Kontrola dostępu do kodu i własności intelektualnej w Zintegrowanej Architekturze

Transkrypt

1 Kontrola dostępu do kodu i własności intelektualnej w Zintegrowanej Architekturze V2

2

3

4

5 Kontrola dostępu i własności intelektualnej w Zintegrowanej Architekturze O ĆWICZENIU 4 Użytkownicy FactoryTalk 4 NARZĘDZIA 6 WGRANIE PIERWSZEGO PROJEKTU RSLOGIX 5000 PROJECT DO STEROWNIKA 7 STRUKTURA FACTORYTALK DIRECTORY 12 JAK DZIAŁA FACTORYTALK SECURITY 15 KOPIA ZAPASOWA KONFIGURACJI FACTORYTALK DIRECTORY 16 WŁĄCZANIE & KONFIGURACJA FACTORYTALK SECURITY 17 Usunięcie grupy Window Administrators 17 Modyfikacja praw dostępu dla All Users 18 Weryfikacja ustawień reguł dostępu dla produktów 22 ZABEZPIECZANIE PROJEKTÓW RSLOGIX5000 I STEROWNIKÓW 24 Łączenie Projektu RSLogix 5000 z FactoryTalk Directory 24 Łączenie Zasobów Fizycznego Sterownika z serwerem FactoryTalk Security 31 Konfiguracja Unikalnego Identyfikatora w RSLogix 5000 i FactoryTalk Security 34 FUNKCJA DETEKCJI ZMIAN CONTROLLOGIX V20 42 Konfiguracja AssetCentre 42 RSLogix 5000 Konfiguracja Detekcji Zmian 46 FactoryTalk AssetCentre v4.10 Detekcja Zmian z RSLogix 5000 v V20 ZARZADZANIE DOSTĘPEM NA POZIOMIE KASETY 54 ABOUT WIBU SYSTEMS 56 HOW TO USE THE WIBU KEY 58 5/20/2014 Page 3 of 55

6 Zanim zaczniesz O Ćwiczeniu Dowiedz się jak chronić sterowniki PAC serii ControlLogix przed nieautoryzowanym dostępem używając nowoczesnej technologii FactoryTalk Security. Ćwiczenia w praktyczny sposób pokazują jak zabezpieczać własność intelektualną i kod jako wartość samą w sobie, na poziomie oprogramowania i zasobów sterownika. W kolejnych krokach poznasz możliwości serwisu FactoryTalk Security, opcje bezpieczeństwa RSLogix 5000, wykorzystanie oprogramowania zarządzającego zasobami FactoryTalk AssetCentre. Ćwiczenia podstawowe zajmą około 60 minut. Użytkownicy FactoryTalk Użytkownicy FactoryTalk w tym ćwiczeniu mogą być użyci jedynie do logowania do platformy FactoryTalk, nie są to użytkownicy systemu Windows. Nie mniej jednak, jest możliwość łączenia kont / grup Windows i Microsoft Active Directory z FactoryTalk. W tym ćwiczeniu będziemy korzystali z poniższych użytkowników FT: User Name Full Name Password Group Membership lianne.operator Lianne Operator rockwell Operators adam.maintenance Adam Maintenance rockwell Maintenance gordon.denied Gordon Denied rockwell No Access kylee.engineer Kylee Engineer rockwell Engineers bruce.supervisor Bruce Supervisor rockwell Supervisors** Ftadmin FactoryTalk Administrative User rockwell Administrators ** This user and group are created in an Extra Task of this lab 5/20/2014 Page 4 of 55

7

8 Narzędzia Wymagane oprogramowanie VMWare Workstation v8.0.2 FactoryTalk Services Platform v (CPR 9 SR 5) FactoryTalk View Site Edition v6.10 (CPR 9 SR 4) RSLinx Enterprise v (CPR 9 SR 5) RSSecurity Emulator 2.50 (CPR 9 SR 5) RSLogix 5000 v20.01 (CPR 9 SR 5) RSLogix 500 v (CPR 9 SR 3) RSLinx Classic v2.59 (CPR 9 SR 5) FactoryTalk AssetCentre v4.10 (CPR 9 SR 5) Microsoft SQL Server 2008 R2 Sprzęt 1756-A4 ControlLogix Chassis 1756-EN2T(R) Ethernet Bridge (Slot 1) 1756-L75 ControlLogix PLC (Slot 3) Pliki potrzebne do wykonania ćwiczenia VMWare image files for the HOTT 2012 Security Lab virtual machines InstantFizz.ACD project file for RSLogix5000 (Stored in FactoryTalk AssetCentre Archive within image) InstantFizz_HMI project files for FactoryTalk View SE v6.10 (Stored in FactoryTalk AssetCentre Archive within image) 5/20/2014 Page 6 of 55

9 Wgranie pierwszego projektu RSLogix 5000 Project do sterownika W pierwszym kroku upewnimy się, że w procesorze jest właściwy projekt wgrywając go. 1. Upewnij się, że moduł Ethernet 1756-EN2TR posiada właściwy adres IP: xx.2, gdzie xx to numer twojego stanowiska/stacji (od10 to 22). 2. Uruchom projekt InstantFizz_Controller.ACD środowiska RSLogix 5000 klikając dwukrotnie na poniższą ikonę na pulpicie. 3. Zostaniesz poproszony o zalogowanie się do FactoryTalk; zaloguj się jako użytkownik FTAdmin jak poniżej. Dlaczego podczas uruchamiania RSLogix 5000 wymagane jest logowanie? Są dwie przyczyny, które powodują, że podczas uruchamiania RSLogix 5000 proszony jesteś o zalogowanie. Wraz z pojawieniem się wersji 20, RSLogix 5000 uwzględnia serwis FactoryTalk Security, co nie oznacza, że sterownik jest domyślnie chroniony. Druga przyczyna, w tym ćwiczeniu deaktywowaliśmy funkcję Single-Sign-On (SSO) w FactoryTalk Directory. To oznacza, że przy każdej próbie uruchomienia aplikacji opartej na technologii FactoryTalk zostaniesz poproszony o dane uwierzytelniające. Więcej informacji w Pomocy FactoryTalk Administration Console pod hasłem SSO. 5/20/2014 Page 7 of 55

10 4. Z głównego menu przejdź do Communications Who Active. 5. Pojawi się okno Who Active. 5/20/2014 Page 8 of 55

11 6. Nawiguj w drzewie AB_ETHIP xx.2 Backplane 03, 1756-L75 LOGIX5575, gdzie xx to numer twojego stanowiska, zaznacz procesor w slocie 03 i kliknij na Set Project Path. jak poniżej. 7. Teraz kliknij na Download. 5/20/2014 Page 9 of 55

12 8. Kliknij Download. Uwaga: Zwróć uwagę na czerwoną ramkę. Jest to informacja, że sterownik aktualnie nie jest zabezpieczony (No Protection). 9. Po pomyślnym wgraniu aplikacji, przełącz sterownik w tryb Run z menu sterownika. 5/20/2014 Page 10 of 55

13 10. Będąc w trybie online z jednostką procesora, kliknij Save. 11. Zostaniesz zapytany o zapisanie aktualnych wartosci zmiennych ze sterownika, wybierz Yes. 12. Z menu sterownika kliknij na przycisk (otworzysz okno ustawień procesora Controller Properties) i przejdź do zakładki Date/Time. 13. Kliknij na przycisk Set Date, Time, and Zone from Workstation (zaznaczony na czerwono powyżej). Ustawisz aktualną datę i czas z komputera w sterowniku. 14. Kliknij OK. 15. Zapisz i ZAMKNIJ RSLogix Na pytanie o zapisanie aktualnych wartości odpowiedz Yes. 5/20/2014 Page 11 of 55

14 Ćwiczenie 1: FactoryTalk Directory Security W sekcji przedstawiamy strukturę i funkcjonalność usługi FactoryTalk Directory. W kolejnych krokach poznasz możliwości konsoli administratorskiej FactoryTalk, w której zaimplementujesz model bezpieczeństwa. Na końcu zapoznasz się z serwisem FactoryTalk Security. Po ukończeniu ćwiczenia: Zrozumiesz, czym jest FactoryTalk Directory, jego kluczowe funkcje i opcje w systemie sterowania Zrozumiesz, w jaki sposób użytkownicy/grupy powiązani są z zasobami (FactoryTalk & Windows-Linked Users & Groups) Poznasz obsługę dostępu do zasobów systemowych i produktowych Dowiesz się jak skonfigurować FactoryTalk Security po pierwszej instalacji Struktura FactoryTalk Directory FactoryTalk Directory jest integralną częścią serwisu bezpieczeństwa FactoryTalk Security. Poświęćmy klika minut na zapoznanie się ze jego strukturą i komponentami. 1. Uruchom FactoryTalk Administration Console: Kliknij dwa razy na poniższej ikonce, którą znajdziesz na pulpicie: LUB Kliknij na przycisk Start i wybierz Programs Rockwell Software FactoryTalk Administration Console. 2. Zaznacz opcję Network i kliknij OK. 5/20/2014 Page 12 of 55

15 3. Zostaniesz poproszony o zalogowanie do platformy FactoryTalk, wypełnij pola tak jak na obrazku: 4. Poniższy obrazek ilustruje strukturę FactoryTalk Network Directory. Zauważ, że w katalogu widoczna jest aplikacja InstantFizz, która będzie nam pomocna w trakcie ćwiczenia. Uwaga: Zwróć uwagę na czerwone zaznaczenie na powyższym obrazku: Network (THIS COMPUTER) to oznacza, że serwis FactoryTalk Network Directory (którym będziemy zarządzać) uruchomiony jest na tym komputerze. Jest tak z powodu uproszczenia tego ćwiczenia. W praktyce FactoryTalk Directory uruchamiany jest na oddzielnym serwerze. 5/20/2014 Page 13 of 55

16 5. Rozwiń drzewo katalogu System i przyjrzyj się jego podkatalogom. Pamiętaj, że informacje dotyczące ustawień praw dla poszczególnych produktów rodziny FT przechowywane są w FactoryTalk Directory. Kilka przykładów zarządzania uprawnieniami znajdziesz w poniższych ćwiczeniach. Nazwy Komputerów partycypujących w FactoryTalk Directory. Grupy użytkowników FactoryTalk definiujemy w FactoryTalk Directory. Możesz tworzyć własne nowe grupy lub korzystać z istniejących już grup Windows User Groups. Użytkownicy FactoryTalk tworzeni są w FactoryTalk Directory. Mogą to być użytkownicy wbudowani lub bazujący na kontach Windows Users 5/20/2014 Page 14 of 55

17 Jak działa FactoryTalk Security FactoryTalk Security odpowiada, przede wszystkim. na pytania: kto, co i gdzie? Przy instalacji większości oprogramowania Rockwell Automation (np. RSLogix 5000 lub FactoryTalk View Site Edition) wymagana jest wcześniejsza instalacja komponentów/serwisów platformy FactoryTalk Services Platform. Jej częścią jest między innymi technologia FactoryTalk Security. Domyślnie po instalacji FTSP użytkownik pracuje jako administrator i ma dostęp do wszystkich zasobów objętych platformą. Z tego powodu powinniśmy podjąć odpowiednie kroki zwiększające bezpieczeństwo naszego systemu, odpowiadając na pytania: Kto: Kto jest użytkownikiem / grupą FactoryTalk, któremu zezwolisz / zabronisz na dostęp Co: Co jest zasobem lub akcją (sterownik, komputer, program), któremu chcesz nadać odpowiednie prawa dostępu Gdzie: Gdzie jest komputer lub grupa komputerów, którym chcesz nadać odpowiednie prawa. 5/20/2014 Page 15 of 55

18 Kopia zapasowa konfiguracji FactoryTalk Directory Przed wprowadzeniem większych zmian w FactoryTalk Network Directory zalecane jest stworzenie kopii ustawień FactoryTalk Directory. W poniższych krokach przedstawiona jest procedura backupu FTD. 1. W oknie FactoryTalk Administration Console, kliknij Prawym Przyciskiem myszy na Network (THIS COMPUTER) i wybierz Backup 2. Kliknij OK, aby stworzyć kopie zapasową (backup) ustawień: Edytowalna nazwa archiwum, domyślnie z unikalnym kodem znakowym Lokalizacja pliku z kopią zapasową Pozostaw puste pola, jeżeli nie chcesz szyfrować backupu Uwaga: Jeżeli zapomnisz hasła nie będziesz w stanie odszyfrować archiwum!!! 5/20/2014 Page 16 of 55

19 3. Kliknij OK, aby potwierdzić zakończenie procedury backup. Stworzyłeś właśnie kopię zapasową ustawień FactoryTalk Directory Network wraz z ustawieniami dostępu/bezpieczeństwa (security configuration). Włączanie & Konfiguracja FactoryTalk Security Domyślnie w FactoryTalk Network Directory, wszyscy użytkownicy należący do grupy Windows Administrators na dowolnym komputerze podłączonym do FactoryTalk Network Directory mają pełen dostęp do zasobów rozproszonego systemu FactoryTalk. W pierwszej kolejności usuniemy grupę Windows Administrators z grupy FactoryTalk Administrators. Ważne : Przed usunięciem grupy Windows Administrators upewnij się, że stworzyłeś wcześniej w FactoryTalk użytkownika na prawach administratora, żeby nie zablokować sobie dostępu do platformy po usunięciu grupy!!! W naszym przypadku taki użytkownik został już stworzony pod nazwą Ftadmin Usunięcie grupy Window Administrators 1. Zlokalizuj grupę Windows Administrators w katalogu Users and Groups. Kliknij PP Myszy na Windows Administrators i wybierz Delete. Usuwamy grupę Windows Administrators z katalogu, aby wzmocnić bezpieczeństwo i zabezpieczyć się przed przypadkowymi/nieautoryzowanymi użytkownikami, którzy mogliby dostać się tylko z powodu tego, że należą do Windows Administrators. 5/20/2014 Page 17 of 55

20 2. Kliknij Yes, aby potwierdzić akcję usunięcia. Modyfikacja praw dostępu dla All Users Aby uruchomić obsługę bezpieczeństwa musimy wprowadzić kilka dodatkowych zmian w FactoryTalk Directory. Domyślne ustawienia platformy FactoryTalk Services CPR9 dają użytkownikom pełne prawa dostępu do wszystkich akcji i zasobów. To oznacza, że nowododany użytkownik będzie miał te same prawa co Administrator FactoryTalk. Aby zmienić domyślne ustawienia musimy usunąć zezwolenia na dostęp dla grupy All Users Usunięcie praw dostępu dla wszystkich użytkowników All Users 1. Kliknij PP Myszy na Network i wybierz Security. W tym momencie bezpieczeństwo sprowadza się do decydowania, którzy użytkownicy mogą się logować do FactoryTalk Directory, nie zwracając uwagi na ich wewnętrze prawa w obrębie FT. Od tej chwili będziemy zwracać uwagę na każdego użytkownika / grupę indywidualnie. 5/20/2014 Page 18 of 55

21 2. W zakładce Permissions, zaznacz grupę All Users aby przekonać się, że grupa ma przypisane pełne uprawnienia w FactoryTalk Directory. Upewnij się, żę zaznaczyłeś grupę All User. Domyślnie platforma FactoryTalk Services zezwala grupie All Users na wszystkie akcje 3. Wybierz grupę All Users i kliknij na przycisk Remove, aby usunąć domyślny, pełen dostęp dla tej grupy. Remove vs. Deny: Jeżeli zabronisz Deny akcji dla użytkownika lub grupy, zakaz ten nadpisze wszystkie zezwolenia Allow dot. tej akcji istniejące w innych miejscach. Przykład, Adam należy do grupy Maintenance i Operator, g. Operator ma zakaz łączenia się z procesorem online, ale Maintenance ma już zezwolenie, w sumie Adam nie będzie miał dostępu do tej akcji, deny ma priorytet nad allow. 5/20/2014 Page 19 of 55

22 4. OK wprowadzi powyższe zmiany. 5/20/2014 Page 20 of 55

23 Modyfikacja funkcji praw dostępu dla grupy All Users Ostatnim krokiem będzie usunięcie praw grupy All Users z Reguł Produktów (Product Polices). Czym są Product Policies: Product policies to opcje bezpieczeństwa w obrębie konkretnych produktów/oprogramowania FactoryTalk. Jedynie użytkownicy z wymaganym poziomem bezpieczeństwa mogą korzystać z chronionych funkcjonalności danego produktu. 1. Rozwiń FactoryTalk Directory i odnajdź folder Product Policies. Kliknij PP Myszy na Product Polices i wybierz Configure Feature Security. 5/20/2014 Page 21 of 55

24 2. Zaznacz grupę All Users i kliknij na przycisk Remove, żeby usunąć grupę z listy dostępowej. Kliknij OK, aby kontynuować. 3. Opuść okno FactoryTalk Administration Console. Prawa dla katalogu FactoryTalk zostały pomyślnie zmodyfikowane do implementacji podstawowego modelu bezpieczeństwa. W następnej sekcji przetestujemy czy nasz zablokowany użytkownik (jako dowolny użytkownik) ma faktycznie ograniczony dostęp do systemu sterowania. Weryfikacja ustawień reguł dostępu dla produktów Sprawdźmy czy użytkownik Gordon Denied ma teraz zabroniony dostęp do systemu. 1. Uruchom aplikację InstantFizz_Controller.ACD środowiska RSLogix Zaloguj się jako użytkownik gordon.denied. 5/20/2014 Page 22 of 55

25 2. Zauważ, że RSLogix 5000 pozwolił Gordon Denied na otworzenie projektu InstantFizz_Controller.ACD, pomimo, że należy do grupy, która ma zakaz do wszystkich zasobów i akcji, w tym do otwierania projektów RSLogix5000. Przeanalizuj poniższe zrzuty i zamknij RSLogix System Security bazuje na zasobach, w tym przypadku blokujemy dostęp do otwierania wszystkich projektów RSLogix 5000 w tym zasobu InstantFizz_Controller.ACD. Jednak ten projekt nie został skonfigurowany do uwzględniania zabezpieczeń. Nie mniej jednak, jeżeli Gordon będzie chciał założyć nowy projekt, nie dostanie pozwolenia na to. Opcja Security dodana do oprogramowania wpływa na sposób działania natychmiastowo. Dopóki masz zakaz, nie możesz stworzyć nowego projektu. 5/20/2014 Page 23 of 55

26 Zabezpieczanie projektów RSLogix5000 i Sterowników Powyższa sekcja przedstawia jak zabezpieczyć zarówno plik projektu RSLogix 5000 sterownika jak i jego sprzętowe zasoby przez FactoryTalk Directory. Łączenie Projektu RSLogix 5000 z FactoryTalk Directory Jako przykład ochrony zasobów w modelu FactoryTalk Security połączymy z FTD nasz projekt RSLogix Jeżeli RSLogix 5000 jest nadal otwarty, zamknij go (otworzymy go ponownie logując się innym użytkownikiem). 2. Otwórz z pulpitu plik projektu InstantFizz_Controller.ACD klikając na nim dwukrotnie: 3. Po pojawieniu się okna uwierzytelnienia zaloguj się jako kylee.engineer. 4. Kliknij na przycisku Controller Properties (czerwone zaznaczenie): 5. Z okna Controller Properties wybierz zakładkę Security 5/20/2014 Page 24 of 55

27 Zauważysz, że pole Security Authority jest niedostępne. Pole jest pod nadzorem FactoryTalk Security. Obecny użytkownik nie posiada uprawnień do edycji, zmienimy to przez konsolę FactoryTalk Administration Console. 6. Opuść otwarty RSLogix 5000, przełącz się na FactoryTalk Administration Console. 5/20/2014 Page 25 of 55

28 7. Kliknij dwa razy na Feature Security w drzewie System Policies RSLogix Pojawi się poniższe okienko: 8. Wybierz przycisk w Controller: Secure (w polu na niebiesko). 9. W oknie konfiguracyjnym (1) kliknij na Add, następnie (2) wybierz grupę Engineers w oknie Select User and Computer, i (3) kliknij OK aby zamknąć okno Select User and Computer. 5/20/2014 Page 26 of 55

29 10. Upewnij się, że grupa Engineers ma zaznaczony atrybut zezwolenia (Allow) dla tej opcji, kliknij OK, aby zamknąć okno Configure Securable Action. 11. Po dodaniu uprawnień dla nowej grupy Engineers kliknij na OK w oknie Feature Security Property, aby wprowadzić zmiany. 12. Zminimalizuj konsolę FactoryTalk Administration i przełącz się z powrotem na RSLogix Z głównego menu RSLogix 5000 wybierz Tools Security Refresh Privileges. Przejdź do okna Controller Properties, zauważysz, że pole Security Authority stało się aktywne. 14. Z rozwijanej listy wybierz FactoryTalk Security (NIS05-SECURITY) i wybierz OK. 5/20/2014 Page 27 of 55

30 NIS05-SECURITY to nazwa naszego serwera directory i security. Wraz z wersją 20 RSLogix 5000 v20 ochrona zasobów jest łączona z konkretnym serwerem FactoryTalk Directory & Security Server. Zaznaczenie pola Use only the selected Security Authority for Authentication and Authorization generuje unikalny klucz identyfikacyjny (GUID) dla FactoryTalk Security i projektu. 15. Pojawi się okienko informujące o tym, że włączenie ochrony projektu wiąże się z utratą pewnych praw. Potwierdź klikając Yes. 16. Z menu Controller wybierz Download, aby wgrać aplikację do sterownika. 17. W oknie dialogowym Download zauważ, że wgrywamy program do sterownika, który obecnie nie jest chroniony (niebieskie zaznaczenie), kliknij Download. 5/20/2014 Page 28 of 55

31 18. Po ukończeniu transferu projektu zostaniesz zapytany o powrót sterownika do trybu pracy Remote Run, kliknij Yes. 19. Kliknij zapisz (save). 20. Zamknij RSLogix Po zamknięciu RSLogix 5000 otwórz tą aplikację ponownie, tym razem logując się jako zabroniony użytkownik - Gordon. 5/20/2014 Page 29 of 55

32 22. Zaloguj się jako gordon.denied z hasłem rockwell. 23. Powinieneś otrzymać informację, że nie masz autoryzacji/uprawnień do otworzenia tego projektu. 24. Kliknij OK aby zamknąć. 25. Zamknij RSLogix /20/2014 Page 30 of 55

33 Łączenie Zasobów Fizycznego Sterownika z serwerem FactoryTalk Security Na poziomie FactoryTalk Security zabezpieczymy zasoby sterownika przed nieautoryzowanymi połączeniami. 1. W konsoli FactoryTalk Administration Console, kliknij PP Myszy na moduł sterownika 3, L75 LOGIX5575, InstantFizz_Controller w drzewie Networks and Devices Workstation,NIS05-SECURITY AB_ETHIP1,Ethernet xx.2 Backplane i wybierz Properties 2. W polu Logical name wybierz z listy nowoutworzony obiekt i kliknij OK. Obiekt Logical name został utworzony w RSLogix 5000 po dodaniu projektu do FactoryTalk Security. Wskazówka: Logical Name może zostać przypisane tak jak powyżej lub do innego określonego obszaru, np. do obszaru sterownika HMI. Zabezpieczyliśmy już katalog, projekt i fizyczny sterownik. 5/20/2014 Page 31 of 55

34 Weryfikacja zabezpieczeń Zasobów Sterownika. Zaloguj się do RSLogix 5000 jako operator Lianne, i przekonaj się, że nie masz możliwości wgrania projektu do zasobów sterownika InstantFizz_Controller. 1. Jeszcze raz, z konsoli FactoryTalk Administration Console, kliknij PP Myszy na 1756-L75 LOGIX5575,InstantFizz_Controller (w drzewie przejdź do Networks and Devices Workstation,NIS05-SECURITY xx.2 Backplane) i wybierz Security 2. W oknie Security Settings zaznacz grupę Operators, rozwiń prawa dostępu RSLogix 5000 i znajdź Project: Download. 3. Zauważ, że w zasobach sterownika InstantFizz_Controller grupa operatorów nie może wgrywać programów do tego sterownika. Kliknij Cancel, aby zamknąć okno i Close - zamknąć FactoryTalk Administration Console. 4. Otwórz plik InstantFizz_Controller.ACD z pulpitu. 5. Zaloguj się jako lianne.operator z hasłem rockwell. 5/20/2014 Page 32 of 55

35 6. Rozwijając przycisk Controller zauważysz, że opcja Download jest nieaktywna, co oznacza, że nie masz możliwości/prawa do wgrania projektu do procesora. 7. Zamknij RSLogix /20/2014 Page 33 of 55

36 Konfiguracja Unikalnego Identyfikatora w RSLogix 5000 i FactoryTalk Security Poniższa sekcja wyjaśnia koncepcje łączenia projektu RSLogix 5000 z serwerem FactoryTalk Security przez klucz (GUID). Jeżeli konsola zamknięta, otwórz ją ponownie jako ftadmin. 1. W konsoli FactoryTalk Administration Console, z menu Tools wybierz FactoryTalk Security Authority Identifier 2. W oknie Security Authority Identifier kliknij Backup, aby zachować kopię naszego aktualnego ID. 3. W oknie zmień tylko lokalizację pliku na pulpit (C:\Users\Labuser\Desktop) i kliknij OK. 5/20/2014 Page 34 of 55

37 Uwaga: Przed łączeniem aplikacji RSLogix 5000 z FactoryTalk Security przez unikalny ID musisz stworzyć backup FactoryTalk Directory, dla bezpieczeństwa, w razie uszkodzenia FT i utraty ID. 4. Po ukończeniu tworzenia kopii zamknij okno Security Authority Identifier. 5. Otwórz projekt RSLogix 5000 InstantFizz_Controller z pulpitu. 6. Zaloguj się jako kylee.engineer z hasłem rockwell. 7. Kliknij na przycisk Controller Properties: 5/20/2014 Page 35 of 55

38 8. W Controller Properties wybierz zakładkę Security i zaznacz Use only the selected Security Authority for Authentication and Authorization. Zatwierdź klikając OK. 9. Z menu sterownika (Controller) wybierz Download. 5/20/2014 Page 36 of 55

39 10. W oknie Download zauważ, że sterownik jest już pod opieką serwera bezpieczeństwa, kliknij Download. 11. Przełącz sterownik w tryb Remote Run klikając Yes. 12. Zapisz projekt - kliknij na. 13. Zamknij RSLogix Powracając do FactoryTalk Administration Console zasymulujemy awarię serwera FactoryTalk Security przez zmianę unikalnego identyfikatora serwera FactoryTalk Directory and Security. 1. Upewnij się, że RSLogix 5000 jest zamknięty. 2. Przejdź do FactoryTalk Administration Console, powinniśmy być już zalogowani jako Ftadmin. 3. Jeżeli okno Security Authority nie jest otwarte, otwórz je z głównego menu Tools FactoryTalk Security Authority Identifier 5/20/2014 Page 37 of 55

40 4. Kliknij na przycisk Generate ID. 5. Porównaj stary i nowy ID i zamknij okna, FactoryTalk Administration Console pozostaw otwarty. 6. Otwórz RSLogix 5000 jeszcze raz jako członek grupy inżynierów, Kylee. 7. Zaloguj się jako kylee.engineer z hasłem rockwell. 5/20/2014 Page 38 of 55

41 8. Powinieneś zobaczyć poniższe okno informujące o braku zgodności security ID między serwerem FactoryTalk Security, a projektem sterownika nie możesz otworzyć projektu RSLogix Kliknij OK 10. Zamknij RSLogix Rada: Jeżeli nie zaznaczylibyśmy pola Use only the w oknie Security RSLogix i zmienilibyśmy unikalny ID serwera FactoryTalk Security, wtedy otworzylibyśmy projekt, ponieważ nazwa serwera FactoryTalk Security pozostałaby bez zmian. Jeżeli jednak zmienisz nazwę serwera chroniącego projekt i sterownik, zobaczysz identyczny komunikat z odmową dostępu do chronionego projektu. Udało się zasymulować błąd serwera FactoryTalk Security, teraz spróbujemy odzyskać funkcjonalność przez odzyskanie kopii zapasowej. 1. Powróćmy do FactoryTalk Administration Console, powinieneś być zalogowany jako Ftadmin, kliknij PP Myszy na Network (THIS COMPUTER) i wybierz Restore 5/20/2014 Page 39 of 55

42 2. Wybierz plik backupu z pulpitu desktop (C:\Users\Labuser\Desktop\Network-3xxx.bak) 3. Kliknij Next. 4. Zaznacz opcję Restore security authority identifier only, aby odzyskać tylko ID. 5. Kliknij Finish. Po zakończeniu możesz zamknąć FactoryTalk Administration Console. 6. Otwórz RSLogix Zaloguj się jako kylee.engineer z hasłem rockwell. 5/20/2014 Page 40 of 55

43 8. Po odzyskaniu ID możemy zgodnie z przypisanymi prawami poruszać się po RSLogix Pozostaw RSLogix 5000 otwarty. Koniec ćwiczenia 1. 5/20/2014 Page 41 of 55

44 Ćwiczenie 2: Bezpieczeństwo poziomu RSLogix 5000 Ćwiczenie pokazuje jak wykorzystać funkcje RSLogix 5000 do zwiększenia bezpieczeństwa twojej aplikacji i systemu: Jak wykorzystać Change Detection, czyli wykrywanie zmian w RSLogix 5000 v20 i FactoryTalk AssetCentre. Funkcja Detekcji Zmian ControlLogix v20 Detekcja zmian (Change detection) jest nową funkcją RSLogix 5000 wprowadzoną w wersji 20. Umożliwia ona rejestrowanie zmian wprowadzanych przez użytkownika w sterowniku. Zmiany logowane są do pliku w procesorze i przesyłane również w postaci wiadomości audytowych do Audit Loga środowiska FactoryTalk AssetCentre. Ćwiczenie sprowadza się do konfiguracji i symulacji nowej funkcji w RSLogix oraz obserwowania jej wyników w środowisku AssetCentre. Konfiguracja AssetCentre 1. Uruchom FactoryTalk AssetCentre Client przez ikonkę na pulpicie. 2. Zaloguj się jako adam.maintenance z hasłem rockwell. 5/20/2014 Page 42 of 55

45 3. W oknie Asset View kliknij na Design. 4. Zlokalizuj zasób PACK_1-InstantFizz, kliknij PP Myszy i wybierz Properties. 5/20/2014 Page 43 of 55

46 5. Chcemy zmodyfikować adres IP w polu Addressing Info. 6. Zaznacz pole Addressing Info i kliknij na przycisk wyszukiwania (browse). 5/20/2014 Page 44 of 55

47 7. Wyszukaj AB_ETHIP-1, Ethernet xx.2 Backplane, zaznacz 01, 1756-L75 LOGIX5575 i wybierz Select. 8. Poprawna ścieżka została wprowadzona, kliknij OK i zamknij AssetCentre. 5/20/2014 Page 45 of 55

48 RSLogix 5000 Konfiguracja Detekcji Zmian 1. W RSLogix 5000, zalogowany jako Kylee.engineer, otwórz okno Controller Properties (klikając na przycisku ). 2. W oknie Controller Properties wybierz zakładkę Security. 3. Pole Change Detection powinno wyglądać podobnie jak poniżej: Uwaga: Changes to Detect czyli detekcja zmian zaznaczona na niebiesko, wyrażana jest kodem heksadecymalnym, który wykorzystywany jest do wyliczenia wartości sprawdzającej (audit value). 4. Kliknij przycisk Configure. Pojawi się lista zdarzeń/zmian na procesorze, które mogą być kontrolowane przez sterownik. 5. Odznacz Remote mode change: 5/20/2014 Page 46 of 55

49 6. Kliknij OK, aby zamknąć Configure Changes to Detect. 7. Zauważ, że zmieniłeś kod Changes to Detect : 8. Kliknij OK. 9. Z menu sterownika, wybierz Download, aby wgrać zmiany do sterownika. 5/20/2014 Page 47 of 55

50 10. Wybierz przycisk Download. ` 11. Jeżeli sterownik nie jest trybie RUN, przełącz go w tryb RUN i pozostań Online. 12. Otwórz Controller Properties ponownie, klikając na przycisku, wybierz zakładkę Security, i zauważ zmiany w polu Audit Value. Ta unikalna wartość nosi nazwę CCUID. Zapamiętaj wartość Audit Value. 13. Kliknij OK, aby zamknąć okno Controller Properties. 14. Używając kluczyka (na fizycznym module procesora) przełącz procesor z trybu REM na PROG, potem z PROG na RUN, następnie z powrotem na REM. 15. Otwórz ponownie okno Controller Properties (przycisk ), wybierz zakładkę Security i zauważ, że wartość Audit Value jest inna niż poprzednio. 5/20/2014 Page 48 of 55

51 To jest sygnalizacja faktu, że wykryto zmiany w pracy systemu zarejestrowane przez log zmian sterownika. 16. Nawiązując do tego, że deaktywowaliśmy (w punkcie 5) opcję Remote Mode Changes (Zmiany w tryb zdalnym, REM) w konfiguracji Change Detection, w RSLogix zmień tryb pracy procesora z Run Mode na Program Mode tak jak poniżej. Po pojawieniu się okna potwierdzającego kliknij Yes. Ponieważ zdalna zmiana trybu pracy procesora nie jest rejestrowana przez Change Detection wartość audit value się nie zmieni. 17. Zmień ponownie tryb pracy procesora na Run Mode w Controller Menu. Funkcja Detekcji Zmian w RSLogix 5000 monitoruje wszystkie zmiany w sterowniku. W trybie online możesz dodać kolejne programy, instrukcje Add-On, typy danych, zauważysz przy tym zmianę wartości Audit Value. 5/20/2014 Page 49 of 55

52 FactoryTalk AssetCentre v4.10 Detekcja Zmian z RSLogix 5000 v Opuść otwarty RSLogix Uruchom z pulpitu FactoryTalk AssetCentre Client. 3. Zaloguj się jako adam.maintenance z hasłem rockwell. 4. Po pełnym otwarciu klienta, z górnego menu znajdź i kliknij na przycisku Logs. 5. W module logów wybierz logi audytu kliknij na Audit Logs. 6. Powinieneś widzieć kilka nowych wpisów dotyczących zmiany pozycji kluczyka (kliknij ew. ikonkę Refresh): Zwróć uwagę na źródło (Source) jako Logix5000 Controller z którego kolekcjonowane są informacje i nazwę (Resource) projektu w sterowniku InstantFizz_Controller. Te dane w ogromnym stopniu upraszczają tworzenie raportów dot. zmian na procesorze. Informacje audytu są rejestrowane przez FactoryTalk AssetCentre bezpośrednio ze sterownika, 5/20/2014 Page 50 of 55

53 RSLogix 5000 nie pośredniczy w wymianie tych informacji. Powyższa funkcja dostępna jest w wersji 4.10 FactoryTalk AssetCentre i v20.00 procesorów ControlLogix. W szczegółach wiadomości można odnaleźć informacje dotyczące poprzedniej i aktualnej wartości trybu pracy sterownika. 7. Kliknij na przycisk Schedules. 8. Kliknij na harmonogramie InstantFizz_Pack1 ControlLogix Change Monitor (Uważaj, żeby nie odznaczyć tego harmonogramu, ma być aktywny) 9. W dolnej części okna wybierz opcję View by Asset Type. 10. Kliknij na PACK_1 InstantFizz (Uważaj ponownie, aby go nie deaktywować) 5/20/2014 Page 51 of 55

54 11. Powinieneś widzieć poniższą ramkę. 12. Zauważ, że harmonogram dotyczy rejestracji zmian na sterowniku w AssetCentre Audit log. 13. Przełącz kluczyk procesora w tryb PROG, potem w RUN, następnie z powrotem w REM obserwując zmiany, zauważysz zmianę jego stanu (Change Detect in Process) co oznacza, że AssetCentre wykrył zmiany w sterowniku. 14. Przełącz się z powrotem do zakładki Logs i kliknij na przycisku Event Log 15. Kliknij dwukrotnie na spinaczu poniższej wiadomości: 16. Kliknij na przycisk View, aby podejrzeć raport zmian. 17. Zamknij raport PDF. 18. Z górnego menu wybierz przycisk wyszukiwania (Searches) 5/20/2014 Page 52 of 55

55 19. Zaznacz raport PACK_1 ControlLogix Changes i kliknij na Run Now. 20. Analizując ten raport, widzisz wszystkie zmiany na sterowniku dokonane dzisiaj. Zwróć uwagę na szczegółowy opis w polu Message dotyczący różnych akcji wykonanych dzisiaj na projekcie. 21. Zamknij FactoryTalk AssetCentre. 5/20/2014 Page 53 of 55

56 V20 Zarzadzanie dostępem na poziomie kasety W sterownikach 1756-L6x, 1756-L7x ControlLogix i 1768-L4x CompactLogix w wersji v20 możliwe jest ograniczenie dostępu do zasobów na poziomie gniazd (slot) kasety sterownika Uwaga: dotyczy bezpieczeństwa slotów a nie modułów, które są w nich lokowane. 1. W RSLogix 5000, zalogowany jako Kylee.engineer, upewnij się, że jesteś online ze sterownikiem. 2. Wejdź do okna Controller Properties klikając na. 3. Przejdź do zakładki Security. 4. Zaznacz Restrict Communications Except Through Selected Slots. 5. Wybierz Slot 1 jak powyżej, zezwalając na komunikację z procesorem tylko przez ten port. Uwaga: powyższa konfiguracja uniemożliwi komunikację przez wbudowane porty sterownika, połączenie z procesorem będzie możliwe tylko przez Ethernet w slocie Kliknij OK, aby zamknąć okno Controller Properties. 7. Zapisz projekt RSLogix 5000 (odpowiedz Yes na pytanie o zapisanie wartości zmiennych). 8. Rozłącz się - przejdź offline. 5/20/2014 Page 54 of 55

57 9. Niestety nie możemy przetestować powyżej funkcji, ponieważ nie posiadamy wolnych gniazd na dodatkowe karty komunikacyjne. Jeżeli bardzo Ci zależy na przetestowaniu tej funkcjonalności skontaktuj się z instruktorem. Koniec ćwiczenia. 5/20/2014 Page 55 of 55

58 Dodatek: Zabezpieczenie Kodu Źródłowego przy użyciu Klucza Sprzętowego Użyjemy klucza sprzętowego WIBU do zabezpieczenia kodu programu stworzonego RSLogix About WiBu Systems There used to be a time when the access to the source code was regulated simply by passwords. Passwords are pretty feeble tools by themselves and human nature adds a further layer of instability. Passwords can in fact be weakly built up and thus easily tracked down, shared intentionally or naively with unauthorized users, and since they are time unlimited in usage the access is provided permanently. Embedded systems that took great investment to see the light and the related processes they are meant at controlling with extreme accuracy do deserve the best possible protection. If a password can still be an easy entry system for the deputed programmers to edit the source code of an application, the password should then be saved in a robust container. This two-factor authentication approach represents an effective way to restrict the access to sensitive data to only those that are fully entitled. The RSLogix 5000 from Rockwell is a design and configuration software that streamlines engineering with outstanding ease of use. Its integrated control system ensures a single and scalable development environment to original equipment manufacturers, system integrators and end users. Rockwell controllers are programmed through source files that are visible from RSLogix With the new technology implemented by Wibu-Systems, passwords are no longer saved unencrypted on a local machine, but rather in a CmContainer from Wibu-Systems. The CmContainer can either be a CmDongle (a tamperproof hardware device embedding a smart card controller) or a CmActLicense (a software license file). An application, the CSPP (namely CodeMeter Source Protection Provider), is then complementing the offering; it has been specifically designed for enterprises to centrally manage passwords. A librarian can grant user s rights from his CSPP Manager; passwords are transferred through the CodeMeter License Central installed on the corporate server to the field engineer; the latter has the CSPP Client running and interfacing with the RSLogix 5000, and can enjoy the rights assigned to him for the specific time and functions they have been set for. 5/20/2014 Page 56 of 55

59 Password storage and management is thus turned into a sturdy solution featuring not just the most robust saving technology, but also strong authentication capability and remote password handling, including update of the complete dongle contents. Moreover all main functionalities that are typical of Wibu-Systems have been implemented, from expiration date setting to usage counters as an alternative to traditional perpetual licensing mechanisms. And to top it off, a CmDongle with Local Storage is backward compatible to all Rockwell source protection keys already in the field by providing a secure storage mechanism for the traditional password file. The productivity optimization rendered by the Logix architecture through RSLogix 5000 is now guaranteed to deliver world-class capabilities for all disciplines, from process to safety to motion, unaffected by any involuntary or fraudulent modifications. And original equipment manufacturers can fully capitalize on their own intellectual property development efforts now that the hackers life has been made much more complicated. 5/20/2014 Page 57 of 55

60 How to use the WiBu key 1. Open CodeMeter Control Center by clicking icon in the right bottom of your taskbar. The CodeMeter Control Center is the interface between the user and the CodeMeter Runtime Server. It allows you to configure the attached CmSticks, e.g. change password or update the firmware. The CodeMeter Control Center has to be started if an application like CM Password Manager requests the input of the CodeMeter Password. On Windows the CodeMeter Control Center is started automatically when the user logs on. It can be found in the tray icon next to the clock. 2. Insert the CmStick/M in your computer. The CmStick/M is the hardware of the CodeMeter system. There is a chip built in that holds the licenses of the CodeMeter System. This chip contains several encryption algorithms which ensure a secure online shopping and a secure protection of the software. The CmStick/M contains also some flash memory. So you can store data on it like a normal USB memory stick, of course with additional CodeMeter functionality. 3. Connect the CmStick to the image by selecting VM, Removable Devices, WIBU-Systems CodeMeter-Stick M and then click on Connect. 5/20/2014 Page 58 of 55

61 4. The CmStick/M should appear in CodeMeter Control Center. If it doesn t appear call your instructor. 5. We configured the CmStick already with 2 users and some keys. Developer and a Field Engineer. To see the configuration of the CmStick click on WebAdmin. 5/20/2014 Page 59 of 55

62 6. In the CodeMeter WebAdmin, select Licences. The CodeMeter Web Administrator (WebAdmin) allows you an easy view on the CodeMeter system. Additionally you have a lot of configuration possibilities. The WebAdmin is implemented as webserver and is available, when the CodeMeter Runtime Server is running. By default the WebAdmin can also be reached from other computers. 5/20/2014 Page 60 of 55

63 7. On this page you can see the users (Developer and Field Engineer) and keys that are assigned to them. Developer has 3 keys assigned to it. Every key can be limited in use. We ve configured that these keys can be used 9999 times. After this usage the keys are not valid anymore. The expiration time is set till the end of After this time the keys are again not valid anymore. The Field Engineer has 2 keys. He doesn t have AOI Key 1. If you check the expiration time of AOI Key 2, you see that it s expired. 8. The CSPP (CodeMeter Source Protection Provider) is designed for enterprises to centrally manage passwords. A librarian can grant user s rights from his CSPP Manager; passwords are transferred through the CodeMeter License Central installed on the corporate server to the field engineer; the latter has the CSPPEE Client running and interfacing with the RSLogix 5000, and can enjoy the rights assigned to him for the specific time and functions they have been set for. 5/20/2014 Page 61 of 55

64 9. We are not going to configure users and passwords but next steps show some screenshots of how users and passwords are created in the CSPPEE Manager. 10. In Manage Source Keys the librarian defines the keys. 11. In Manage SK Groups the librarian can define users. 5/20/2014 Page 62 of 55

65 12. In the screenshots below you see the configuration of users that we used for this lab. Allow Configure Source Protection: if checked this will allow the user to configure source protection. Allow Cut-Copy Protected Content: if checked the user canuse cut/copy features in protected code. 13. After the users and password are configured the last step is to put these users and keys on a CmStick. In the screenshot below you see how you can create tickets that allows you to put keys on the CmStick via the License Central. 5/20/2014 Page 63 of 55

66 14. Double click on CSPPEE Client icon on the desktop. The CSPPEE Client is an interface between the RSLogix 5000 and the CmStick. 15. Select an available Source Key Group (user) and launch RSLogix Note: If you would have multiple versions of RSLogix 5000 you can select the version of RSLogix 5000 that you want to use. 5/20/2014 Page 64 of 55

67 16. You will be asked to Log On to FactoryTalk; at this point we are going to login as the Ftadmin user with password rockwell. Click on OK. 17. Click on File and Open. 18. Browse to the sample code folder that is automatically created when installing RSLogix /20/2014 Page 65 of 55

68 19. Select Add_On_Instructions_Samples.ACD and click on Open. 20. This project contains a bunch of sample AOIs that can be used in your projects. The engineering is done by Rockwell and if it fits your needs you just copy it to your project and use it. You will win time in programming your project. 5/20/2014 Page 66 of 55

69 21. In the menu bar select Tools, Security and Configure Source Protection. 22. The Source Protection Configuration window will appear with a pop up asking you if you want to specify the source key file. Click No on this pop up. Note: If you want to use source code protection you need to create a SK.DAT file that contains the passwords. This file needs to be removed from its location to lock to code. After removing you need to find a secure way to store this file. 23. Instead of using the SK.DAT file we are going to secure the code with passwords provided by the CmStick. Close the Source Protection Configuration window. 5/20/2014 Page 67 of 55

70 24. Go back to the CSPPEE Client. Make sure that the Developer is selected and press Choose Source Key Group. 25. The passwords from the group Developer are copied to the instance of RSLogix The green text tells you that 3 keys are copied. 5/20/2014 Page 68 of 55

71 26. In RSLogix 5000, open the Source Protection Configuration again. You can see that there is a source key provider. 27. Let s lock the first AOI with AOI Key 1. Select AOI BSEL and press Protect. 28. If you press the dropdown list you can see the 3 passwords that are available for this user. Select AOI Key 1 and press OK. 5/20/2014 Page 69 of 55

72 29. Do the same for AOIs DeltaT and InsetionSortDINT. But use the different AOI Keys like the screenshot below. The 3 AOIs are now protected by 3 different passwords. 30. Go back to CSPPEE Client and remove the source keys. 31. In CSPPEE Client you can see that the keys are removed. 5/20/2014 Page 70 of 55

73 32. Go back to RSLogix 5000 and check if the AOIs are source protected. 33. We just locked some AOI with passwords that where created by a librarian. The password itself is not visible to the user. Only the name of the password can be seen by the user. 34. Now let s use the passwords from the Field Engineer. Go back to CSPPEE Client and select Field Engineer and press Choose Source Key Group. 35. The keys from the Field Engineer are copied to the instance of RSLogix As you can remember there where 2 keys assigned for this user AOI Key 2 and AOI Key 3. AOI Key 2 was outdated and as you can see in screenshot below this key is not copied to RSLogix This means that we only would be able to see the source code of the AOI that is protected with AOI Key 3. 5/20/2014 Page 71 of 55

74 36. Go back to RSLogix As you can see only AOI InsertionSortDINT is available for viewing. 37. Also notice that the Field Engineer can t protect or unprotect AOIs or routines. 38. The reason is that this feature was disabled for the Field Engineer in CSPPEE Manager. 39. Try also to Copy or Cut code in AOI InsertionSortDINT. This feature is also disabled for the Field Engineer. 40. Remove the CmStick and check the Source Protection Configuration. You will see that all the AOIs are locked. 5/20/2014 Page 72 of 55