W&T collega
Adattatori per TCP/IP, Ethernet, RS-232, RS-485, USB, 20 mA, Fibra ottica di vetro e plastica, http, SNMP, OPC, Modbus TCP, I/O digitale, I/O analogico, ISA, PCI
Conoscenze di base:

Importanti regole del firewall

Alla configurazione di Microwall W&T


Queste regole firewall standard vi aiutano ad implementare tipici casi di applicazione dei Microwall.

Per semplicità partiamo dalla seguente configurazione.

Al segmento di rete isolato viene assegnato l’indirizzo di rete 10.10.20.0/24 La rete circostate riceve l’indirizzo di rete 10.10.10.0/24.

L’apparecchio sull’isola, nelle regole successive, sempre l’indirizzo IP 10.10.20.20, l’apparecchio nella rete circostante presenta l’indirizzo IP 10.10.10.10.


[+][-] Accesso ai file dal computer isolato su un Fileserver (TCP/IP)

Abilitazione accesso ai file Windows TCP/IP
L’accesso ai file avviene tramite protocollo SMB. A tal proposito l’host isolato deve stabilire un collegamento TCP con la porta 445 del server file. Se l’accesso avviene direttamente tramite l’indirizzo IP del File server, questa regola è sufficiente.
Rete isolata TCP Rete circostante
IP: 10.10.20.20
Porta: any
TCP direzione destra IP 10.10.10.10
Porta: 445


[+][-] Accesso ai file dal computer isolato su un Fileserver (NetBIOS)

Se anche computer di controllo più vecchi, per esempio basati su Windows XP - dovessero accedere alla rete Windows, devono ammettere, oltre alla porta TCP 445, anche il protocollo di trasporto NetBIOS basato sulla sessione sulla porta 139/TCP.

Si prega di tenere presente che queste vecchie versioni di sistema operativo non sono sicure!

Regola 1: Abilitazione del servizione di sessione NetBIOS
Permettere il trasporto dati attraverso il servizio di sessione orientato al collegamento.
Rete isolata TCP Rete circostante
IP: 10.10.20.20
Porta: any
TCP direzione destra IP 10.10.10.10
Porta: 139
Regola 2: Abilitazione dell’accesso al file
Stabilire un collegamento TCP alla porta 445 del server del file.
Rete isolata TCP Rete circostante
IP: 10.10.20.20
Porta: any
TCP direzione destra IP 10.10.10.10
Porta: 445


[+][-] Autorizzare risoluzione nome tramite DNS

Risolvere nome host tramite DNS
Mediante Domain Name System (DNS) ricevete l’indirizzo IP di un computer, che viene attivato tramite il nome del computer. In questo caso si tratta di un breve scambio di dati tramite UDP.
Rete isolata UDP Rete circostante
IP: 10.10.20.20
Ammettere direzione di ritorno: si
UDP direzione destra IP 10.10.10.10
Porta: 53


[+][-] Ricevere l’orario attuale attraverso la rete (NTP)

Aggiornamenti sull’orario con (S)NTP tramite UDP
I server del tempo forniscono l’orario attuale tramite Simple Network Time Protocol (SNTP) o il Net Time Protocol (NTP).
Rete isolata UDP Rete circostante
IP: 10.10.20.20
Ammettere direzione di ritorno: si
UDP direzione destra IP 10.10.10.10
Porta: 123


[+][-] Accesso ad un’interfaccia web nella rete isola

Ammettere HTTP non criptato
Per l’accesso a siti internet non criptati in genere è necessario aprire la porta TCP 80.
Rete isolata TCP Rete circostante
IP: 10.10.20.20
Porta: 80
TCP Direzione sinistra IP 10.10.10.10
Porta: any
(In alternativa): Ammettere HTTPS criptati
Per l’accesso a siti internet criptati in genere è necessario aprire la porta TCP 443.
Rete isolata TCP Rete circostante
IP: 10.10.20.20
Porta: 443
TCP Direzione sinistra IP 10.10.10.10
Porta: any


[+][-] Invio di e-mail dalla rete isolata

Per le seguenti regole si ritiene che gli indirizzi IP dei mail server siano conosciuti.

Inviare e-mail tramite SMTP (con/senza StartTLS)
Invio di e-mail protetto da StartTLS e non criptato tramite SMTP.
Rete isolata TCP Rete circostante
IP: 10.10.20.20
Porta: any
TCP direzione destra IP 10.10.10.10
Porta: 587
(In alternativa): Inviare e-mail tramite SMTPS
Invio di e-mail criptato tramite SMTPS.
Rete isolata TCP Rete circostante
IP: 10.10.20.20
Porta: any
TCP direzione destra IP 10.10.10.10
Porta: 465


[+][-] Accedere alle e-mail tramite IMAP dall’isola

Accesso a conti e-mail tramite IMAP (con/senza StartTLS)
Accedere ad account e-mail dall’isola - non criptati o protetto mediante StartTLS.
Rete isolata TCP Rete circostante
IP: 10.10.20.20
Porta: any
TCP direzione destra IP 10.10.10.10
Porta: 142
(In alternativa): Accesso ad account e-mail tramite IMAPs (con/senza StartTLS)
Accedere ad account e-mail dall’isola, protezione TLS.
Rete isolata TCP Rete circostante
IP: 10.10.20.20
Porta: any
TCP direzione destra IP 10.10.10.10
Porta: 992


[+][-] Inviare dall’isola, da una trappola SNMP

Trappola SNMP non criptata dall’isola
Rete isolata UDP Rete circostante
IP: 10.10.20.20
Permettere direzione di ritorno: no
TCP direzione destra IP 10.10.10.10
Porta: 162


[+][-] Polling SNMP dall’esterno

Polling SNMP non criptato da parte di un manager al di fuori dell’isola
Un manager SNMP può accedere all’isola per interrogare valori nel processo di polling.
Rete isolata UDP Rete circostante
IP: 10.10.20.20
Permettere direzione di ritorno: si
SNMP: si
UDP Direzione sinistra IP 10.10.10.10
Porta: 161


[+][-] Accedere a un apparecchio isolato tramite Secure Sell

Collegamento SSH con l’isola
Con una sessione terminale potete controllare un computer dell’isola.
Rete isolata TCP Rete circostante
IP: 10.10.20.20
Porta: 22
TCP Direzione sinistra IP 10.10.10.10
Porta: any


[+][-] Comunicazione IoT tramite broker MQTT

Il collegamento MQTT è un protocollo standard per l’Internet delle cose.
MQTT è un protocollo standard per l’Internet delle cose. Mediante un broker MQTT è possibile scambiarsi informazioni anche al di là dell’isola.
Rete isolata TCP Rete circostante
IP: 10.10.20.20
Porta: any
TCP direzione destra IP 10.10.10.10
Porta: 1883


[+][-] Interrogare banca dati MySQL sull’isola

Stabilire collegamento con server di banche dati sull’isola
Se viene interrogato un server di banca dati sull’isola, è necessario abilitare la porta TCP 3306.
Rete isolata TCP Rete circostante
IP: 10.10.20.20
Porta: 3306
TCP Direzione sinistra IP 10.10.10.10
Porta: any


[+][-] W&T - consentire modalità box-2-box (Web-IO digitale 4.0)

Collegamento con slave box-2-box sull’isola
Per stabilire un collegamento box-2-box con un apparecchio isolato, dovete utilizzare una delle due porte slave box-2-box.
Rete isolata TCP Rete circostante
IP: 10.10.20.20
Porta: 49157, 49158
TCP Direzione sinistra IP 10.10.10.10
Porta: any


[+][-] W&T - consentire accesso OPC (Web-IO digitale 4.0)

Abilitare accesso per il server OPC W& T
Per rilevare apparecchi isola nel server OPC W&T, dovete abilitare la porta TCP 49159.
Rete isolata TCP Rete circostante
IP: 10.10.20.20
Porta: 49159
TCP Direzione sinistra IP 10.10.10.10
Porta: any


[+][-] Consentire protocollo ASCII W&T (Web-IO digitale 4.0)

Consentire accesso tramite protocollo ASCII W&T
Scambiando semplici stringhe di comando è possibile p. es. leggere input e counter di Web-IO, oppure fissare output.
Rete isolata TCP Rete circostante
IP: 10.10.20.20
Porta: 42280
TCP Direzione sinistra IP 10.10.10.10
Porta: any


[+][-] Consentire protocollo binario W&T

Accesso a server binario nel segmento isola
La modalità binaria W&T permette molteplici collegamenti TCP tra gli apparecchi.
Rete isolata TCP Rete circostante
IP: 10.10.20.20
Porta: 49153 - 49156
TCP Direzione sinistra IP 10.10.10.10
Porta: any




  • La pratica val più della grammatica!

    Siamo lieti di mettere a vostra disposizione gratuitamente un microwall per il periodo di quattro settimane.

  • Thiel

    Thomas Clever
    t.clever@wut.de

Potete contattare telefonicamente i nostri tecnici al numero +49 202/2680-110 (Lun-Ven. 8-17)