IT-säkerhet

Som alltid då man kopplar upp sig mot internet, måste man ha med sig säkerhetsaspekten. En grundregel är att alltid ha en brandvägg mellan alla DUCar och internet.

KTC:s DUCar kommunicerar på ett antal olika sätt, och vart och ett har sina säkerhetsaspekter.

Modbus

Modbus är ett välkänt och helt oskyddat protokoll. Modbus får absolut inte exponeras öppet mot internet.

Modbus-funktionen är per default inte aktiv, och utgör i det läget ingen risk. Måste vid behov aktiveras (inställning i CS-objektet).

SRDlink över TCP

Det finns många anläggningar där ute där man valt att exponera SRDlink mot nätet. Detta protokoll är tillräckligt okänt för att man oftast ska klara sig ändå.

Detta är inget KTC rekommenderar! Systemet är då sårbart för överlastattacker, och för den som kommer på protokollet.

SRDlink över XMPP

Detta sätt att kommunicera kräver ingen öppning av brandväggen, bara att man tillåter utgående trafik till den xmpp-server som används (t ex xmpp.ktc.se). Trafiken är krypterad enligt AES128, och kan betraktas som säker.

Undantag: En del äldre produkter har XMPP som inte är krypterad. Detta gäller SRD5301, COM1111-1400, i vissa fall RCU1101.

Webserver

Vissa av våra inbyggda produkter har inbyggd webserver. Det är en enkel webserver, med icke krypterad kommunikation. Ska bara användas i skyddade miljöer.

Rekommendation

Beroende på kravbild och driftfall.

• Enklaste lösningen är en standard brandvägg och XMPP. Rekommenderas om det passar applikationen.
• För övriga konfigurationer, ta hjälp at IT-kunniga och bygg ett skyddat (ev. virtuellt) nätverk.