilka dodatkowych zmian w
FactoryTalk Directory. Domyślne ustawienia platformy FactoryTalk Services CPR9 dają
użytkownikom pełne prawa dostępu do wszystkich akcji i zasobów. To oznacza, że nowododany
użytkownik będzie miał te same prawa co Administrator FactoryTalk. Aby zmienić domyślne
ustawienia musimy usunąć zezwolenia na dostęp dla grupy All Users
Usunięcie praw dostępu dla wszystkich użytkowników „All Users”
1. Kliknij PP Myszy na Network i wybierz Security.
W tym momencie
bezpieczeństwo sprowadza
się do decydowania, którzy
użytkownicy mogą się
logować do FactoryTalk
Directory, nie zwracając
uwagi na ich wewnętrze
prawa w obrębie FT.
Od tej chwili będziemy
zwracać uwagę na każdego
użytkownika / grupę
indywidualnie.
5/20/2014
Page 18 of 55
2. W zakładce Permissions, zaznacz grupę All Users aby przekonać się, że grupa ma przypisane
pełne uprawnienia w FactoryTalk Directory.
Upewnij się, żę
zaznaczyłeś grupę All
User.
Domyślnie platforma
FactoryTalk Services zezwala
grupie All Users na wszystkie
akcje
3. Wybierz grupę All Users i kliknij na przycisk Remove, aby usunąć domyślny, pełen dostęp dla
tej grupy.
Remove vs. Deny:
Jeżeli zabronisz „Deny‟ akcji dla użytkownika lub grupy, zakaz ten nadpisze wszystkie
zezwolenia „Allow‟ dot. tej akcji istniejące w innych miejscach. Przykład, Adam należy do
grupy Maintenance i Operator, g. Operator ma zakaz łączenia się z procesorem online, ale
Maintenance ma już zezwolenie, w sumie Adam nie będzie miał dostępu do tej akcji, „deny‟
ma priorytet nad „allow‟.
5/20/2014
Page 19 of 55
4. OK wprowadzi powyższe zmiany.
5/20/2014
Page 20 of 55
Modyfikacja funkcji praw dostępu dla grupy “All Users”
Ostatnim krokiem będzie usunięcie praw grupy All Users z Reguł Produktów (Product Polices).
Czym są Product Policies: Product policies to opcje bezpieczeństwa w obrębie
konkretnych produktów/oprogramowania FactoryTalk. Jedynie użytkownicy z
wymaganym poziomem bezpieczeństwa mogą korzystać z chronionych
funkcjonalności danego produktu.
1. Rozwiń FactoryTalk Directory i odnajdź folder Product Policies. Kliknij PP Myszy na Product
Polices i wybierz Configure Feature Security.
5/20/2014
Page 21 of 55
2. Zaznacz grupę All Users i kliknij na przycisk Remove, żeby usunąć grupę z listy dostępowej.
Kliknij OK, aby kontynuować.
3. Opuść okno FactoryTalk Administration Console.
Prawa dla katalogu FactoryTalk zostały pomyślnie zmodyfikowane do implementacji podstawowego
modelu bezpieczeństwa. W następnej sekcji przetestujemy czy nasz “zablokowany” użytkownik
(jako dowolny użytkownik) ma faktycznie ograniczony dostęp do systemu sterowania.
Weryfikacja ustawień reguł dostępu dla produktów
Sprawdźmy czy użytkownik Gordon Denied ma teraz zabroniony dostęp do systemu.
1. Uruchom aplikację InstantFizz_Controller.ACD środowiska RSLogix 5000. Zaloguj się jako
użytkownik gordon.denied.
5/20/2014
Page 22 of 55
2. Zauważ, że RSLogix 5000 pozwolił Gordon Denied na otworzenie projektu
InstantFizz_Controller.ACD, pomimo, że należy do grupy, która ma zakaz do wszystkich
zasobów i akcji, w tym do otwierania projektów RSLogix5000. Przeanalizuj poniższe zrzuty i
zamknij RSLogix 5000.
System Security bazuje na
zasobach, w tym przypadku
blokujemy dostęp do otwierania
wszystkich projektów RSLogix 5000
w tym zasobu
InstantFizz_Controller.ACD. Jednak
ten projekt nie został skonfigurowany
do uwzględniania zabezpieczeń.
Nie mniej jednak, jeżeli Gordon
będzie chciał założyć nowy projekt,
nie dostanie pozwolenia na to.
Opcja Security dodana do
oprogramowania wpływa na sposób
działania natychmiastowo. Dopóki masz
zakaz, nie możesz stworzyć nowego
projektu.
5/20/2014
Page 23 of 55
Zabezpieczanie projektów RSLogix5000 i Sterowników
Powyższa sekcja przedstawia jak zabezpieczyć zarówno plik projektu RSLogix 5000 sterownika
jak i jego sprzętowe zasoby przez FactoryTalk Directory.
Łączenie Projektu RSLogix 5000 z FactoryTalk Directory
Jako przykład ochrony zasobów w modelu FactoryTalk Security połączymy z FTD nasz projekt
RSLogix 5000.
1. Jeżeli RSLogix 5000 jest nadal otwarty, zamknij go (otworzymy go ponownie logując się innym
użytkownikiem).
2. Otwórz z pulpitu plik projektu InstantFizz_Controller.ACD klikając na nim dwukrotnie:
3. Po pojawieniu się okna uwierzytelnienia zaloguj się jako kylee.engineer.
4. Kliknij na przycisku Controller Properties (czerwone zaznaczenie):
5. Z okna Controller Properties wybierz zakładkę Security
5/20/2014
Page 24 of 55
Zauważysz, że pole Security Authority jest niedostępne. Pole jest pod nadzorem FactoryTalk
Security. Obecny użytkownik nie posiada uprawnień do edycji, zmienimy to przez konsolę
FactoryTalk Administration Console.
6. Opuść otwarty RSLogix 5000, przełącz się na FactoryTalk Administration Console.
5/20/2014
Page 25 of 55
7. Kliknij dwa razy na Feature Security w drzewie System  Policies  RSLogix 5000. Pojawi
się poniższe okienko:
8. Wybierz przycisk
w Controller: Secure (w polu na niebiesko).
9. W oknie konfiguracyjnym (1) kliknij na Add, następnie (2) wybierz grupę Engineers w oknie
Select User and Computer, i (3) kliknij OK aby zamknąć okno Select User and Computer.
5/20/2014
Page 26 of 55
10. Upewnij się, że grupa Engineers ma zaznaczony atrybut zezwolenia (Allow) dla tej opcji, kliknij
OK, aby zamknąć okno Configure Securable Action.
11. Po dodaniu uprawnień dla nowej grupy Engineers kliknij na OK w oknie Feature Security
Property, aby wprowadzić zmiany.
12. Zminimalizuj konsolę FactoryTalk Administration i przełącz się z powrotem na RSLogix 5000.
13. Z głównego menu RSLogix 5000 wybierz Tools  Security  Refresh Privileges. Przejdź
do okna Controller Properties, zauważysz, że pole Security Authority stało się aktywne.
14. Z rozwijanej listy wybierz FactoryTalk Security (NIS05-SECURITY) i wybierz OK.
5/20/2014
Page 27 of 55
NIS05-SECURITY to nazwa naszego
serwera directory i security.
Wraz z wersją 20 RSLogix 5000 v20
ochrona zasobów jest łączona z
konkretnym serwerem FactoryTalk
Directory & Security Server.
Zaznaczenie pola Use only the
selected Security Authority for
Authentication and Authorization
generuje unikalny klucz
identyfikacyjny (GUID) dla FactoryTalk
Security i projektu.
15. Pojawi się okienko informujące o tym, że włączenie ochrony projektu wiąże się z utratą
pewnych praw. Potwierdź klikając Yes.
16. Z menu Controller wybierz Download, aby wgrać aplikację do sterownika.
17. W oknie dialogowym Download zauważ, że wgrywamy program do sterownika, który obecnie
nie jest chroniony (niebieskie zaznaczenie), kliknij Download.
5/20/2014
Page 28 of 55
18. Po ukończeniu transferu projektu zostaniesz zapytany o powrót sterownika do trybu pracy
Remote Run, kliknij Yes.
19. Kliknij zapisz (save)
.
20. Zamknij RSLogix 5000.
21. Po zamknięciu RSLogix 5000 otwórz tą aplikację ponownie, tym razem logując się jako
zabroniony użytkownik - Gordon.
5/20/2014
Page 29 of 55
22. Zaloguj się jako gordon.denied z hasłem rockwell.
23. Powinieneś otrzymać informację, że nie masz autoryzacji/uprawnień do otworzenia tego
projektu.
24. Kliknij OK aby zamknąć.
5/20/2014
Page 30 of 55
Łączenie Zasobów Fizycznego Sterownika z serwerem FactoryTalk Security
Na poziomie FactoryTalk Security zabezpieczymy zasoby sterownika przed nieautoryzowanymi
połączeniami.
1. W konsoli FactoryTalk Administration Console, kliknij PP Myszy na moduł sterownika 3, 1756L75 LOGIX5575, InstantFizz_Controller w drzewie Networks and Devices 
Workstation,NIS05-SECURITY  AB_ETHIP1,Ethernet  172.16.xx.2  Backplane i
wybierz Properties…
2. W polu Logical name wybierz z listy nowoutworzony obiekt i kliknij OK. Obiekt ‟Logical name‟
został utworzony w RSLogix 5000 po dodaniu projektu do FactoryTalk Security.
Wskazówka: Logical Name może zostać przypisane tak jak powyżej lub do innego
określonego obszaru, np. do obszaru sterownika HMI.
Zabezpieczyliśmy już katalog, projekt i fizyczny sterownik.
5/20/2014
Page 31 of 55
Weryfikacja zabezpieczeń Zasobów Sterownika.
Zaloguj się do RSLogix 5000 jako operator Lianne, i przekonaj się, że nie masz możliwości
wgrania projektu do zasobów sterownika InstantFizz_Controller.
1. Jeszcze raz, z konsoli FactoryTalk Administration Console, kliknij PP Myszy na 1756-L75
LOGIX5575,InstantFizz_Controller (w drzewie przejdź do Networks and Devices 
Workstation,NIS05-SECURITY  172.16.xx.2  Backplane) i wybierz Security…
2. W oknie Security Settings zaznacz grupę Operators, rozwiń prawa dostępu RSLogix 5000 i
znajdź Project: Download.
3. Zauważ, że w zasobach sterownika InstantFizz_Controller grupa operatorów nie może
wgrywać programów do tego sterownika. Kliknij Cancel, aby zamknąć okno i Close - zamknąć
FactoryTalk Administration Console.
4. Otwórz plik InstantFizz_Controller.ACD z pulpitu.
5. Zaloguj się jako lianne.operator z hasłem rockwell.
5/20/2014
Page 32 of 55
6. Rozwijając przycisk Controller zauważysz, że opcja Download jest nieaktywna, co oznacza, że
nie masz możliwości/prawa do wgrania projektu do procesora.
7. Zamknij RSLogix 5000
5/20/2014
Page 33 of 55
Konfiguracja Unikalnego Identyfikatora w RSLogix 5000 i FactoryTalk Security
Poniższa sekcja wyjaśnia koncepcje łączenia projektu RSLogix 5000 z serwerem FactoryTalk
Security przez klucz (GUID). Jeżeli konsola zamknięta, otwórz ją ponownie jako ftadmin.
1. W konsoli FactoryTalk Administration Console, z menu Tools wybierz FactoryTalk Security
Authority Identifier…
2. W oknie Security Authority Identifier kliknij Backup, aby zachować kopię naszego aktualnego ID.
3. W oknie zmień tylko lokalizację pliku na pulpit (C:\Users\Labuser\Desktop) i kliknij OK.
5/20/2014
Page 34 of 55
Uwaga: Przed łączeniem aplikacji RSLogix 5000 z FactoryTalk Security przez
unikalny ID musisz stworzyć backup FactoryTalk Directory, dla bezpieczeństwa, w
razie uszkodzenia FT i utraty ID.
4. Po ukończeniu tworzenia kopii zamknij okno Security Authority Identifier.
5. Otwórz projekt RSLogix 5000 InstantFizz_Controller z pulpitu.
6. Zaloguj się jako kylee.engineer z hasłem rockwell.
7. Kliknij na przycisk Controller Properties:
5/20/2014
Page 35 of 55
8. W Controller Properties wybierz zakładkę Security i zaznacz Use only the selected Security
Authority for Authentication and Authorization. Zatwierdź klikając OK.
9. Z menu sterownika (Controller) wybierz Download.
5/20/2014
Page 36 of 55
10. W oknie Download zauważ, że sterownik jest już pod opieką serwera bezpieczeństwa,
kliknij Download.
11. Przełącz sterownik w tryb Remote Run klikając Yes.
12. Zapisz projekt - kliknij na
.
Powracając do FactoryTalk Administration Console zasymulujemy awarię serwera FactoryTalk
Security przez zmianę unikalnego identyfikatora serwera FactoryTalk Directory and Security.
1. Upewnij się, że RSLogix 5000 jest zamknięty.
2. Przejdź do FactoryTalk Administration Console, powinniśmy być już zalogowani jako Ftadmin.
3. Jeżeli okno Security Authority nie jest otwarte, otwórz je z głównego menu Tools 
FactoryTalk Security Authority Identifier…
5/20/2014
Page 37 of 55
4. Kliknij na przycisk Generate ID.
5. Porównaj stary i nowy ID i zamknij okna, FactoryTalk Administration Console pozostaw otwarty.
6. Otwórz RSLogix 5000 jeszcze raz jako członek grupy inżynierów, Kylee.
5/20/2014
Page 38 of 55
8. Powinieneś zobaczyć poniższe okno informujące o braku zgodności security ID między
serwerem FactoryTalk Security, a projektem sterownika – nie możesz otworzyć projektu
RSLogix 5000.
9. Kliknij OK
Rada: Jeżeli nie zaznaczylibyśmy pola „Use only the …‟ w oknie Security RSLogix i
zmienilibyśmy unikalny ID serwera FactoryTalk Security, wtedy otworzylibyśmy
projekt, ponieważ nazwa serwera FactoryTalk Security pozostałaby bez zmian.
Jeżeli jednak zmienisz nazwę serwera chroniącego projekt i sterownik, zobaczysz
identyczny komunikat z odmową dostępu do chronionego projektu.
Udało się zasymulować błąd serwera FactoryTalk Security, teraz spróbujemy odzyskać
funkcjonalność przez odzyskanie kopii zapasowej.
1. Powróćmy do FactoryTalk Administration Console, powinieneś być zalogowany jako Ftadmin,
kliknij PP Myszy na Network (THIS COMPUTER) i wybierz Restore…
5/20/2014
Page 39 of 55
2. Wybierz plik backupu z pulpitu desktop (C:\Users\Labuser\Desktop\Network-3xxx.bak)
3. Kliknij Next.
4. Zaznacz opcję Restore security authority identifier only, aby odzyskać tylko ID.
5. Kliknij Finish. Po zakończeniu możesz zamknąć FactoryTalk Administration Console.
6. Otwórz RSLogix 5000.
5/20/2014
Page 40 of 55
8. Po odzyskaniu ID możemy zgodnie z przypisanymi prawami poruszać się po RSLogix 5000.
9. Pozostaw RSLogix 5000 otwarty.
Koniec ćwiczenia 1.
5/20/2014
Page 41 of 55
Ćwiczenie 2: Bezpieczeństwo poziomu RSLogix
5000
Ćwiczenie pokazuje jak wykorzystać funkcje RSLogix 5000 do zwiększenia bezpieczeństwa twojej
aplikacji i systemu:

Jak wykorzystać „Change Detection‟, czyli wykrywanie zmian w RSLogix 5000 v20 i
FactoryTalk AssetCentre.
Funkcja Detekcji Zmian ControlLogix v20
Detekcja zmian (Change detection) jest nową funkcją RSLogix 5000 wprowadzoną w wersji 20.
Umożliwia ona rejestrowanie zmian wprowadzanych przez użytkownika w sterowniku. Zmiany
logowane są do pliku w procesorze i przesyłane również w postaci wiadomości audytowych do
Audit Loga środowiska FactoryTalk AssetCentre.
Ćwiczenie sprowadza się do konfiguracji i symulacji nowej funkcji w RSLogix oraz obserwowania jej
wyników w środowisku AssetCentre.
Konfiguracja AssetCentre
1. Uruchom FactoryTalk AssetCentre Client przez ikonkę na pulpicie.
2. Zaloguj się jako adam.maintenance z hasłem rockwell.
5/20/2014
Page 42 of 55
3. W oknie Asset View kliknij na Design.
4. Zlokalizuj zasób PACK_1-InstantFizz, kliknij PP Myszy i wybierz Properties.
5/20/2014
Page 43 of 55
5. Chcemy zmodyfikować adres IP w polu Addressing Info.
6. Zaznacz pole Addressing Info i kliknij na przycisk wyszukiwania (browse).
5/20/2014
Page 44 of 55
7. Wyszukaj AB_ETHIP-1, Ethernet  172.16.xx.2 Backplane, zaznacz 01, 1756-L75
LOGIX5575 i wybierz Select.
8. Poprawna ścieżka została wprowadzona, kliknij OK i zamknij AssetCentre.
5/20/2014
Page 45 of 55
RSLogix 5000 Konfiguracja Detekcji Zmian
1. W RSLogix 5000, zalogowany jako Kylee.engineer, otwórz okno Controller Properties
(klikając na przycisku
).
2. W oknie Controller Properties wybierz zakładkę Security.
3. Pole Change Detection powinno wyglądać podobnie jak poniżej:
Uwaga: “Changes to Detect” czyli detekcja zmian zaznaczona na niebiesko,
wyrażana jest kodem heksadecymalnym, który wykorzystywany jest do wyliczenia
wartości sprawdzającej (audit value).
4. Kliknij przycisk Configure. Pojawi się lista zdarzeń/zmian na procesorze, które mogą być
kontrolowane przez sterownik.
5. Odznacz Remote mode change:
5/20/2014
Page 46 of 55
6. Kliknij OK, aby zamknąć “Configure Changes to Detect”.
7. Zauważ, że zmieniłeś kod “Changes to Detect” :
8. Kliknij OK.
9. Z menu sterownika, wybierz Download, aby wgrać zmiany do sterownika.
5/20/2014
Page 47 of 55
10. Wybierz przycisk Download.
`
11. Jeżeli sterownik nie jest trybie RUN, przełącz go w tryb RUN i pozostań Online.
12. Otwórz Controller Properties ponownie, klikając na przycisku
, wybierz zakładkę Security,
i zauważ zmiany w polu Audit Value. Ta unikalna wartość nosi nazwę CCUID. Zapamiętaj
wartość Audit Value.
13. Kliknij OK, aby zamknąć okno Controller Properties.
14. Używając kluczyka (na fizycznym module procesora) przełącz procesor z trybu REM na PROG,
potem z PROG na RUN, następnie z powrotem na REM.
15. Otwórz ponownie okno Controller Properties (przycisk
zauważ, że wartość Audit Value jest inna niż poprzednio.
5/20/2014
), wybierz zakładkę Security i
Page 48 of 55
To jest sygnalizacja faktu, że wykryto zmiany w pracy systemu zarejestrowane przez log zmian
sterownika.
16. Nawiązując do tego, że deaktywowaliśmy (w punkcie 5) opcję Remote Mode Changes (Zmiany
w tryb zdalnym, REM) w konfiguracji Change Detection, w RSLogix zmień tryb pracy procesora
z Run Mode na Program Mode tak jak poniżej. Po pojawieniu się okna potwierdzającego kliknij
Yes.
Ponieważ zdalna zmiana trybu pracy procesora nie jest rejestrowana przez “Change Detection”
wartość audit value się nie zmieni.
17. Zmień ponownie tryb pracy procesora na Run Mode w Controller Menu.
Funkcja Detekcji Zmian w RSLogix 5000 monitoruje wszystkie zmiany w sterowniku. W trybie
online możesz dodać kolejne programy, instrukcje Add-On, typy danych… , zauważysz przy tym
zmianę wartości Audit Value.
5/20/2014
Page 49 of 55
FactoryTalk AssetCentre v4.10 Detekcja Zmian z RSLogix 5000 v20.
1. Opuść otwarty RSLogix 5000
2. Uruchom z pulpitu FactoryTalk AssetCentre Client.
3. Zaloguj się jako adam.maintenance z hasłem rockwell.
4. Po pełnym otwarciu klienta, z górnego menu znajdź i kliknij na przycisku Logs.
5. W module logów wybierz logi audytu – kliknij na Audit Logs.
6. Powinieneś widzieć kilka nowych wpisów dotyczących zmiany pozycji kluczyka (kliknij ew.
ikonkę Refresh):
Zwróć uwagę na źródło (Source) jako Logix5000 Controller z którego kolekcjonowane są
informacje i nazwę (Resource) projektu w sterowniku InstantFizz_Controller. Te dane w
ogromnym stopniu upraszczają tworzenie raportów dot. zmian na procesorze.
Informacje audytu są rejestrowane przez FactoryTalk AssetCentre bezpośrednio ze sterownika,
5/20/2014
Page 50 of 55
RSLogix 5000 nie pośredniczy w wymianie tych informacji. Powyższa funkcja dostępna jest w
wersji 4.10 FactoryTalk AssetCentre i v20.00 procesorów ControlLogix.
W szczegółach wiadomości można odnaleźć informacje dotyczące poprzedniej i aktualnej wartości
trybu pracy sterownika.
7. Kliknij na przycisk Schedules
.
8. Kliknij na harmonogramie InstantFizz_Pack1 ControlLogix Change Monitor
(Uważaj, żeby nie odznaczyć tego harmonogramu, ma być aktywny)
9. W dolnej części okna wybierz opcję View by Asset Type.
10. Kliknij na PACK_1 – InstantFizz (Uważaj ponownie, aby go nie deaktywować)
5/20/2014
Page 51 of 55
11. Powinieneś widzieć poniższą ramkę.
12. Zauważ, że harmonogram dotyczy rejestracji zmian na sterowniku w AssetCentre Audit log.
13. Przełącz kluczyk procesora w tryb PROG, potem w RUN, następnie z powrotem w REM
obserwując zmiany, zauważysz zmianę jego stanu (Change Detect in Process) co oznacza,
że AssetCentre wykrył zmiany w sterowniku.
14. Przełącz się z powrotem do zakładki Logs i kliknij na przycisku Event Log
15. Kliknij dwukrotnie na spinaczu
poniższej wiadomości:
16. Kliknij na przycisk View, aby podejrzeć raport zmian.
17. Zamknij raport PDF.
18. Z górnego menu wybierz przycisk wyszukiwania (Searches)
5/20/2014
Page 52 of 55
19. Zaznacz raport PACK_1 ControlLogix Changes i kliknij na Run Now.
20. Analizując ten raport, widzisz wszystkie zmiany na sterowniku dokonane dzisiaj.
Zwróć uwagę na szczegółowy opis w polu Message dotyczący różnych akcji wykonanych dzisiaj na
projekcie.
21. Zamknij FactoryTalk AssetCentre.
5/20/2014
Page 53 of 55
V20 Zarzadzanie dostępem na poziomie kasety
W sterownikach 1756-L6x, 1756-L7x ControlLogix i 1768-L4x CompactLogix w wersji v20 możliwe
jest ograniczenie dostępu do zasobów na poziomie gniazd (slot) kasety sterownika
Uwaga: dotyczy bezpieczeństwa slotów a nie modułów, które są w nich lokowane.
1. W RSLogix 5000, zalogowany jako Kylee.engineer, upewnij się, że jesteś online ze
sterownikiem.
2. Wejdź do okna Controller Properties klikając na
.
3. Przejdź do zakładki Security.
4. Zaznacz Restrict Communications Except Through Selected Slots.
5. Wybierz Slot 1 jak powyżej, zezwalając na komunikację z procesorem tylko przez ten port.
Uwaga: powyższa konfiguracja uniemożliwi komunikację przez wbudowane porty
sterownika, połączenie z procesorem będzie możliwe tylko przez Ethernet w slocie 1.
6. Kliknij OK, aby zamknąć okno Controller Properties.
7. Zapisz projekt RSLogix 5000 (odpowiedz Yes na pytanie o zapisanie wartości zmiennych).
8. Rozłącz się - przejdź offline.
5/20/2014
Page 54 of 55
9. Niestety nie możemy przetestować powyżej funkcji, ponieważ nie posiadamy wolnych
gniazd na dodatkowe karty komunikacyjne.
Jeżeli bardzo Ci zależy na przetestowaniu tej funkcjonalności skontaktuj się z instruktorem.
Koniec ćwiczenia.
5/20/2014
Page 55 of 55
Dodatek: Zabezpieczenie Kodu Źródłowego przy
użyciu Klucza Sprzętowego
Użyjemy klucza sprzętowego WIBU do zabezpieczenia kodu programu stworzonego RSLogix
5000.
About WiBu Systems
There used to be a time when the access to the source code was regulated simply by
passwords. Passwords are pretty feeble tools by themselves and human nature adds a further
layer of instability. Passwords can in fact be weakly built up and thus easily tracked down,
shared intentionally or naively with unauthorized users, and since they are time unlimited in
usage the access is provided permanently. Embedded systems that took great investment to
see the light and the related processes they are meant at controlling with extreme accuracy do
deserve the best possible protection. If a password can still be an easy entry system for the
deputed programmers to edit the source code of an application, the password should then be
saved in a robust container. This two-factor authentication approach represents an effective way
to restrict the access to sensitive data to only those that are fully entitled.
The RSLogix 5000 from Rockwell is a design and configuration software that streamlines
engineering with outstanding ease of use. Its integrated control system ensures a single and
scalable development environment to original equipment manufacturers, system integrators and
end users.
Rockwell controllers are programmed through source files that are visible from RSLogix 5000.
With the new technology implemented by Wibu-Systems, passwords are no longer saved
unencrypted on a local machine, but rather in a CmContainer from Wibu-Systems. The
CmContainer can either be a CmDongle (a tamperproof hardware device embedding a smart
card controller) or a CmActLicense (a software license file).
An application, the CSPP (namely CodeMeter Source Protection Provider), is then
complementing the offering; it has been specifically designed for enterprises to centrally
manage passwords. A librarian can grant user‟s rights from his CSPP Manager; passwords are
transferred through the CodeMeter License Central installed on the corporate server to the field
engineer; the latter has the CSPP Client running and interfacing with the RSLogix 5000, and
can enjoy the rights assigned to him for the specific time and functions they have been set for.
5/20/2014
Page 56 of 55
Password storage and management is thus turned into a sturdy solution featuring not just the most
robust saving technology, but also strong authentication capability and remote password handling,
including email update of the complete dongle contents. Moreover all main functionalities that are
typical of Wibu-Systems have been implemented, from expiration date setting to usage counters as
an alternative to traditional perpetual licensing mechanisms. And to top it off, a CmDongle with
Local Storage is backward compatible to all Rockwell source protection keys already in the field by
providing a secure storage mechanism for the traditional password file.
The productivity optimization rendered by the Logix architecture through RSLogix 5000 is now
guaranteed to deliver world-class capabilities for all disciplines, from process to safety to motion,
unaffected by any involuntary or fraudulent modifications. And original equipment manufacturers
can fully capitalize on their own intellectual property development efforts now that the hackers‟ life
has been made much more complicated.
5/20/2014
Page 57 of 55
How to use the WiBu key
1. Open CodeMeter Control Center by clicking icon
in the right bottom of your taskbar.
The CodeMeter Control Center is the interface between the user and the CodeMeter
Runtime Server. It allows you to configure the attached CmSticks, e.g. change password or
update the firmware. The CodeMeter Control Center has to be started if an application like
CM Password Manager requests the input of the CodeMeter Password. On Windows the
CodeMeter Control Center is started automatically when the user logs on. It can be found in
the tray icon next to the clock.
2. Insert the CmStick/M in your computer.
The CmStick/M is the hardware of the CodeMeter system. There is a chip built in that holds
the licenses of the CodeMeter System. This chip contains several encryption algorithms
which ensure a secure online shopping and a secure protection of the software.
The CmStick/M contains also some flash memory. So you can store data on it like a normal
USB memory stick, of course with additional CodeMeter functionality.
3. Connect the CmStick to the image by selecting VM, Removable Devices, WIBU-Systems
CodeMeter-Stick M and then click on Connect.
5/20/2014
Page 58 of 55
4. The CmStick/M should appear in CodeMeter Control Center. If it doesn‟t appear call your
instructor.
5. We configured the CmStick already with 2 users and some keys. Developer and a Field
Engineer. To see the configuration of the CmStick click on WebAdmin.
5/20/2014
Page 59 of 55
6. In the CodeMeter WebAdmin, select Licences.
The CodeMeter Web Administrator (WebAdmin) allows you an easy view on the CodeMeter system. Additionally
you have a lot of configuration possibilities. The WebAdmin is implemented as webserver and is available, when
the CodeMeter Runtime Server is running. By default the WebAdmin can also be reached from other computers.
5/20/2014
Page 60 of 55
7. On this page you can see the users (Developer and Field Engineer) and keys that are
assigned to them.
Developer has 3 keys assigned to it. Every key can be limited in use. We‟ve configured that
these keys can be used 9999 times. After this usage the keys are not valid anymore. The
expiration time is set till the end of 2013. After this time the keys are again not valid
anymore.
The Field Engineer has 2 keys. He doesn‟t have AOI Key 1. If you check the expiration time
of AOI Key 2, you see that it‟s expired.
8. The CSPP (CodeMeter Source Protection Provider) is designed for enterprises to centrally
manage passwords. A librarian can grant user‟s rights from his CSPP Manager; passwords
are transferred through the CodeMeter License Central installed on the corporate server to
the field engineer; the latter has the CSPPEE Client running and interfacing with the
RSLogix 5000, and can enjoy the rights assigned to him for the specific time and functions
they have been set for.
5/20/2014
Page 61 of 55
9. We are not going to configure users and passwords but next steps show some screenshots
of how users and passwords are created in the CSPPEE Manager.
10. In Manage Source Keys the librarian defines the keys.
11. In Manage SK Groups the librarian can define users.
5/20/2014
Page 62 of 55
12. In the screenshots below you see the configuration of users that we used for this lab.
Allow Configure Source Protection: if checked this will allow the user to configure source
protection.
Allow Cut-Copy Protected Content: if checked the user canuse cut/copy features in
protected code.
13. After the users and password are configured the last step is to put these users and keys on
a CmStick. In the screenshot below you see how you can create tickets that allows you to
put keys on the CmStick via the License Central.
5/20/2014
Page 63 of 55
14. Double click on CSPPEE Client icon
on the desktop.
The CSPPEE Client is an interface between the RSLogix 5000 and the CmStick.
15. Select an available Source Key Group (user) and launch RSLogix 5000.
Note: If you would have multiple versions of RSLogix 5000 you can select the version of
RSLogix 5000 that you want to use.
5/20/2014
Page 64 of 55
16. You will be asked to Log On to FactoryTalk; at this point we are going to login as the
Ftadmin user with password rockwell. Click on OK.
17. Click on File and Open.
18. Browse to the sample code folder that is automatically created when installing RSLogix
5000.
5/20/2014
Page 65 of 55
19. Select Add_On_Instructions_Samples.ACD and click on Open.
20. This project contains a bunch of sample AOIs that can be used in your projects. The
engineering is done by Rockwell and if it fits your needs you just copy it to your project and
use it. You will win time in programming your project.
5/20/2014
Page 66 of 55
21. In the menu bar select Tools, Security and Configure Source Protection.
22. The Source Protection Configuration window will appear with a pop up asking you if you
want to specify the source key file. Click No on this pop up.
Note: If you want to use source code protection you need to create a SK.DAT file that
contains the passwords. This file needs to be removed from its location to lock to code. After
removing you need to find a secure way to store this file.
23. Instead of using the SK.DAT file we are going to secure the code with passwords provided
by the CmStick. Close the Source Protection Configuration window.
5/20/2014
Page 67 of 55
24. Go back to the CSPPEE Client.
Make sure that the Developer is selected and press Choose Source Key Group.
25. The passwords from the group Developer are copied to the instance of RSLogix 5000.
The green text tells you that 3 keys are copied.
5/20/2014
Page 68 of 55
26. In RSLogix 5000, open the Source Protection Configuration again. You can see that there
is a source key provider.
27. Let‟s lock the first AOI with AOI Key 1. Select AOI BSEL and press Protect.
28. If you press the dropdown list you can see the 3 passwords that are available for this user.
Select AOI Key 1 and press OK.
5/20/2014
Page 69 of 55
29. Do the same for AOIs DeltaT and InsetionSortDINT. But use the different AOI Keys like the
screenshot below.
The 3 AOIs are now protected by 3 different passwords.
30. Go back to CSPPEE Client and remove the source keys.
31. In CSPPEE Client you can see that the keys are removed.
5/20/2014
Page 70 of 55
32. Go back to RSLogix 5000 and check if the AOIs are source protected.
33. We just locked some AOI with passwords that where created by a librarian. The password
itself is not visible to the user. Only the name of the password can be seen by the user.
34. Now let‟s use the passwords from the Field Engineer. Go back to CSPPEE Client and
select Field Engineer and press Choose Source Key Group.
35. The keys from the Field Engineer are copied to the instance of RSLogix 5000. As you can
remember there where 2 keys assigned for this user AOI Key 2 and AOI Key 3. AOI Key 2
was outdated and as you can see in screenshot below this key is not copied to RSLogix
5000. This means that we only would be able to see the source code of the AOI that is
protected with AOI Key 3.
5/20/2014
Page 71 of 55
36. Go back to RSLogix 5000. As you can see only AOI InsertionSortDINT is available for
viewing.
37. Also notice that the Field Engineer can‟t protect or unprotect AOIs or routines.
38. The reason is that this feature was disabled for the Field Engineer in CSPPEE Manager.
39. Try also to Copy or Cut code in AOI InsertionSortDINT. This feature is also disabled for the
Field Engineer.
40. Remove the CmStick and check the Source Protection Configuration. You will see that all
the AOIs are locked.
5/20/2014
Page 72 of 55

FactoryTalk Directory Security

Transkrypt

Podobne dokumenty

Strona wyświetli wyniki wyszukiwania. Kliknij na link.