SISTEMA VPN

 

SISTEMA VPN PER SUPERVISIONE E MANUTENZIONE REMOTA

Tale servizio permette sia il monitoraggio, che l’assistenza su macchinari che permettano una connessione con cavo Ethrenet e protocolli IP come il TCP/IP e l’UDP/IP.

La connessione avviene attraverso internet, ma per mezzo di tunnel SSL criptati e sicuri tramite sistemi di criptazione a chiavi non simmetriche SSL/TLS.

Ogni tunnel per massimizzare la sicurezza deve essere autenticato da un server centrale di proprietà ADV Integtration Srl. Il primo scopo di tale server è quello di autorizzare e aprire il tunnel verso il dispositivo locale che svolgerà la funzione di Gateway di connessione. Il secondo scopo è quello di fornire un robusto Firewall che permette la comunicazione solo ed esclusivamente tra tunnel con reciproca autorizzazione ADV Integration e crea una robusta separazione tra i vari utenti connessi tramite lo stesso server.

ADV Integration Srl, possiede una CA (Certification Authority) privata, conservata su dei dispositivi scollegati dalla rete per una maggiore sicurezza!

L’autenticazione avviane attraverso protocollo X.509, per mezzo di un certificato pubblico del server VPN, un certificato pubblico del nodo locale con funzione di Gateway, un certificato pubblico della CA ADV Integration ed una chiave privata a 2048 bits. Il server possiede una lista di chiavi revocate per utenti non più autorizzati.

CONFIGURAZIONE VPN

ADV Integration fornisce vari pacchetti per le più svariate esigenze.

CONFIGURAZIONI HARDWARE/SOFTWARE GATEWAY

Gateway Entry-Level

Si tratta di una serie di micro Gateway, dotati di 2/4 LAN. Permette la gestione di tunnel base ed avanzati.

Dispone di Firewall interno che permette in accoppiata con il Firewall presente sui server ADV un’ulteriore barriera di protezione anche da eventuali malintenzionati interni all’azienda.

Gateway Hi-End

 

Si tratta di una serie di Gateway industriali, dotati di 2/4 LAN, WIFI, porte RS-232 per remotare connessioni seriali (DA VERIFICARE CASO PER CASO), uscite HDMI per eventuali monitor, configurato con la CPU più adatta alle esigenze. Permette tunnel base ed avanzati.

Permette l’installazione del Framework ADV con eventuali moduli software HMI, SCADA, IoT, logger per uniformarsi all’industria 4.0.

Dispone di Firewall interno che permette in accoppiata con il Firewall presente sui server ADV un’ulteriore barriera di protezione anche da eventuali malintenzionati interni all’azienda.

Gateway su ADV Framework

Nel caso di sistemi HMI, SCADA o di automazione realizzati da ADV Integration S.r.l., su cui sia installato il Framework ADV con relativo sistema operativo, con o senza runtime CODESYS RT installato, è possibile l’acquisto del semplice pacchetto “Installazione e prima configurazione TUNNEL VPN”. Tale pacchetto si può usare sia con tunnel base che tunnel avanzato.

Dispone di Firewall interno che permette in accoppiata con il Firewall presente sui server ADV un’ulteriore barriera di protezione anche da eventuali malintenzionati interni all’azienda.

Gateway virtuale

Viene fornita una macchina virtuale per Windows o Linux, con le funzionalità del Gateway entry level. Si tratta della soluzione più economica ed è utile per piccole aziende in quanto permette di collegare direttamente un singolo PC ad un tunnel VPN, utilizzando i normali software di automazione installati su tale PC per accedere alle macchine remote.

NOTA!!! Ogni Gateway virtuale impiega un tunnel intero!!!

PACCHETTI TECNICI

Tunnel Base***

Si tratta di un tunnel da SERVER ADV Integration a “Gateway Locale”, il Gateway può essere uno qualunque di quelli indicati in precedenza.

La versione base comprende un set di certificati SSL/TLS/RSA X.509 composti da:

-Certificato pubblico CA, con relativa chiave pubblica;

-Certificato pubblico Server ADV, con relativa chiave pubblica firmato dalla CA ADV;

-Certificato pubblico per il Gateway, con relativa chiave pubblica firmato dalla CA ADV;

-Chiave privata del Gateway;

Un singolo indirizzo IP su rete ADV, il quale implica che sarà necessaria la configurazione del NAT sul Firewall interno per accedere ai dispositivi.

Tale pacchetto è ideale per il lato da cui si vuole prestare assistenza alle macchine, tuttavia può essere usato consapevoli delle limitazioni di un NAT con port forwarding anche dal lato delle macchine stesse.

Tunnel Avanzato***

Si tratta di un tunnel da SERVER ADV Integration a “Gateway Locale”, il Gateway può essere uno qualunque di quelli indicati in precedenza.

La versione avanzata, come quella base comprende un set di certificati SSL/TLS/RSA X.509 composti da:

-Certificato pubblico CA, con relativa chiave pubblica;

-Certificato pubblico Server ADV, con relativa chiave pubblica firmato dalla CA ADV;

-Certificato pubblico per il Gateway, con relativa chiave pubblica firmato dalla CA ADV;

-Chiave privata del Gateway;

Un singolo indirizzo IP su rete ADV, per i due capi del tunnel ed una intera sotto rete x.x.x.x/24 dedicata al cliente, la quale permette grazie al NAT 1-TO-1 di mappare una intera rete macchina con spazio di indirizzamento /24 attraverso il tunnel.

Questo pacchetto è l’ideale dal lato delle macchine da mantenere/supervisionare.

Pacchetto prima configurazione base

Si tratta del pacchetto assistenza con il quale assieme al cliente effettuiamo la prima configurazione del tunnel, e relativa mappature delle apparecchiature.

ADV offre in accordo con il cliente la conservazione del backup di tale configurazione, nel caso di configurazioni ridondanti (reti identiche come composizione apparecchiature) già acquistate dal cliente, non sarà necessario l’acquisto di un secondo pacchetto di prima configurazione.

Pacchetto prima configurazione avanzata

i tratta del pacchetto assistenza con il quale assieme al cliente effettuiamo la prima configurazione del tunnel, e relativa mappature delle apparecchiature.

ADV offre in accordo con il cliente la conservazione del backup di tale configurazione, nel caso di configurazioni ridondanti (reti identiche come composizione apparecchiature) già acquistate dal cliente, non sarà necessario l’acquisto di un secondo pacchetto di prima configurazione.

Con il pacchetto avanzato si ha diritto alla configurazione speciale per utenti. Ogni utente con un determinato tunnel avrà accesso solo ai tunnel remoti decisi dal cliente. Questa funzione permette di configurare l’accesso alle macchine solo a determinati gruppi di persone autorizzate dal cliente stesso.

Tocken di riconfigurzione

Si tratta di un gettone valido 4 ore per riconfigurazioni in seguito a variazioni della rete locale, aggiunta o rimozione apparecchiature.

***Nota!!! Ogni dispositivo Gateway , reale o virtuale, richiede l’acquisto di un tunnel con i suoi certificati.

GDPR E LEGGI SULLA PRIVACY

DV Integration Srl, stipulerà di volta in volta contratti con i propri clienti apponendo firma digitale congiunta, per tutelare la privacy di ogni cliente.

La privacy di ogni utente è garantita da rigide regole di Firewall, che impediscono a utenti non autorizzati di accedere a tunnel di altri utenti.

Nel contratto è sempre indicato che le rigide regole di firewall sul gateway impediscono ogni accesso, che non sia fine alla connessione del tunnel stesso, alla eventuale rete aziendale con cui viene fornita la connessione.

Nel contratto è sempre indicato che ADV si impegna a non accedere a nessun dispositivo della rete aziendale a cui il gateway è eventualmente collegato per ottenere la connessione verso internet.

ADV Integration Srl si impegna a non raccogliere e collezionare alcun dato sulla produzione, il funzionamento e il controllo di tutte le macchine installato fatto salvo specifiche richieste contrattuali del cliente stesso.

Nel qual caso ADV Integration Srl dovesse stipulare contratti di assistenza con clienti finali, per la manutenzione di lavori eseguiti dalla stessa ADV Integration Srl, la fatturazione seguirà regole contrattuali stipulate con il cliente stesso.

Tutti i Gateway in configurazione base si collegano in automatico al server VPN non appena trovano una connessione INTERNET su LAN o WIFI configurato. È cura del cliente collegare il cavo o adottare uno switch hardware per escludere la connessione quando non necessaria.