Authentifikation über Kerberos

In einem WinCC OA-Netzwerksystem mit Internetanbindung ist es heutzutage beinahe eine Selbstverständlichkeit, dieses vor Angriffen von Außen (z.B. durch Hacker) zu schützen, z.B. könnte ein nicht dazu berechtigtesWinCC OA-System eine Verbindung zum Distributions-Manager aufbauen.

Um das Lauschen oder verschiedene Arten von Attacken zu verhindern, wurden Maßnahmen entwickelt, um die Authentifikation zu sichern und WinCC OA-Systeme vor solchen Attacken zu schützen.

Die Kerberos-basierte Authentifikation erlaubt jeder WinCC OA-Komponente die Identität einer anderen Komponente zu verifizieren. WinCC OA-Server verifizieren die Identität der Clients und Clients verifizieren die Identität der Server. Zudem stellt Kerberos sicher, dass Nachrichten während der Übermittlung nicht modifiziert werden (Capture Replay-Attacken werden verhindert). Es besteht auch die Möglichkeit, Nachrichten zu verschlüsseln.

Das Kerberos-Protokoll basiert auf symmetrische Schlüssel-Kryptographie und verwendet die Fremdsoftware Key Distribution Center (KDC). Die Identität einer Einheit (Benutzer, Computer, Komponente, usw.) wird über Tickets erwiesen. Clients übergeben ein Ticket, das von KDC ausgestellt wurde, an den Server. Der Server verifiziert das Ticket und dadurch die Identität des Clients. Auf die Anforderung vom Client, sendet der Server einen Beweis seiner Identität an den Client und der Client kann die Identität des Servers verifizieren.

Sessions Keys werden für die Kommunikation zwischen dem Client und dem Server verwendet. Kerberos generiert ein Session Key, das verwendet wird, um die Kommunkation zwischen dem Client und dem Server zu versichern. Die gesendeten Nachrichten werden signiert und können verschlüsselt werden.

WinCC OA verwendet Service Principal Namen (SPN). Der SPN darf nur auf einem Computer ( WinCC OA-Server) eingetragen sein. Wenn Sie Kerberos unter Windows aktivieren, erstellt Pmon die SPNs, wenn der Pmon als Service unter lokalem System läuft. Für andere Benutzer unter Windows oder Linux, erstellen Sie den SPN selbst. Für mehr Information, siehe Voraussetzungen und Konfiguration.